Análisis de malware

Duqu 2.0: El malware más sofisticado jamás visto [Actualizado en]

agosto 25, por Admin

Una noticia desconcertante está conmocionando a la industria de la seguridad informática. El gigante de la protección antivirus Kaspersky se ha visto comprometido por una sofisticada ciberamenaza.

Una nueva y poderosa variedad del notorio malware Duqu apareció en la naturaleza después de desaparecer en. El llamado Duqu 2.0 fue el agente malicioso utilizado contra la empresa de seguridad y muchos otros objetivos en todo el mundo.

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

Los investigadores de seguridad describieron Duqu 2.0 como un malware altamente sofisticado que explotaba una serie de vulnerabilidades de día cero, que se enumeran a continuación:

CVE–2360;
CVE–4148 ;
CVE–6324 ;

Los investigadores de malware de Kaspersky que lo detectaron por primera vez revelaron que entre sus objetivos había entidades vinculadas a las negociaciones sobre el acuerdo nuclear de Irán y empresas de seguridad informática. Duqu 2.0 apuntó a varias organizaciones y entidades occidentales que operan en Asia y Medio Oriente.

“Duqu 2.0, la herramienta de ciberespionaje que se utilizó para comprometer a la empresa de seguridad Kaspersky Lab, también se ha utilizado en otras campañas de ataque contra una variedad de objetivos, incluidas varias empresas de telecomunicaciones. El análisis de Symantec coincide con la evaluación de Kaspersky hoy de que Duqu 2.0 (detectado por Symantec como W32.Duqu.B ) es una evolución del antiguo gusano Duqu , que se utilizó en una serie de ataques de recopilación de inteligencia contra una variedad de objetivos industriales antes de que fuera expuesto en. Aunque sus funcionalidades eran diferentes, El gusano Duqu original tenía muchas similitudes con el gusano Stuxnet utilizado para sabotear el programa de desarrollo nuclear iraní”,explicaron los investigadores de malware de Symantec que analizaron el malware.

Los expertos de Kaspersky Lab destacaron que la mayoría de las infecciones observadas en el período- están relacionadas con las negociaciones emprendidas por el P5+1 (Estados Unidos, Reino Unido, Alemania, Francia, Rusia y China, facilitadas por la Unión Europea). Unión) con Irán. El propósito de los eventos del P5+1 era lograr una resolución diplomática verificable que impidiera que Irán obtuviera un arma nuclear.

“En particular, algunas de las nuevas infecciones de- están vinculadas a los eventos y lugares del P5+1 relacionados con las negociaciones con Irán sobre un acuerdo nuclear. El actor de amenazas detrás de Duqu parece haber lanzado ataques en los lugares de algunos de estos conversaciones de alto nivel. Además de los eventos del P5+1, el grupo Duqu 2.0 ha lanzado un ataque similar en relación con el evento del 70º aniversario de la liberación de Auschwitz-Birkenau.” afirma un informe publicado por Kaspersky Lab.

El ataque contra Kaspersky Lab

Duqu 2.0 fue descubierto por expertos de Kaspersky Lab en un intento de intrusión en su red interna. El descubrimiento de la intrusión fue casual; Los investigadores descubrieron la sofisticada cepa de malware mientras probaban una nueva tecnología diseñada para detectar amenazas persistentes avanzadas.

El ataque contra la firma Kaspersky probablemente comenzó con un ataque de phishing contra un empleado en una pequeña oficina en la región APAC, pero al momento de escribir este artículo, no hay noticias sobre el vector de infección. Spear phishing es un método de phishing que utiliza información personal sobre un individuo, un grupo de individuos o una organización para hacer que un correo electrónico de phishing sea más creíble y personalizado. Es una forma especializada y sofisticada de atacar a un individuo específico para comprometer su red/cuentas. (Para obtener más información sobre el phishing, haga clic aquí ).

Los expertos sospechan que todo comenzó con un clásico intento de phishing porque a una de las “víctimas cero” que identificaron se le borró el buzón de correo y el historial del navegador web para evitar la detección. Las máquinas comprometidas fueron completamente parchadas; una circunstancia que llevó a los expertos a creer que los atacantes se basaron en un exploit de día cero.

Los expertos de Kaspersky confirmaron que la etapa de infección fue similar a la implementada por Duqu que se basó en documentos de Word maliciosos que contenían un exploit para una vulnerabilidad de día cero (CVE–3402).

Duqu se basó en un exploit que permitía a los atacantes saltar directamente al modo Kernel desde un documento de Word, una técnica considerada por los investigadores muy poderosa y extremadamente rara.

Algo similar se observó en junio de, aunque el malware no era Duqu 2.0, los expertos de Kaspersky sospechan que se trataba de un proyecto paralelo del grupo Duqu.

