Duqu поражает Windows с помощью 0-day уязвимости

Исследователи Laboratory of Cryptography and System Security (CrySyS) провели анализ троянской программы Duqu и обнаружили, что для компрометации систем она использует ранее неизвестную уязвимость в Microsoft Windows.

Сотрудники лаборатории CrySyS поделились своей находкой с Microsoft и другими компетентными организациями, призывая всех профессионалов объединиться с целью борьбы против новой киберугрозы. После публикации CrySyS, специалисты Symantec в блоге компании описали подробную структуру эксплоита. В Symantec подтвердили информацию о том, что специалисты Microsoft уведомлены об обнаруженной уязвимости. В настоящее время нет способов устранения уязвимости, эксплуатируемой Duqu.

По данным Symantec, содержащий эксплоит файл был создан таким образом, что не остается сомнений в его нацеленности именно на ту компанию, системы которой он должен был поразить. Строение шеллкода трояна позволяло скомпрометировать систему только на протяжении 8 дневного окна в августе текущего года.

В процессе анализа инцидента было обнаружено, что конфигурационные файлы Duqu на некоторых системах содержали настройки, не позволяющие осуществлять непосредственное подключение к командным серверам. Вместо этого, программа использовала специальный протокол для обмена файлами с другой скомпрометированной системой, которая имела доступ к командному серверу. Таким образом, Duqu создает мост между внутренними серверами сети и командным сервером. Это позволяет злоумышленникам подключаться к зараженным Duqu системам внутри безопасной зоны с помощью компьютеров, находящихся за пределами этой зоны, и использовать их в качестве прокси.

Вирус получал команды с сервера управления, находящегося в Бельгии. Благодаря действиям сотрудников местного интернет-провайдера, этот командный сервер был отключен.

По мнению исследователей центра Dell SecureWorks, Duqu может быть не связан с Stuxnet. «Как Duqu, так и Stuxnet являются очень сложными программами с множеством компонентов. Вся схожесть, с точки зрения программы, состоит в компоненте «инъекции», реализованном в драйвере ядра. Пейлоады Duqu и Stuxnet существенно отличаются друг от друга», - говорится в отчете SecureWorks.

Уведомление компании Symantec можно просмотреть здесь.

Напомним, вирус Duqu впервые был зафиксирован приблизительно месяц назад. Сходство исходного кода основного компонента вируса с аналогичным компонентом трояна Stuxnet, нарушившего работу ядерной промышленности Ирана, заставило ведущих исследователей в области безопасности предположить, что оба вируса были разработаны одной и той же группой программистов.