Duqu

Duqu, 1 Eylül 2011'de keşfedilen ve Stuxnet solucanı ile ilgili olduğu ve Unit 8200 tarafından yaratıldığı düşünülen bir bilgisayar virüsüdür.^[1] Macaristan'daki Budapeşte Teknoloji ve Ekonomi Üniversitesi Kriptografi ve Sistem Güvenliği Laboratuvarı (CrySyS Lab)^[2] tehdidi keşfetti, analiz etti ve Duqu tehdidini tanımlayan 60 sayfalık bir rapor yazdı.^[3][4] Duqu, adını yarattığı dosyaların isimlerine verdiği "~DQ" ön ekinden almıştır.^[5]

Terminoloji

Duqu terimi çeşitli şekillerde kullanılır:

• Duqu malware, birlikte saldırganlara hizmet sağlayan çeşitli yazılım bileşenleridir. Şu anda bu bilgi çalma yeteneklerini ve arka planda, çekirdek sürücülerini ve enjeksiyon araçlarını içerir. Bu kötü amaçlı yazılımın bir kısmı bilinmeyen bir üst düzey programlama dilinde yazılmıştır^[6] ve "Duqu framework" olarak adlandırılmıştır. C++, Python, Ada, Lua ve diğer kontrol edilen dillerde yazılmamıştır. Bununla birlikte, son kanıtlar 5 Haziran 2016 tarihinde Wayback Machine sitesinde arşivlendi. Duqu'nun C'ye özel bir nesne yönelimli çerçeveyle yazılmış ve Microsoft Visual Studio 2008'de derlenmiş olabileceğini göstermektedir.
• Duqu açığı, Microsoft Windows'un kötü amaçlı dosyalarda Duqu'un kötü amaçlı yazılım bileşenlerini yürütmesini sağlamak için kullanılan kusurudur. Şu anda Win32k.SYS'de TrueType yazı tipiyle alakalı bir açık olduğu bilinmektedir.
• Duqu işlemi, bilinmeyen hedefler için yalnızca Duqu kullanma işlemidir. İşlem Stuxnet Operasyonu ile ilgili olabilir.

Stuxnet ile ilişkisii

Dr. Thibault Gainche tarafından yönetilen CrySyS ekibine dayanan Symantec, "Stuxnet'le neredeyse aynı, ancak tamamen farklı bir amacı var" olarak adlandırdığı tehdidin analizini sürdürdü ve hakkında detaylı bir teknik makale yayınladı.^[5] Symantec, Duqu'un Stuxnet ile aynı yazarlar tarafından oluşturulduğuna veya yazarların Stuxnet'in kaynak koduna erişimi olduğuna inanıyor. Stuxnet gibi solucanın da geçerli ancak istismara uğramış bir dijital imzası vardır ve gelecekteki saldırılara hazırlanmak için bilgi toplar.^[5][7] F-Secure Araştırma Sorumlusu Mikko Hyppönen, Duqu'nun çekirdek sürücüsü JMINET7.SYS'in Stuxnet'in MRXCLS.SYS'ine çok benzediğini söyledi. F-Secure'un arka uç sistemi saldırının Stuxnet olduğunu düşünüyordu. Hyppönen ayrıca Duqu'un kendi dijital imzasını yapmak için kullanılan anahtarın (sadece bir durumda gözlendi) Tayvan'ın Taipei kentinde bulunan C-Media'dan çalındığını söyledi. Sertifikaların 2 Ağustos 2012'de sona ermesi gerekiyordu ancak Symantec'e göre 14 Ekim 2011'de iptal edildi.^[8]

Başka bir kaynak olan Dell SecureWorks, Duqu'nun Stuxnet ile ilişkili olmayabileceğini bildirdi.^[9] Bununla birlikte, Duqu'nun Stuxnet ile yakından ilgili olduğuna dair kayda değer ve gittikçe artan kanıtlar vardır.

Uzmanlar benzerlikleri karşılaştırdı ve üç ilgi alanı buldu:

• Yükleyici, zero-day Windows çekirdek güvenlik açıklarından yararlanır.
• Parçalar çalınan dijital anahtarlarla imzalanmıştır.
• Duqu ve Stuxnet, Direkt olarak İran'ın nükleer programını hedef almıştır.

