• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Malware / Duqu, más información y algunas dudas

Duqu, más información y algunas dudas

2 noviembre, 2011 Por Hispasec Deja un comentario

Cuando se han podido cazar algunos componentes más de Duqu, han comenzado a destaparse nuevos datos sobre cómo funciona este malware. Lo más relevante es el uso de vulnerabilidades de Microsoft desconocidas hasta ahora para instalarse, como ya hiciera Stuxnet.
En una una-al-día anterior, apuntábamos a un par de diferencias importantes que alejaban a Duqu de Stuxnet: por un lado no usaba 0-days, y por otro no se esparcía como un gusano buscando sistemas a los que infectar. Ahora parece que la relación se estrecha, a medida que se conoce la sofisticación de Duqu.
Un análisis más exhaustivo de otras piezas del puzle ha aportado nuevos datos interesantes. Sí que usa 0 days y sí que se multiplica, pero de otras «formas».
Al parecer el troyano venía escondido en un archivo doc para Word. Conseguía que la víctima inicial intentase ver el contenido del archivo a través de ingeniería social. A partir de ahí, se infectaba el sistema. Aquí, según el informe original de Symantec:

When the Word document is opened, the exploit is triggered. The exploit contains kernel mode shellcode, which will first check if the computer is already compromised

Aquí es donde surge una pequeña duda o confusión que permite lanzar quizás una hipótesis. A falta de que Microsoft confirme todos los detalles, podríamos estar hablando de dos  vulnerabilidades: una en Word que permite la ejecución de código y  otra en el kernel que permite la elevación de privilegios. Para instalar drivers en el sistema como pretende Duqu, necesita los máximos privilegios. Por tanto, al igual que hacía Stuxnet (que contenía hasta cuatro 0 days para conseguirlo) le es muy útil este tipo de exploits. Sin embargo, es posible que también aproveche otro vector como el Word para conseguir una primera ejecución de código. Esto tendrá que ser aclarado cuando Microsoft, que ya está investigando el asunto, emita un aviso oficial. También es posible que llame directamente a algún componente interno sin necesidad de vulnerabilidad en Word (como ocurría con las vulnerabilidades corregidas en MS11-077 en las fuentes). En principio, sólo Microsoft y Symantec disponen del binario adecuado para saberlo.
Lo que está claro, es que no habrá  solución a esta o estas vulnerabilidades para el día 8 de noviembre, que coincide con el ciclo de parcheo mensual de la compañía.
Sobre la replicación, Duqu se difunde de forma «curiosa». No es una habilidad intrínseca (ya apuntábamos que lo que Symantec analizó era un «medio» y no el «fin») sino que se le puede indicar a través de comandos externos una vez instalado. Así, los atacantes pueden ordenar al troyano por comandos externos que se replique en carpetas compartidas (a través de tareas programadas, como hiciera Stuxnet). Más interesante aún es su comportamiento si el sistema no  pudiese comunicarse con el C&C (centro de control) remoto por cualquier razón: en estos casos, toma la configuración y órdenes de otros sistemas compartidos e infectados. Como una especie de P2P entre sistemas troyanizados si el «maestro» no  se encuentra disponible. Un interesante método de supervivencia,  puesto que permite controlar varias máquinas interconectadas aunque solamente una tenga acceso al C&C.
Por último, otro dato interesante es que en cada víctima se han encontrado un conjunto de ficheros diferentes, gobernados por un C&C «dedicado» por cada compañía atacada.
Según los hashes que ha publicado Symantec en su informe sobre los binarios que descarga Duqu desde el C&C, la primera muestra relacionada llegó el 1 de septiembre a VirusTotal, mientras que el resto, curiosamente, se recibieron todas el 24 de octubre. Sus fechas de compilación varían del 1 de junio hasta el 17 de octubre. Con respecto a los drivers (el «núcleo» de Duqu), sin embargo, tienen fecha de compilación de hasta marzo de 2010.
Más información:

The precursor to the next Stuxnet
W32.Duqu
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_duqu_the_precursor_to_the_next_stuxnet.pdf
Duqu, ¿el nuevo malware descendiente de Stuxnet?
http://unaaldia.hispasec.com/2011/10/duqu-el-nuevo-malware-descendiente-de.html
Windows kernel ‘zero-day’ found in Duqu attack
http://www.zdnet.com/blog/security/windows-kernel-zero-day-found-in-duqu-attack/9737?tag=nl.e589
Microsoft unlikely to patch Duqu kernel bug next week
http://www.computerworld.com/s/article/9221373/Microsoft_unlikely_to_patch_Duqu_kernel_bug_next_week
The Mystery of Duqu: Part Three
http://www.securelist.com/en/blog/208193206/The_Mystery_of_Duqu_Part_Three
Sergio de los Santos
ssantos@hispasec.com
Twitter: @ssantosv

Acerca de Hispasec

Hispasec Ha escrito 6939 publicaciones.

  • View all posts by Hispasec →
  • Blog

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Publicado en: Malware

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscar

Síguenos

siguenos en twitter

UAD360 EDICIÓN 2022

https://www.youtube.com/watch?v=go_CSWK56yU

Populares de UAD

  • Tamagotchi para hackers: Flipper Zero
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Evasión de CloudTrail en AWS a través de API no documentada
  • Las apps de mensajería y videoconferencia te escuchan incluso cuando estás "muteado"
  • ¿Qué es DMARC? La necesidad de la protección del correo electrónico

Entradas recientes

  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades
  • UAD se abre a la comunidad
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Vulnerabilidades críticas en productos de Synology
  • Más de dos docenas de errores de WordPress explotados por un nuevo malware de Linux
  • Descubierta una nueva campaña de malware que se propagaba a través de los anuncios de Google
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

UAD

UAD nació a raíz de un inocente comentario en un canal IRC hace 24 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Aviso Legal

  • Aviso Legal
  • Términos y Condiciones
  • Política de Privacidad
  • Política de Cookies

Copyright © 2023 · Hispasec Sistemas, S.L. Todos los derechos reservados

Este sitio web utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad (tanto general como personalizada) relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas), para optimizar la web y para poder valorar las opiniones de los servicios consultados por los usuarios. Para administrar o deshabilitar estas cookies haz clic en: Configurar Cookies


Rechazar todo Aceptar Todo
Configurar Cookies

Resumen de privacidad

Este sitio web utiliza cookies para mejorar su experiencia mientras navega por el sitio web. De estas, las cookies que se clasifican como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web. También utilizamos cookies de terceros que nos ayudan a analizar y comprender cómo utiliza este sitio web. Estas cookies se almacenarán en su navegador solo con su consentimiento. También tiene la opción de optar por no recibir estas cookies. Pero la exclusión voluntaria de algunas de estas cookies puede afectar su experiencia de navegación.
Necesaria
Siempre activado
Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Estas cookies garantizan funcionalidades básicas y características de seguridad del sitio web, de forma anónima.
CookieDuraciónDescripción
cookielawinfo-checkbox-analytics11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional11 monthsLa cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy11 monthsLa cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.
Analítica
Las cookies analíticas se utilizan para comprender cómo interactúan los visitantes con el sitio web. Estas cookies ayudan a proporcionar información sobre métricas, el número de visitantes, la tasa de rebote, la fuente de tráfico, etc.
GUARDAR Y ACEPTAR