“Una técnica similar y un exploit de día cero (CVE–4148) aparecieron nuevamente en junio de, como parte de un ataque contra una importante organización internacional. El servidor CC utilizado en este ataque de, así como otros factores, tienen ciertas similitudes con Duqu, sin embargo, el malware es diferente tanto de Duqu como de Duqu 2.0. Es posible que se trate de un proyecto paralelo del grupo Duqu y que se haya utilizado el mismo día cero (CVE–4148) para instalar Duqu 2.0. Una vez que los atacantes infectaron con éxito una máquina, pasaron a la siguiente etapa”, afirma el informe publicado por Kaspersky .

Una vez que los atacantes obtuvieron acceso a la red objetivo, explotaron otro día cero (CVE–6324), que fue parcheado en noviembre de, para el movimiento lateral. El exploit permite a un usuario de dominio sin privilegios elevar sus credenciales a una cuenta de administrador de dominio.

“Una vez que los atacantes obtuvieron privilegios de administrador de dominio, pueden usar estos permisos para infectar otras computadoras en el dominio. Para infectar otras computadoras en el dominio, los atacantes usan algunas estrategias diferentes. En la mayoría de los ataques que monitoreamos, preparan Microsoft Windows Installer Packages (MSI) y luego implementarlos de forma remota en otras máquinas”, afirma Kaspersky . “Además de crear servicios para infectar otras computadoras en la LAN, los atacantes también pueden usar el Programador de tareas para iniciar “msiexec.exe” de forma remota. El uso del Programador de tareas durante las infecciones de Duqu para el movimiento lateral también se observó en la versión y se descrito por 6Symantec en su análisis técnico.”

Una vez que descubrieron la intrusión, los investigadores de Kaspersky iniciaron una auditoría interna que aún continúa. La compañía confirmó el alto nivel de sofisticación de Duqu 2.0, que señalaron como el más avanzado jamás visto . Algo similar hemos leído cuando Kaspersky publicó un informe sobre el malware en el arsenal del Equation Group , una APT vinculada a la NSA.

Hallazgos clave sobre Duqu 2.0

Duqu 2.0 implementa sofisticadas técnicas de evasión. Reside en la memoria, lo que dificulta su detección. La nueva versión de Duqu no escribe archivos en el disco de la víctima. Los expertos de Symantec explicaron que Duqu 2.0 viene en dos variantes, la primera es una puerta trasera que parece usarse para ganar persistencia en la entidad objetivo infectando múltiples computadoras. Una segunda variante que supone su evolución, e implementa prestaciones más sofisticadas.

Los autores de Duqu 2.0 utilizaron un certificado robado de la empresa Foxconn para implementar un mecanismo de persistencia y permanecer fuera del radar.

La investigación realizada por los expertos de Kaspersky reveló que los actores de amenazas detrás de Duqu 2.0 utilizaron un certificado válido de Hon Hai Precision Industry Co. LTD (también conocido como Foxconn Technology Group) para firmar digitalmente el código malicioso. Foxconn proporciona componentes electrónicos para una gran cantidad de empresas, incluidas Apple y BlackBerry.

El certificado digital fue emitido por VeriSign y utilizó a los autores de Duqu 2.0 para firmar digitalmente el código fuente de un controlador diseñado para enmascarar el tráfico de comando y control.

“Los atacantes crearon un módulo de persistencia inusual que implementan en las redes comprometidas. Cumple una doble función: también admite un esquema de comunicación CC oculto. Esta persistencia a nivel de organización se logra mediante un controlador que se instala como un servicio normal del sistema. En sistemas de 64 bits, esto implica un requisito estricto para una firma digital Authenticode. Hemos visto dos controladores de persistencia de este tipo implementados en el curso de los ataques”, afirma una publicación de blog publicada por el Equipo de Análisis e Investigación Global (GReAT) de Kaspersky Lab .

Los investigadores descubrieron que los actores de amenazas instalaron controladores maliciosos firmados digitalmente en dispositivos de red para interferir con el enrutamiento del tráfico.

1 – Certificado Digital Duqu 2.0 utilizado para firmar el código fuente de los drivers

“Durante sus operaciones, los actores de amenazas de Duqu instalan estos controladores maliciosos en firewalls, puertas de enlace o cualquier otro servidor que tenga acceso directo a Internet por un lado y acceso a la red corporativa por el otro. Al usarlos, pueden lograr varios objetivos a la vez: acceder a la infraestructura interna desde Internet, evitar registros en servidores proxy corporativos y, después de todo, mantener una forma de persistencia”, continúa la publicación .

“En esencia, los controladores redirigen los flujos de red hacia y desde la máquina de puerta de enlace que los ejecuta”, explicaron los investigadores. “Para reenviar conexiones, el atacante primero tiene que pasar un mecanismo de “llamada” basado en la red mediante el uso de una palabra clave secreta. Hemos visto dos palabras clave secretas diferentes en las muestras que recopilamos hasta ahora: “romanian.antihacker” y “ugly.gorilla”. “.”