Microsoft Word zero-day açığı

Stuxnet gibi Duqu da zero-day açığını kullanarak Microsoft Windows sistemlerine saldırıyor. İlk bilinen yükleyici (dropper) dosyası, CrySyS Lab tarafından kurtarıldı ve Win32k TrueType yazı tipi ayrıştırma motorunu kullanan ve çalıştırmaya izin veren bir Microsoft Word belgesi kullandığını belirledi.^[10] Duqu damlalığı yazı tipi gömme işlemiyle ilgilidir ve bu nedenle Microsoft tarafından Aralık 2011'de yayımlanan düzeltme eki henüz yüklenmediyse TrueType yazı tipi haritalama motoru olan T2EMBED.DLL'ye erişimi kısıtlamak için geçici çözümler uygulayabilir.^[11] Microsoft, tehdidi MS11-087 olarak tanımlıyor.^[12]

Amaç

Duqu, endüstriyel kontrol sistemlerine saldırmada faydalı olabilecek bilgileri arar. Amacı yıkıcı olmak değil, bilinen bileşenler bilgi toplamaya çalışmaktadır.^[13] Bununla birlikte, Duqu'un modüler yapısına dayanarak, herhangi bir şekilde bir bilgisayar sistemine saldırmak için özel bir taşıma yükü kullanılabilir ve bu nedenle Duqu'ya dayalı siber-fiziksel saldırılar mümkün olabilir. Bununla birlikte, kişisel bilgisayar sistemlerinde kullanımın, sisteme girilen tüm bilgileri silmek ve bazı durumlarda bilgisayarın sabit diskini tamamen silmek için olduğu tespit edilmiştir. Duqu'nun dahili iletişimi Symantec tarafından analiz edildi,^[5] ancak saldırıya uğramış bir ağ içinde nasıl çoğaldığı gerçek ve kesin yöntem henüz tam olarak bilinmemektedir. McAfee'ye göre, Duqu'nun eylemlerinden biri, gelecekteki virüslerin güvenli yazılım olarak görünmesine yardımcı olmak için saldırıya uğramış bilgisayarlardan dijital sertifikaları (ve genel anahtar şifrelemesinde kullanılan ilgili özel anahtarları) çalmaktır.^[14] Duqu, 54×54 piksel JPEG dosya kullanır ve sahte dosyaları komuta ve kontrol merkezine gizlemek için şifreli olarak kullanır. Güvenlik uzmanları, iletişimin hangi bilgileri içerdiğini belirlemek için hâla kodu incelemektedir. İlk araştırma, orijinal kötü amaçlı yazılım örneğinin 36 gün sonra otomatik olarak kendisini kaldırdığını (kötü amaçlı yazılım bu ayarı yapılandırma dosyalarında saklar) gösterir, bu da algılanmasını zorlaştırır.^[8]

Anahtar noktalar şunlardır:

• Çalıştırılabilir uygulamalar Stuxnet'ten sonra keşfedilen Stuxnet kaynak kodunu kullanarak geliştirilmiştir.
• Çalıştırılabilir uygulamalar tuş basmaları ve sistem bilgileri gibi bilgileri yakalamak için tasarlanmıştır.
• Mevcut analiz; endüstriyel kontrol sistemleri, istismarlar veya kendi kendini çoğaltma ile ilgili hiçbir kod göstermemektedir.
• Çalıştırılabilir uygulamalar; endüstriyel kontrol sistemlerinin imalatına dahil olanlar dahil, sınırlı sayıda kuruluşta bulunmuştur.
• Çıkarılan veriler gelecekteki Stuxnet benzeri bir saldırıyı sağlamak için kullanılabilir veya Stuxnet saldırısı için temel olarak kullanılmış olabilir.

