Seguro que ya habéis leído acerca de Duqu, un malware descubierto recientemente sobre el que se se dice que es una nueva versión de Stuxnet o que fue escrito por sus mismos autores.Esto es debido a que existen ciertas similitudes entre ambos:
- Usan un driver de kernel para descifrar y cargar ficheros DLL con su payload. Este driver se utiliza como un método de inyección para cargar estas DLLs en un proceso específico.
- Las DLLs cifradas se almacenan usando extensiones .PNF, una extensión que se utiliza en Microsoft Windows para ficheros de instalación precompilados.
- Los drivers de kernel utilizan técnicas similares de cifrado y ocultamiento, como un rootkit para esconder ficheros.
- Tienen variantes cuyo driver está firmado digitalmente. Una variante de Duqu fue firmada con un certificado de C-Media Electronics Incorporation y, curiosamente, otra no firmada reclama ser un driver de JMicron Technology Company, la misma compañía cuyo certificado firmó algunas variantes de Stuxnet.
| Característica | Duqu | Stuxnet |
|---|---|---|
| Métodos de infección | Desconocido | USB (Universal Serial Bus) PDF (Portable Document Format) |
| Características Dropper | Instalar drivers de kernel firmados para descifrar y cargar ficheros DLL | Instalar drivers de kernel firmados para descifrar y cargar ficheros DLL |
| 0-days usados | No identificados todavía | Cuatro |
| Command & Control | HTTP, HTTPS, personalizado | HTTP |
| Propagación automática | No identificada todavía | P2P (Peer to Peer) usando RPCs (Remote Procedure Call) Network Shares WinCC Databases (Siemens) |
| Extracción de datos | Añadido, keylogger para robo de información del usuario y sistema. | Embebido, usado para versiones y actualizaciones de malware |
| Disparadores para infección o desinstalación | Se desinstala a sí mismo después de 36 días. | Hard coded, debe estar en el siguiente rango: 19790509 => 20120624 |
| Interacción con sistemas de control | Ninguna. | Interacción altamente sofisticada con los sistemas de control SCADA de Siemens. |
No obstante y aunque ambos son complejos programas con múltiples componentes y pese a tener similitudes en los componentes de inyección del driver de kernel, los últimos payloads de Stuxnet y Duqu son significativamente diferentes, por lo que los métodos de inyección podrían compartir código o autores pero no existe una relación adicional del malware en sí mismo.
De hecho Duqu no contiene código específico para atacar sistemas SCADA como PLCs, si no que se trata de un troyano de acceso remoto o RAT.
Comentarios
Publicar un comentario