DUQU: una nueva amenaza.

Según el informe presentado por Symantec este troyano fue detectado por primera vez el día 14 de octubre y posteriormente se ha comprobado que existen muestras del driver subidas a VirusTotal con fecha 7 de septiembre.

Según Symantec puede tratarse del precursor de un ataque similar a Stuxnet, escrito por los mismos autores o al menos por programadores con acceso al código fuente. Sin embargo, este troyano no contiene código relacionados con sistemas de control industrial.

El objetivo principal de esta nueva amenaza es conseguir información de empresas fabricantes de sistemas de control industrial, que ayude a preparar un ataque posterior a una tercera empresa.

Duqu es básicamente un RAT (Remote Admin Trojan), que una vez introducido en el sistema funciona como downloader de otros troyanos.

Consiste en un Driver, una DLL y un archivo de configuración. Cabe destacar que estos archivos son instalados por otro ejecutable que todavía n o ha sido descubierto. Este instalador registra el driver como un servicio para que se ejecute en la inicialización del sistema. Una vez en ejecución el driver inyecta la DLL en el proceso services.exe y si la inyección se realiza con éxito, la DLL extrae otros componentes que son inyectados a su vez en otros procesos.

Duqu utiliza un certificado digital valido, que fue revocado el día 14 de octubre. Además espera 15 minutos antes de comenzar su actividad una vez llega a una nueva maquina (probablemente para evitar ser detectado en sandboxes) y está diseñado para auto eliminarse después de 36 días.

En este sentido, la teoría de McAfee es diferente, ellos defienden que Duqu esta siendo usado para robar certificados a CAs de Europa, África y Asia, para posteriormente ser utilizados para firmar código malicioso.

El malware abre una puerta trasera en el sistema infectado permitiendo a los atacantes obtener la siguiente información del equipo comprometido:

  • Una lista de los procesos en ejecución, los detalles de la cuenta de usuario y la información del dominio.
  • Nombre de las unidades e información relacionada, como las unidades compartidas.
  • Capturas de pantalla.
  • Información de la red (tablas de enrutamiento, objetos compartidos, etc.).
  • Pulsaciones de teclado. (Keylogger)
  • Nombre de todas las ventanas abiertas.
  • Enumeración de los recursos compartidos.
  • Exploración de archivos de todas las unidades, incluidas las unidades removibles.
  • Lista de equipos en el dominio (a través de NetServerEnum)
  • Nombre del módulo actual, PID, ID de sesión, directorio de Windows, directorio Temp.
  • Versión del SO, incluido si es 64-bit.
  • Información de los adaptadores de red
  • Información hora local, incluyendo la franja horaria.

Finalmente el malware envía toda la información recopilada de forma cifrada a un panel de control predeterminado (206.183.111.97) permitiendo además la descarga de más contenido de carácter malicioso desde el panel de control.

Duqu utiliza los protocolos HTTP y HTTPS para comunicarse con el servidor del panel de control (C&C) alojado en la IP 206.183.111.97. Este servidor esta localizado en la India, y ha sido deshabilitado por el ISP (Web Werks WEBWRKS-PHLA1).

Se han reportado también comunicaciones al siguiente rango de IPs:

206.53.48-61.*

Es altamente recomendable revisar en los logs la aparición de comunicaciones a esta IP o a cualquier IP de los rangos indicados en los dispositivos de comunicación.

Fuente: S21Sec.

Los comentarios están cerrados.