Komuta ve kontrol sunucuları

Duqu'nun bazı botnetleri analiz edildi. Saldırıyı yapan insanların CentOS 5.x sunucularda buldukları bir açık için o işletim sistemine sahip sunucuları kullandıkları gözüküyor.^[15] Sunucular Almanya, Belçika, Filipinler, Hindistan ve Çin dahil olmak üzere pek çok farklı ülkede dağınık durumda. Kaspersky, komut ve kontrol sunucularında birden fazla blog yayınladı.^[16]

Ayrıca bakınız

• Flame (malware)
• Titan Rain
• Unit 8200

Kaynakça

1. ^ NSA, Unit 8200, and Malware Proliferation 25 Ekim 2017 tarihinde Wayback Machine sitesinde arşivlendi. Jeffrey CarrFollow Principal consultant at 20KLeague.com; Founder of Suits and Spooks; Author of “Inside Cyber Warfare (O’Reilly Media, 2009, 2011), Aug 25, 2016
2. ^ "Laboratory of Cryptography and System Security (CrySyS)". 7 Ağustos 2019 tarihinde kaynağından arşivlendi. Erişim tarihi: 4 Kasım 2011. 
3. ^ "Duqu: A Stuxnet-like malware found in the wild, technical report" (PDF). Laboratory of Cryptography of Systems Security (CrySyS). 14 Ekim 2011. 21 Nisan 2019 tarihinde kaynağından (PDF) arşivlendi. Erişim tarihi: 21 Kasım 2019. 
4. ^ "Statement on Duqu's initial analysis". Laboratory of Cryptography of Systems Security (CrySyS). 21 October 2011. 3 October 2012 tarihinde kaynağından arşivlendi. Erişim tarihi: 25 October 2011. 
5. ^ ^{a b c d} "W32.Duqu – The precursor to the next Stuxnet (Version 1.4)" (PDF). Symantec. 23 Kasım 2011. 25 Ekim 2019 tarihinde kaynağından (PDF) arşivlendi. Erişim tarihi: 30 Aralık 2011. 
6. ^ Shawn Knight (2012) 24 Aralık 2017 tarihinde Wayback Machine sitesinde arşivlendi. Duqu Trojan contains mystery programming language in Payload DLL
7. ^ "Virus Duqu alarmiert IT-Sicherheitsexperten". Die Zeit. 19 Ekim 2011. 20 Ekim 2011 tarihinde kaynağından arşivlendi. Erişim tarihi: 19 Ekim 2011. 
8. ^ ^{a b} Zetter, Kim (18 Ekim 2011). "Son of Stuxnet Found in the Wild on Systems in Europe". Wired. 20 Ekim 2011 tarihinde kaynağından arşivlendi. Erişim tarihi: 21 Ekim 2011. 
9. ^ "Spotted in Iran, trojan Duqu may not be "son of Stuxnet" after all". 22 Nisan 2012 tarihinde kaynağından arşivlendi. Erişim tarihi: 27 Ekim 2011. 
10. ^ "Microsoft issues temporary 'fix-it' for Duqu zero-day". 6 Kasım 2012 tarihinde kaynağından arşivlendi. Erişim tarihi: 5 Kasım 2011. 
11. ^ "Microsoft Security Advisory (2639658)". Vulnerability in TrueType Font Parsing Could Allow Elevation of Privilege. 3 Kasım 2011. 5 Kasım 2011 tarihinde kaynağından arşivlendi. Erişim tarihi: 5 Kasım 2011. 
12. ^ "Microsoft Security Bulletin MS11-087 - Critical". 8 Nisan 2014 tarihinde kaynağından arşivlendi. Erişim tarihi: 13 Kasım 2011. 
13. ^ Steven Cherry, with Larry Constantine (14 Aralık 2011). "Sons of Stuxnet". IEEE Spectrum. 25 Aralık 2018 tarihinde kaynağından arşivlendi. Erişim tarihi: 21 Kasım 2019. 
14. ^ Venere, Guilherme; Szor, Peter (18 Ekim 2011). "The Day of the Golden Jackal – The Next Tale in the Stuxnet Files: Duqu". McAfee. 31 Mayıs 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 19 Ekim 2011. 
15. ^ Garmon, Matthew. "In Command & Out of Control". Matt Garmon. DIG. 8 Ağustos 2018 tarihinde kaynağından arşivlendi. Erişim tarihi: 21 Kasım 2019. 
16. ^ "Arşivlenmiş kopya". 7 Haziran 2014 tarihinde kaynağından arşivlendi. Erişim tarihi: 21 Kasım 2019.