Duqu, más información y algunas dudas

En una una-al-día anterior, apuntábamos a un par de diferencias importantes que alejaban a Duqu de Stuxnet: por un lado no usaba 0-days, y por otro no se esparcía como un gusano buscando sistemas a los que infectar. Ahora parece que la relación se estrecha, a medida que se conoce la sofisticación de Duqu.

Un análisis más exhaustivo de otras piezas del puzle ha aportado nuevos datos interesantes. Sí que usa 0 days y sí que se multiplica, pero de otras «formas».

Al parecer el troyano venía escondido en un archivo doc para Word. Conseguía que la víctima inicial intentase ver el contenido del archivo a través de ingeniería social. A partir de ahí, se infectaba el sistema. Aquí, según el informe original de Symantec:

When the Word document is opened, the exploit is triggered. The exploit contains kernel mode shellcode, which will first check if the computer is already compromised

Aquí es donde surge una pequeña duda o confusión que permite lanzar quizás una hipótesis. A falta de que Microsoft confirme todos los detalles, podríamos estar hablando de dos  vulnerabilidades: una en Word que permite la ejecución de código y  otra en el kernel que permite la elevación de privilegios. Para instalar drivers en el sistema como pretende Duqu, necesita los máximos privilegios. Por tanto, al igual que hacía Stuxnet (que contenía hasta cuatro 0 days para conseguirlo) le es muy útil este tipo de exploits. Sin embargo, es posible que también aproveche otro vector como el Word para conseguir una primera ejecución de código. Esto tendrá que ser aclarado cuando Microsoft, que ya está investigando el asunto, emita un aviso oficial. También es posible que llame directamente a algún componente interno sin necesidad de vulnerabilidad en Word (como ocurría con las vulnerabilidades corregidas en MS11-077 en las fuentes). En principio, sólo Microsoft y Symantec disponen del binario adecuado para saberlo.

Lo que está claro, es que no habrá  solución a esta o estas vulnerabilidades para el día 8 de noviembre, que coincide con el ciclo de parcheo mensual de la compañía.

Sobre la replicación, Duqu se difunde de forma «curiosa». No es una habilidad intrínseca (ya apuntábamos que lo que Symantec analizó era un «medio» y no el «fin») sino que se le puede indicar a través de comandos externos una vez instalado. Así, los atacantes pueden ordenar al troyano por comandos externos que se replique en carpetas compartidas (a través de tareas programadas, como hiciera Stuxnet). Más interesante aún es su comportamiento si el sistema no  pudiese comunicarse con el C&C (centro de control) remoto por cualquier razón: en estos casos, toma la configuración y órdenes de otros sistemas compartidos e infectados. Como una especie de P2P entre sistemas troyanizados si el «maestro» no  se encuentra disponible. Un interesante método de supervivencia,  puesto que permite controlar varias máquinas interconectadas aunque solamente una tenga acceso al C&C.

Por último, otro dato interesante es que en cada víctima se han encontrado un conjunto de ficheros diferentes, gobernados por un C&C «dedicado» por cada compañía atacada.

Según los hashes que ha publicado Symantec en su informe sobre los binarios que descarga Duqu desde el C&C, la primera muestra relacionada llegó el 1 de septiembre a VirusTotal, mientras que el resto, curiosamente, se recibieron todas el 24 de octubre. Sus fechas de compilación varían del 1 de junio hasta el 17 de octubre. Con respecto a los drivers (el «núcleo» de Duqu), sin embargo, tienen fecha de compilación de hasta marzo de 2010.

Duqu, ¿el nuevo malware descendiente de Stuxnet?

Sergio de los Santos

Twitter: @ssantosv