El uso de código firmado digitalmente parece ser una prerrogativa del actor de amenazas detrás de Duqu, los atacantes no han utilizado la misma firma digital más de una vez.

“Otra observación interesante es que además de estos controladores Duqu no hemos descubierto ningún otro malware firmado con los mismos certificados”, continuaron los investigadores. “Eso descarta la posibilidad de que los certificados hayan sido filtrados y estén siendo utilizados por múltiples grupos. También parece indicar que los atacantes de Duqu son los únicos que tienen acceso a estos certificados, lo que fortalece la teoría de que piratearon a los fabricantes de hardware para para obtener estos certificados.”

Duqu y Duqu 2.0 comparten varias características, incluido el uso de un encabezado de cookie con una cadena codificada y una cadena aleatoria al enviar mensajes a un servidor CC.

A continuación se muestra una muestra de encabezados de cookies utilizados por las dos cepas de malware.

Duqu: Cookie: PHPSESSID=random_str_0x1A_size
Duqu 2.0: Cookie: PAÍS=random_str_0x1A_size

Otra característica compartida en el código de comunicaciones de red de las dos variantes de Duqu es conectarse a varias URL de Microsoft para recuperar una dirección proxy.

“Tampoco se conecta directamente a un servidor de comando y control para recibir instrucciones”, explicó Kurt Baumgartner, investigador principal de seguridad de Kaspersky Lab . “En cambio, los atacantes infectan puertas de enlace de red y firewalls instalando controladores maliciosos que envían todo el tráfico desde la red interna a los [servidores de comando y control] de los atacantes. Combinados, esto hizo que el descubrimiento fuera muy difícil”.

La nueva cepa de Duqu tiene muchas similitudes con la variante original detectada en. Los actores de amenazas detrás de la campaña Duqu 2.0 no parecían funcionar en absoluto los sábados y las marcas de tiempo de compilación proporcionaron información útil para perfilarlos.

2 – Comparación del código fuente Duqu vs Duqu 2.0

“Durante nuestro análisis en, notamos que los registros recopilados de algunos de los servidores proxy indicaban que los atacantes parecían trabajar menos los viernes y no parecían trabajar en absoluto los sábados, con su semana laboral regular comenzando el domingo”, explicó Baumgartner. “También compilaron binarios el 1 de enero, lo que indica que probablemente era un día laboral normal para ellos. Las marcas de tiempo de compilación en los binarios parecían sugerir una zona horaria de GMT+2 o GMT+3. Finalmente, sus ataques normalmente ocurrirían los miércoles. Esta fue la razón por la que originalmente nos referimos a ellos como la “Pandilla de los Miércoles”.

Los expertos de Kaspersky destacaron la complejidad del mecanismo de comando y control implementado por Duqu 2.0 que mejora el diseñado para la versión original de. El mecanismo de CC se basa en el uso de canales de red y ranuras de correo, filtrado sin procesar del tráfico de red y enmascaramiento del tráfico de CC dentro de archivos de imagen.

Los expertos explicaron que una vez que Duqu 2.0 infecta al cliente en una LAN específica, es posible que los clientes recién infectados no tengan un CC codificado en sus paquetes MSI de instalación. El atacante puede activarlos a través de tuberías de red SMB con un paquete TCP/IP especial que contiene la cadena mágica “tttttttttttttttt”.

“Para conectar los servidores CC, las versiones y/ de Duqu pueden ocultar el tráfico como datos cifrados adjuntos a un archivo de imagen inofensivo. La versión usó un archivo JPEG para esto; la nueva versión puede usar un archivo GIF o un archivo JPEG. Así es como se ven estos archivos de imagen: Otra modificación de las variantes/ es la adición de múltiples cadenas de agentes de usuario para la comunicación HTTP. afirma Kaspersky.

3 – Similitudes entre Duqu y Duqu 2.0

Expertos del Laboratorio de Criptografía y Seguridad de Sistemas (CrySyS) que recibieron una muestra del malware Duqu 2.0 de Kaspersky, destacaron que el grupo detrás de la nueva variante reutilizó parte del código original introduciendo importantes mejoras.

“Reutilizaron el código y las ideas de Duqu en el nuevo malware Duqu 2.0, pero al mismo tiempo también hicieron modificaciones para que Duqu 2.0 fuera indetectable mediante los antiguos métodos de detección”, afirma el informe de CrySyS .

A continuación la lista de similitudes que los expertos descubrieron entre Duqu y Duqu 2.0:

Rutinas de descifrado de cadenas similares relacionadas con cadenas de productos antivirus
Métodos similares, número mágico, error y formato de archivo relacionados con archivos cifrados con AES por ambas amenazas
El mismo cifrado AES en modo CBC no estándar utilizado por ambas amenazas
Módulo de registro extremadamente similar con exactamente los mismos números mágicos
Estilo de compilación y codificación similar al de C++

¿Quién desarrolló Duqu 2.0?

