卡巴斯基預(yù)警:Duqu木馬使用未知編程語(yǔ)言 |
發(fā)布時(shí)間: 2012/8/21 17:10:11 |
近日,信息安全廠商卡巴斯基實(shí)驗(yàn)室經(jīng)過(guò)長(zhǎng)期跟蹤和研究,發(fā)現(xiàn)去年引起業(yè)界地震的Duqu木馬正在使用未知編程語(yǔ)言,并向廣大用戶(hù)發(fā)布預(yù)警信號(hào)。 Duqu是一種復(fù)雜的木馬,最早于2011年9月被發(fā)現(xiàn),其主要功能是充當(dāng)系統(tǒng)后門(mén),竊取隱私,它的編寫(xiě)者也創(chuàng)造了臭名昭著的Stuxnet蠕蟲(chóng)。但是,根據(jù)卡巴斯基實(shí)驗(yàn)室數(shù)據(jù),第一款同Duqu有關(guān)的惡意軟件早在2007年8月就已經(jīng)出現(xiàn)。此外,卡巴斯基實(shí)驗(yàn)室專(zhuān)家還記錄到超過(guò)十多次同Duqu相關(guān)的安全事件,其中大部分受害者都位于伊朗。針對(duì)這些受害者所屬的組織以及Duqu木馬所竊取的信息進(jìn)行分析,可以很清楚的看到該木馬的攻擊目的主要是竊取某些應(yīng)用于特定領(lǐng)域的工業(yè)控制系統(tǒng)的相關(guān)信息,此外還收集大量伊朗所屬組織的商業(yè)關(guān)系情報(bào)。 目前,業(yè)界針對(duì)Duqu木馬最大的疑團(tuán)是該惡意程序感染計(jì)算機(jī)后,是如何同命令控制中心(C&C)進(jìn)行通訊的。Duqu木馬用于同C&C通訊的模塊是其有效負(fù)荷DLL的一部分。對(duì)該有效負(fù)荷DLL進(jìn)行全面的分析后,卡巴斯基實(shí)驗(yàn)室的研究者發(fā)現(xiàn)該DLL中存在一段特定采用一種未知編程語(yǔ)言編寫(xiě)的代碼,其唯一功能就是同C&C進(jìn)行通訊。卡巴斯基實(shí)驗(yàn)室的研究人員將這一段未知代碼命名為"Duqu架構(gòu)"。 同Duqu木馬的其它組件不同,Duqu架構(gòu)并不是采用C++編寫(xiě),也沒(méi)有使用微軟的Visual C++ 2008進(jìn)行編譯,很可能其編寫(xiě)者使用了一種內(nèi)部架構(gòu),生成了媒介C代碼,或者他們使用了一種完全不同的編程語(yǔ)言。此外,卡巴斯基實(shí)驗(yàn)室研究人員已經(jīng)確認(rèn)該語(yǔ)言為面向?qū)ο笫秸Z(yǔ)言,并且能夠自行執(zhí)行其相關(guān)行為,而且適合網(wǎng)絡(luò)應(yīng)用的開(kāi)發(fā)。 Duqu架構(gòu)所使用的語(yǔ)言高度專(zhuān)業(yè)化,能夠讓有效負(fù)荷DLL同其它Duqu模塊獨(dú)立,通過(guò)多種途徑包括Windows HTTP、網(wǎng)絡(luò)端口和代理服務(wù)器同C&C建立連接。還能夠讓有效負(fù)荷DLL直接處理來(lái)自C&C的HTTP服務(wù)器請(qǐng)求,甚至可以在網(wǎng)絡(luò)中的其它計(jì)算機(jī)上傳播輔助惡意代碼,實(shí)現(xiàn)可控制并且隱蔽的感染手段,殃及其它計(jì)算機(jī)。 卡巴斯基實(shí)驗(yàn)室首席安全專(zhuān)家Alexander Gostev分析說(shuō):"考慮到Duqu項(xiàng)目的規(guī)模,很可能Duqu架構(gòu)是由一個(gè)完全不同的團(tuán)隊(duì)負(fù)責(zé)編寫(xiě)的,這一團(tuán)隊(duì)同編寫(xiě)驅(qū)動(dòng)程序和系統(tǒng)漏洞利用程序的團(tuán)隊(duì)不同。該惡意軟件具有極高的可定制性,并且采用了特有的編程語(yǔ)言編寫(xiě)。很可能這樣做的目的是防止其他外部第三方人員了解其網(wǎng)絡(luò)間諜行為以及同命令控制中心的交互,還能夠確保編寫(xiě)Duqu其它組件的團(tuán)隊(duì)同樣無(wú)法了解該惡意軟件的詳情。"Alexander Gostev認(rèn)為,這一惡意軟件采用了專(zhuān)門(mén)的編程語(yǔ)言,充分說(shuō)明從事這一項(xiàng)目開(kāi)發(fā)的人員所掌握的技術(shù)非常卓越。而且要順利實(shí)施開(kāi)發(fā)這一項(xiàng)目,必然需要大量金融和人力資源的支持。 卡巴斯基實(shí)驗(yàn)室呼吁廣大編程社區(qū)加入到分析這一惡意軟件的行動(dòng)中來(lái),如果有人能夠識(shí)別出這一架構(gòu),或者其中所使用的工具或能夠生成類(lèi)似代碼結(jié)構(gòu)的編程語(yǔ)言,可聯(lián)系卡巴斯基實(shí)驗(yàn)室的專(zhuān)家。 本文出自:億恩科技【mszdt.com】 服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM] |