Usuario:Jperucha/Duqu

Duqu es un conjunto de malware para ordenador descubierta el 1 de septiembre de 2011, se cree que esta relacionado con el gusano Stuxnet. El Laboratorio de Criptografía y Sistemas de seguridad (CrySyS Laboratorio) de la Universidad de Budapest de la Tecnología y La Economía en Hungría descubrió la amenaza, analizó el malware, y escribió un informe de 60 páginas nombrando la amenaza Duqu.^[1]^[2]^[3] Duqu obtuvo su nombre del prefijo "~DQ" que da a los nombres de archivos que crea.^[4]

Nomenclatura[editar]

El termino Duqu es usado de varias maneras:

Software Malicioso Duqu Es una variedad de componentes software que juntos proporcionan servicios a los atacantes. Actualmente esto incluye capacidad de robar información y en segundo plano, controladores kernel y herramientas de inyección. Parte de este malware está escrito en un lenguaje de programación de alto nivel desconocido, bautizado "Marco Duqu". No es C++, Python, Ada, Lua ni ningún otro lenguaje probado. Aun así, pruebas recientes sugieren que Duqu puede haber sido escrito en C con un marco orientado en objetos personalizados y compilado en Microsoft Estudio Visual 2008.
El defecto Duqu es el defecto en Microsoft Windows que es utilizado en archivos maliciosos para ejecutar componentes malware de Duqu. Actualmente un defecto es sabido, un problema de la fuente TrueType relacionado con win32k.sys.
Operación Duqu es el proceso de solo usar Duqu para objetivos desconocidos. La operación podría estar relacionada a la Operación Stuxnet.

Relación con Stuxnet[editar]

Symantec, basado en el informe CrySyS, continuó el análisis de la amenaza, al cual llamaron "casi idéntico a Stuxnet, pero con un propósito completamente diferente", y ademas publicaron un papel técnico detallado, con una versión recortada del informe de laboratorio original como un apéndice.^[5] Symantec cree que Duqu estuvo creado por los mismos autores que Stuxnet, o que los autores tuvieron acceso al código de fuente de Stuxnet. El gusano, como Stuxnet, tiene una firma digital válida, pero muy usada, y recoge información para preparar ataques futuros.^[6] Mikko Hyppönen, Jefe de Búsqueda para F-Secure , dijo que el controlador del núcleo Duqu, JMINET7.SYS, era tan similar a Stuxnet MRXCLS.SYS que el sistema back-end de F-Secure pensó que se trataba de Stuxnet. Hyppönen añadio que la clave usada para hacer la firma digital de Duqu (sólo observado en un caso) fue robada de C-Media, ubicados en Taipei, Taiwán. Los certificados estaban pensados para expirar el 2 de agosto de 2012 pero estuvo revocados el 14 de octubre de 2011 según Symantec.

Otra fuente, Dell SecureWorks, informa que Duqu puede no estar relacionado con Stuxnet.^[7] Sin embargo, hay considerables y crecientes pruebas de que Duqu esta estrechamente relacionado con Stuxnet.

Los expertos compararon las semejanzas y encontraron tres puntos de interés:

El instalador explota vulnerabilidades nunca antes usadas (Zero-day) del nucleo de Windows.
Los componentes están firmados con llaves digitales robadas.
Duqu Y Stuxnet están altamente dirigidos enfocados y relacionados con el programa nuclear de Irán.

Vulnerabilidad zero-day (nunca antes usadas) de Microsoft Word[editar]

Como Stuxnet, Duqu ataca los sistemas de Microsoft Windows utilizado una vulnerabilidad de cero días. El primer archivo instalador recuperado y revelado (apodado dropper (cuentagotas)) por CrySyS utiliza un documento de Microsoft Word explotando el motor de separado de palabras de la fuente Win32k TrueType permitiendo la ejecución de código malicioso.^[8] El apodo de dropper (cuentagotas) en Duqu se refiere a la incrustación en la fuente, también refiriéndose a la solución alternativa para restringir el acceso a T2EMBED.DLL, que es el motor de separación de palabras de la fuente TrueType, solo funciona si el parche liberado por Microsoft en diciembre de 2011 no ha sido instalado.^[9] El identificador de Microsoft para la amenaza es MS11-087 (primera vez comunicado el 13 de noviembre de 2011).^[10]

Propósito[editar]

Duqu busca información que podría ser útil para atacar sistemas de control industrial. Su propósito no es ser destructivo, los componentes conocidos tratan de reunir información.^[11] Sin embargo, basado en la estructura modular de Duqu, carga útil especial podría ser usada para atacar cualquier tipo de sistema informático por cualquier medio y así los ataques ciberneticos o físicos basados en Duqu podrían ser posibles. Sin embargo, usado en ordenadores personales se ha descubierto que elimina toda la información reciente introducida en el sistema, y en algunos casos borra completamente el disco duro del ordenador. Las comunicaciones internas de Duqu son analizadas por Symantec, pero el método real y exacto de cómo actua dentro de una red atacada todavia no se conoce. Según McAfee, una de las acciones de Duqu es robar certificados digitales (y sus llaves privadas correspondientes, como en la criptografía de clave publica) de los ordenadores atacados para ayudar a que virus futuros parezcan software seguro.^[12] Duqu utiliza una imagen JPEG de 54×54 píxeles y un archivo vacio encriptado como contenedor para sustraer datos y mandarlos a su centro de control. Expertos en seguridad todavía están analizando el código para determinar qué información contienen las comunicaciones. La investigación inicial indica que la muestra original del software malicioso se autoelimina después de 36 días (el software malicioso almacena esta configuracion en los archivos de configuración), limitando su detección.

