miércoles, 19 de octubre de 2011

Duqu, ¿el nuevo malware descendiente de Stuxnet?

Alguien parece que ha tomado el código de Stuxnet y creado un nuevo malware al que se ha llamado Duqu (porque crea ficheros que comienzan con ~DQ). Es un troyano creado como un sistema de control remoto, pero parece estar orientado a infectar sistemas industriales.

Diferencias con Stuxnet

Stuxnet contenía dentro de su código la contraseña por defecto "2WSXcder" para la base de datos central del producto SCADA WinCC de Siemens. El troyano conseguía acceso de administración de la base de datos. Duqu parece que simplemente se trata de un sistema de control remoto, pero que se ha encontrado en dependencias industriales europeas.

Duqu no se replica. En este caso, parece haber aprendido la lección. En la una-al-día de octubre de 2010, "Éxitos y fracasos de Stuxnet (II)" ya se apuntaba este aspecto: "El punto débil (siempre desde el punto de vista de Stuxnet y sus creadores) ha sido solo uno: ¿por qué un gusano que se autorreplica indiscriminadamente? ¿Qué necesidad de infectar más allá de los sistemas objetivo?"

Otra diferencia muy importante y que lo aleja de la sofisticación de Stuxnet es que no contiene ningún ataque a Windows desconocido hasta el momento (0 day). Aunque Symantec no lo ha analizado por completo, parece que no contiene ninguno, mientras que Stuxnet usaba cuatro. Una permitía la ejecución de código aunque el AutoPlay y AutoRun se encontrasen desactivados. A efectos prácticos, implica que se había descubierto una forma totalmente nueva de ejecutar código en Windows cuando se inserta un dispositivo extraíble, independientemente de que se hayan tomado todas las medidas oportunas conocidas hasta el momento para impedirlo. La segunda permitía la ejecución de código a través del servicio de impresión (spooler) de cualquier Windows. En impresoras compartidas por red, el troyano podía enviar una petición al servicio y colocar archivos en rutas de sistema. Esto permitía su máxima difusión dentro de una red interna, por ejemplo. Las otras dos, permitían la elevación de privilegios.

Sin embargo, se parecen mucho en su código. Esto quiere decir o bien que las mismas personas están detrás de esta nueva creación, o bien que se ha filtrado de alguna manera el código original. Siendo sinceros, asociarlo con Stuxnet también es una forma de "vender" la noticia. El problema es que quizás, este tipo de ataques que con Stuxnet se han considerado "sofisticados" se conviertan en norma relativamente frecuente de ahora en adelante y las comparaciones sean innecesarias.

Características

Duqu parece un medio más que un fin. Ha sido usado para instalar a su vez un registrador de teclas en los sistemas infectados. En este sentido, se comporta como una botnet "tradicional" usando http y https para conectarse con su "command and control" (alojado en India), al que parece enviar información disfraza de imágenes JPG. A los 36 días, el troyano se borra a sí mismo.

Al igual que Stuxnet, se trata de un driver (.sys) firmado digitalmente por una entidad legal a la que probablemente han robado su certificado. Si Stuxnet utilizó certificados de Realtek, estos son de C-Media, una empresa de chipsets en Taiwan. Ya han sido revocados. ¿Cómo lo han hecho? Bien pueden haber sido robados, bien pueden haber sido falsificados en nombre de esa empresa. Aún no se sabe.

Cronología

La primera aparición de un componente de este troyano se da el 1 de septiembre de 2011, aunque por la fecha de compilación, se deduce que podrían haber sido creados a principios de diciembre de 2010.

En VirusTotal fue visto por primera vez ese día 1 de septiembre. Entonces era detectado por AntiVir, BitDefender, F-Secure, GData y SUPERAntiSpyware (5 de 41) por heurística. Hoy en día, lo detectan 29 de 43 motores. Esa variante nos ha llegado 8 veces. Existen dos variantes más que han sido enviadas a VirusTotal 4 veces en total.


Sergio de los Santos
ssantos@hispasec.com
Twitter: @ssantosv


Más información:

The Day of the Golden Jackal ? The Next Tale in the Stuxnet Files: Duqu
http://blogs.mcafee.com/mcafee-labs/the-day-of-the-golden-jackal-?-further-tales-of-the-stuxnet-files

23/10/2010 Éxitos y fracasos de Stuxnet (I)
http://www.hispasec.com/unaaldia/4382

24/10/2010 Éxitos y fracasos de Stuxnet (II)
http://www.hispasec.com/unaaldia/4383

25/10/2010 Éxitos y fracasos de Stuxnet (y III)
http://www.hispasec.com/unaaldia/4384

W32.Duqu: The Precursor to the Next Stuxnet
http://www.symantec.com/connect/w32_duqu_precursor_next_stuxnet

No hay comentarios:

Publicar un comentario en la entrada