El problema de la atribución no es fácil cuando los expertos se enfrentan a APT tan complejos, el incidente ocurrido en Kaspersky es preocupante y la audacia de los autores de Duqu 2.0 sorprende al CEO de la empresa Eugene Kaspersky.

“Espiar a las empresas de ciberseguridad es una tendencia muy peligrosa”, afirmó Kaspersky. “El software de seguridad es la última frontera de protección para empresas y clientes en el mundo moderno”

Eugene Kaspersky, director general de la firma de seguridad, definió la campaña Duqu 2.0 como muy sofisticada y “casi invisible”.

Kaspersky describió Duqu 2.0 como una “mezcla de Alien, Terminator y Predator, en términos de Hollywood”.

“Querían demostrar que son geniales, para poder afectar a una empresa líder en seguridad de TI”, dijo Kaspersky. “Eso fue un error. Me temo que el coste de este proyecto, el ciberataque, podría ascender a diez millones de dólares, tal vez más”.

¿Por qué atacar a la firma Kaspersky?

Hay varias buenas razones para atacar a una de las empresas de seguridad más importantes. En primer lugar, los atacantes podrían estar interesados en robar secretos sobre las tecnologías de Kaspersky. Al robar información sobre Kaspersky, el atacante puede diseñar nuevo malware que podría evitar la detección de las soluciones defensivas de última generación. Otra buena razón podría ser el interés en las investigaciones realizadas por la empresa sobre los principales grupos de amenazas persistentes avanzadas en estado salvaje.

Los expertos de CrySySLab que analizaron la cepa de Duqu 2.0 que infectó los sistemas de Kaspersky Lab en mayo de especularon que el grupo todavía está activo.

“Después de analizar las muestras que recibimos, creemos que los atacantes detrás del malware Duqu han vuelto y están activos”, afirma el análisis de CrySySLab .

Tod Beardsley, gerente de ingeniería de Rapid7, destacó que el incidente en Kaspersky es una alerta para toda la industria de la seguridad.

“Kaspersky tiene la reputación de ser una de las organizaciones de detección y defensa más capaces del mundo, y el hecho de que se hayan visto comprometidas es un recordatorio aleccionador de que la brecha entre ataque y defensa está, hoy en día, enormemente desequilibrada a favor del atacante. ” dijo Beardsley.

¿Quién está detrás de Duqu 2.0?

El problema de la atribución de un ciberataque es difícil de resolver. Un atacante podría introducir señales falsas para engañar a los investigadores. Una táctica similar adoptaron los autores de Duqu 2.0, según Mikko Hypponen. Agregaron uno de los drivers que contiene la cadena “ugly.gorilla” utilizada por la APT china conocida como Comment Crew .

Los distintos equipos implicados en el análisis del malware Duqu especulan con la implicación de un actor estatal. Duqu fue producto de un esfuerzo conjunto de la NSA Tao y la Unidad israelí 8 Es obvio que ambas agencias de inteligencia son sospechosas también por el desarrollo de Duqu 2.0. El análisis publicado por Kaspersky reveló que Duqu 2.0 no fue diseñado por Equation Group , lo que significa que Israel sigue siendo el principal sospechoso de la campaña. Richard Bejtlich de FireEye comparte la misma opinión.

Basado únicamente en múltiples elementos de la historia de @KimZetter sobre la intrusión de @kaspersky , parece que “Duqu 2.0” podría ser una campaña israelí.

— Richard Bejtlich (@taosecurity) 10 de julio de

Conclusión

Basándose en el análisis de varias empresas de seguridad, los expertos creen que Duqu 2.0 es un malware gubernamental que representa una evolución de la cepa original de Duqu. Los expertos creen que Duqu y Duqu 2.0 fueron desarrollados por el mismo grupo de desarrolladores. Duqu 2.0 es un potente software espía diseñado para permanecer fuera de los radares a largo plazo.

Es probable que los autores de Duqu 2.0 hayan utilizado el malware como una de sus principales herramientas en múltiples campañas de ciberespionaje.

“Dado que la actividad en torno a la versión original de Duqu disminuyó después de su descubrimiento, es probable que el grupo se retire antes de resurgir con nuevo malware”, afirman los expertos de CrySyS Lab .

Permítanme terminar sugiriéndoles la lectura de los Indicadores de Compromiso (IOC) proporcionados por Kaspersky, que incluyen MD5 e IP de los servidores de comando y control.

El documento técnico de Duqu 2.0 (PDF) se puede encontrar aquí
Los indicadores de compromiso (IOC) se pueden encontrar aquí