Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Új DuQu variáns tűnt fel

2012.03.20. 23:35 | buherator | 11 komment

Hosszabb csend után hétfőn új DuQu variánst fedezett fel a Symantec. Az új változat megjelenése azt jelzi, hogy a készítők nem hagyták abba a munkát az első "lebukás" után sőt, a Kaspersky  egyik szakértője szerint ezt a példányt már úgy tervezték, hogy a CrySys specializált DuQu detektora se szúrja ki (lehet, hogy csak emiatt történt frissítés?). Arra következtethetünk tehát, hogy a szoftvert nem egy eldobható eszköznek, hanem hosszú távú felhasználásra szánták, ami passzol a keretrendszer-szerű, moduláris működés elméletéhez.

A detektorból egyébként nemzeti ünnepünkön jött ki a legújabb, számos újdonságot tartalmazó 1.23-as verzió - vajon voltak-e olyan előrelátók (vagy jól értesültek :) a DuQu gazdái, hogy el tudjanak bújni a legfrissebb keresőszoftver elől is? 

Sok a kérdés, kevés a válasz.

PS: Kiderült, hogy a "DuQu keretrendszere" nem valami földöntúl programnyelven, hanem objektum-orientált C-ben készült, MSVC2008-cal forgatva.

Friss: Az új mintára alapozva megjelent a detektor 1.24-es változata, frissített szignatúra listával. 

Címkék: duqu

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

boldii 2012.03.22. 00:00:51

1. Kiadtuk a v1.24-et a Duqu Detector Toolkitből, amiben vannak új szignatúrák a driver felismerésére

2. A Duqu / Stuxnet fejlesztők nemcsak a mi , de mások tooljait is rendesen kipróbálják, addig faragják a kódot, amíg semmi nem találja meg. De túl sokat ezen azért nem dolgoznak

3. Egyelőre nem tudjuk, hogy a többi komponens hogy néz ki, hogy vajon máshova rakták-e a payloadot (pnf) stb. tehát nem kizárt, hogy a többi toolunk még működik. Az meg biztos, hogy amint van minta, hála a nyílt forráskódnak, bárki egy perc alatt tudja módosítani és utólag legalább gyorsan feltárhatóak a tettek.

4. Fontos tapasztalati tény, hogy a duqudetector kiadása november elején volt, tehát kb.3 hónapig vártak

5. Van sok Duqu mystery még, pl. miért használtak módosított LZO-t tömörítésre. A megfejtés abban lehet, hogy a fejlesztők tényleg nagyon sok toollal tesztelik művüket. Ez persze rizikót is jelent nekik

röviden ennyi :).

buherator · http://buhera.blog.hu 2012.03.22. 00:08:58

@boldii: Köszi a részletes infókat! Kb. a kommenteddel egy időben frissítettem a posztot :)

boldii 2012.03.22. 00:23:46

Annyit hozzátennék még kérdés nélkül, hogy

-Számítottunk rá, hogy ha teljesen nyíltan, nyílt forráskóddal kiadjuk a keresőkódot, úgy arra felkészülnek

-Ugyanakkor érdekes adalék, hogy csak 3 hónap után jelentkeztek, ami egy hasznos info is egyben

-A nyílt verzió mellett természetesen a tooloknak könnyen létrehozható egyéb custom verziója, amiről viszont a készítők esetleg nem tudnak

-Fontos azt is észrevenni, hogy a toolok update-je igen könnyű, és a friss verzió újra segíthet korábbi verziók (ezúttal idénről) felfedezésében

Nyilvánvaló, hogy ez a fajta macska-egér harc folytatódhat még. A leszűrt tapasztalatok lesznek a legérdekesebbek és a hosszabb távon érvényesek.

Hunger 2012.03.22. 00:40:14

@boldii: nincs jelentősége, hogy nyílt forráskódú a duqudetector... nyilván ha nem lenne az, akkor se okozna gondot nekik a duqu obfuszkálása :)

boldii 2012.03.22. 00:47:00

@Hunger: Az obfuszkálás és a szignatúrák kikerülése két külön kérdés. A másik oldalról a nyílt forráskódú tool minden működése ismert. A zárté nem.

Hunger 2012.03.22. 08:25:49

@boldii: ez a szignatúrák kikerülése obfuszkálás által :) és nem csak a malware működését lehet megismerni RE segítségével, hanem a detektorét is... azt gondolni, hogy zárt detektor esetén nem kerülnék ki a szignatúrákat szerintem naívság.

buherator · http://buhera.blog.hu 2012.03.22. 10:15:27

@boldii: Mennyire vagytok biztosak benne, hogy 3 hónap után jelentkeztek? Nem 3 hónap után _vették észre_ a jelenlétet?

A vitához annyit, hogy szerintem boldii II./3-as pontja a kulcs: minél több detektor verzió van, annál nehezebb rá felkészülni, és a sokszínűségnek kedvez a nyílt forrás.

Másrészt az sem elhanyagolható szempont, hogy nem kell vakon megbízni mindenféle K-Európai műhelyekben, ha az ember használni akarja a toolt.

boldii 2012.03.22. 10:59:03

@buherator: A mai világban semmi sem biztos :) Jelenleg csak a driver van ráadásul meg, tehát nem tudni mi az új dropper, sem azt, hogy milyen fájlban van a payload, egyedül a titkosító algoritmus tudható a driverből, de az látható is a Symantec hírében.

Magyarán természetesen fene tudja.

A toolkitünknek egyébként az a varázsa, hogy bárki könnyen csinálhat és csinálhatott belőle már módosított verziót, ami mondjuk nemcsak a pnf kiterjesztésű fájlokat nézi meg, vagy belerakott egy-két másik szignatúrát is, és erre biztosan nem tudták tesztelni a Duqusok.

De mondom, egyértelműen szélmalomharc az ügy, viszont annak egy igen érdekes real-time real-life esete, majd pár év múlva, utólag okosabbak leszünk.

nyos 2012.03.22. 20:51:25

Le lehet ezt tolteni valahonnan? Mindenhol csak a detektort linkelik.

boldii 2012.03.23. 00:04:35

@nyos: nem, a minta nincs publikusan kiadva.

kz71 2012.03.24. 11:24:11

hali,

miért fontos infó a 3 hónap? német cég lehet mögötte, akiknél negyedévenként van release, mert a jobbmenetes csavart is balra húzzák, ha az van a doksiban?

kz
süti beállítások módosítása