DUQU: Una nueva amenaza

By
In Sin categoría
Información General

Según el informe presentado por Symantec este troyano fue detectado por primera vez el día 14 de octubre y posteriormente se ha comprobado que existen muestras del driver subidas a VirusTotal con fecha 7 de septiembre.
Según Symantec puede tratarse del precursor de un ataque similar a Stuxnet, escrito por los mismos autores o al menos por programadores con acceso al código fuente. Sin embargo, este troyano no contiene código relacionados con sistemas de control industrial.
El objetivo principal de esta nueva amenaza es conseguir información de empresas fabricantes de sistemas de control industrial, que ayude a preparar un ataque posterior a una tercera empresa.
Duqu es básicamente un RAT (Remote Admin Trojan), que una vez introducido en el sistema funciona como downloader de otros troyanos.
Consiste en un Driver, una DLL y un archivo de configuración. Cabe destacar que estos archivos son instalados por otro ejecutable que todavía no ha sido descubierto. Este instalador registra el driver como un servicio para que se ejecute en la inicialización del sistema. Una vez en ejecución el driver inyecta la DLL en el proceso services.exe y si la inyección se realiza con éxito, la DLL extrae otros componentes que son inyectados a su vez en otros procesos.
Duqu utiliza un certificado digital valido, que fue revocado el día 14 de octubre. Además espera 15 minutos antes de comenzar su actividad una vez llega a una nueva maquina (probablemente para evitar ser detectado en sandboxes) y está diseñado para auto eliminarse después de 36 días.

En este sentido, la teoría de McAfee es diferente, ellos defienden que Duqu esta siendo usado para robar certificados a CAs de Europa, África y Asia, para posteriormente ser utilizados para firmar código malicioso.
Resumen de comportamiento

El malware abre una puerta trasera en el sistema infectado permitiendo a los atacantes obtener la siguiente información del equipo comprometido:
  • Una lista de los procesos en ejecución, los detalles de la cuenta de usuario y la información del dominio.
  • Nombre de las unidades e información relacionada, como las unidades compartidas.
  • Capturas de pantalla.
  • Información de la red (tablas de enrutamiento, objetos compartidos, etc.).
  • Pulsaciones de teclado. (Keylogger)
  • Nombre de todas las ventanas abiertas.
  • Enumeración de los recursos compartidos.
  • Exploración de archivos de todas las unidades, incluidas las unidades removibles.
  • Lista de equipos en el dominio (a través de NetServerEnum)
  • Nombre del módulo actual, PID, ID de sesión, directorio de Windows, directorio Temp.
  • Versión del SO, incluido si es 64-bit.
  • Información de los adaptadores de red
  • Información hora local, incluyendo la franja horaria.
Finalmente el malware envía toda la información recopilada de forma cifrada a un panel de control predeterminado (206.183.111.97) permitiendo además la descarga de más contenido de carácter malicioso desde el panel de control.
Posibles indicadores para la detección

Trafico de Red

Duqu utiliza los protocolos HTTP y HTTPS para comunicarse con el servidor del panel de control (C&C) alojado en la IP 206.183.111.97. Este servidor esta localizado en la India, y ha sido deshabilitado por el ISP (Web Werks WEBWRKS-PHLA1).
Se han reportado también comunicaciones al siguiente rango de IPs:
206.53.48-61.*
Es altamente recomendable revisar en los logs la aparición de comunicaciones a esta IP o a cualquier IP de los rangos indicados en los dispositivos de comunicación.
Detección en maquinas infectadas

Symantec ha proporcionado los siguientes hashes y nombres de archivo, que han sido identificados como parte de la amenaza.

MD5

Nombre

Propósito

0a566b1616c8afeef214372b1a0580c7

cmi4432.pnf

DLL principal

94c4ef91dfcd0c53a96fdc387f9f9c35

netp192.pnf

Archivo de configuración

e8d6b4dadb96ddb58775e6c85b10b6cc

cmi4464.PNF

Archivo de configuración

b4ac366e24204d821376653279cbad86

netp191.PNF

DLL principal

4541e850a228eb69fd0f0e924624b245

cmi4432.sys

Driver

0eecd17c6c215b358b7b872b74bfd800

jminet7.sys

Driver

9749d38ae9b9ddd81b50aad679ee87ec

[TEMP FILENAME]

Infostealer

c9a31ea148232b201fe7cb7db5c75f5e

Dropper

Además se han detectado también drivers de Duqu utilizando los siguientes nombres de archivo, que no están incluidos en el informe de Symantec:
nfrd965.sys
adpu321.sys
La carga del driver se realiza añadiendo alguna de las siguiente claves al registro de Windows:
HKEY _ LOCAL _ MACHINESYSTEMCurrentControlSetServicesJmiNET3
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicescmi4432
Detectar estas entradas de registro en un sistema Windows es un claro indicativo de que la maquina esta infectada por Duqu.
Equipo de S21sec e-crime
Recommended Posts
Showing 2 comments

Leave a Comment