Servidores de ordenes y control[editar]

Algunos de los servidores de ordenes y control de Duqu han sido analizados. Parece que las personas que llevan a cabo el ataque tuvieron una predilección por los Servidores CentOS 5.x , haciendo creer a algunos investigadores que ellos tenían una vulnerabilidad de cero días para CentOS. Los servidores están esparcidos en muchos países diferentes, incluyendo Alemania, Bélgica, Filipinas, India y China. Kaspersky ha publicado múltiples entradas en su blog sobre servidores de ordenes y control.^[13]

Ve también[editar]

Referencias[editar]

↑ «Laboratory of Cryptography and System Security (CrySyS)». Consultado el 4 November 2011.
↑ «Duqu: A Stuxnet-like malware found in the wild, technical report». Laboratory of Cryptography of Systems Security (CrySyS). 14 October 2011.
↑ «Statement on Duqu's initial analysis». Laboratory of Cryptography of Systems Security (CrySyS). 21 October 2011. Archivado desde el original el 3 October 2012. Consultado el 25 October 2011. Parámetro desconocido |df= ignorado (ayuda)
↑ «W32.Duqu – The precursor to the next Stuxnet (Version 1.4)». Symantec. 23 November 2011. Consultado el 30 December 2011.
↑ Zetter, Kim (18 October 2011). «Son of Stuxnet Found in the Wild on Systems in Europe». Wired. Consultado el 21 October 2011.
↑ «Virus Duqu alarmiert IT-Sicherheitsexperten». Die Zeit. 19 October 2011. Consultado el 19 October 2011.
↑ «Spotted in Iran, trojan Duqu may not be "son of Stuxnet" after all». Consultado el 27 October 2011.
↑ «Microsoft issues temporary 'fix-it' for Duqu zero-day». Consultado el 5 November 2011.
↑ «Microsoft Security Advisory (2639658)». Vulnerability in TrueType Font Parsing Could Allow Elevation of Privilege. 3 November 2011. Consultado el 5 November 2011.
↑ «Microsoft Security Bulletin MS11-087 - Critical». Consultado el 13 November 2011.
↑ Steven Cherry, with Larry Constantine (14 December 2011). «Sons of Stuxnet». IEEE Spectrum.
↑ Venere, Guilherme; Szor, Peter (18 October 2011). «The Day of the Golden Jackal – The Next Tale in the Stuxnet Files: Duqu». McAfee. Consultado el 19 October 2011.
↑ «The mystery of Duqu part six: The command and control servers». 30 November 2011. Consultado el 30 November 2011.

[[Categoría:Ataques criptográficos]] [[Categoría:Malware]]

[1] «Laboratory of Cryptography and System Security (CrySyS)». Consultado el 4 November 2011.

[2] «Duqu: A Stuxnet-like malware found in the wild, technical report». Laboratory of Cryptography of Systems Security (CrySyS). 14 October 2011.

[3] «Statement on Duqu's initial analysis». Laboratory of Cryptography of Systems Security (CrySyS). 21 October 2011. Archivado desde el original el 3 October 2012. Consultado el 25 October 2011. Parámetro desconocido |df= ignorado (ayuda)

[syamantecduqu-4] «W32.Duqu – The precursor to the next Stuxnet (Version 1.4)». Symantec. 23 November 2011. Consultado el 30 December 2011.

[Son_of_Stuxnet-5] Zetter, Kim (18 October 2011). «Son of Stuxnet Found in the Wild on Systems in Europe». Wired. Consultado el 21 October 2011.

[6] «Virus Duqu alarmiert IT-Sicherheitsexperten». Die Zeit. 19 October 2011. Consultado el 19 October 2011.

[7] «Spotted in Iran, trojan Duqu may not be "son of Stuxnet" after all». Consultado el 27 October 2011.

[8] «Microsoft issues temporary 'fix-it' for Duqu zero-day». Consultado el 5 November 2011.

[9] «Microsoft Security Advisory (2639658)». Vulnerability in TrueType Font Parsing Could Allow Elevation of Privilege. 3 November 2011. Consultado el 5 November 2011.

[10] «Microsoft Security Bulletin MS11-087 - Critical». Consultado el 13 November 2011.

[11] Steven Cherry, with Larry Constantine (14 December 2011). «Sons of Stuxnet». IEEE Spectrum.

[12] Venere, Guilherme; Szor, Peter (18 October 2011). «The Day of the Golden Jackal – The Next Tale in the Stuxnet Files: Duqu». McAfee. Consultado el 19 October 2011.

[13] «The mystery of Duqu part six: The command and control servers». 30 November 2011. Consultado el 30 November 2011.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]