دوکیو

دوکیو (به انگلیسی: Duqu) مجموعه‌ای از بدافزارهای رایانه‌ای است که در ۱ سپتامبر ۲۰۱۱ کشف شد. آزمایشگاه کسپرسکی تصور می‌کرد که مربوط به کرم استاکس‌نت^[۱] است و توسط یگان ۸۲۰۰ ایجاد شده‌است.^[۲]^{^{[منبع بهتری نیاز است]}}دوکیو از آسیب‌پذیری حمله روز صفر مایکروسافت ویندوز استفاده کرده‌است. آزمایشگاه رمزنگاری و امنیت سیستم (CrySyS Lab)^[۳] دانشگاه فناوری و اقتصاد بوداپست در مجارستان تهدید را کشف کرد و بدافزار را تجزیه و تحلیل و گزارشی ۶۰ صفحه ای دربارهٔ آن نوشت^[۴] و نام تهدید را دوکیو گذاشت.^[۵] دوکیو نام خود را از پیشوند نام پرونده‌هایی که ایجاد می‌کند یعنی «~DQ» گرفته‌است.^[۶]

اصطلاحات

اصطلاح دوکیو به روش‌های مختلفی استفاده می‌شود:

بدافزار دوکیو مجموعه‌ای از اجزای نرم‌افزاری است که با هم خدماتی را به مهاجمان ارائه می‌کنند. در حال حاضر این شامل قابلیت‌های سرقت اطلاعات و در پس‌زمینه، درایورهای کرنل (هسته) و ابزارهای تزریق است. بخشی از این بدافزار به زبان برنامه‌نویسی سطح بالا ناشناخته نوشته شده‌است،^[۷] که «چارچوب دوکیو» نام دارد. درواقع زبان‌های C++, Python, Ada, Lua و بسیاری دیگر از زبان‌های بررسی شده نبودند. با این حال، پیشنهاد شده که دوکیو ممکن است به زبان C با یک چارچوب شی گرا سفارشی نوشته شده باشد و در مایکروسافت ویژوال استودیو ۲۰۰۸ کامپایل شده باشد.^[۸]
نقص دوکیو نقصی در ویندوز مایکروسافت است که در فایل‌های مخرب برای اجرای اجزای بدافزار دوکیو استفاده می‌شود. در حال حاضر یک نقص شناخته شده مربوط به فونت تروتایپ درwin32k.sys
عملیات دوکیو تنها فرایند استفاده از دوکیو برای اهداف ناشناخته است. این عملیات ممکن است مربوط به عملیات استاکس‌نت باشد.

ارتباط با استاکس‌نت

سیمانتک، بر اساس تیم CrySyS که توسط گزارش دکتر تیبو گینچ اداره می‌شود آن را «تقریباً مشابه استاکس‌نت، اما با هدفی کاملاً متفاوت» خوانده و یک مقاله فنی دقیق در مورد آن منتشر کرده‌است. نسخه پایین گزارش آزمایشگاه اصلی به عنوان ضمیمه فنی منتشر شده‌است.^[۶] سیمانتک معتقد است که دوکیو توسط همان نویسندگان استاکس‌نت ایجاد شده یا نویسندگان به کد منبع استاکس‌نت دسترسی داشته‌اند. این کرم مانند استاکس‌نت دارای امضای دیجیتال معتبر اما مورد سوء استفاده شده قرار گرفته‌است و اطلاعاتی را برای آماده شدن برای حملات آینده جمع‌آوری می‌کند.^[۶]^[۹] میکو هیپونن، مدیر ارشد تحقیقات اف‌سکیور گفت که درایور هسته دوکیو JMINET7.SYS بسیار شبیه هسته MRXCLS.SYS استاکس‌نت است و سیستم بک‌اند اف‌سکیور فکر می‌کرد استاکس‌نت بوده‌است. هیپونن همچنین گفت که کلید مورد استفاده برای ساخت امضای دیجیتال خود دوکیو (فقط در یک مورد مشاهده شد) از سی-مدیا واقع در تایپه، تایوان به سرقت رفته‌است. گواهینامه‌ها قرار بود در ۲ اوت ۲۰۱۲ منقضی شوند اما طبق گفته سیمانتک در ۱۴ اکتبر ۲۰۱۱ لغو شدند.^[۱۰]

منبع دیگری مثل سکیورورکز، گزارش می‌دهد که دوکیو ممکن است با استاکس‌نت مرتبط نباشد.^[۱۱] با این حال، شواهد قابل توجه و فزاینده ای وجود دارد که نشان می‌دهد دوکیو با استاکس‌نت ارتباط نزدیک داشته‌است.

کارشناسان شباهت‌ها را مقایسه کردند و سه نکته جالب را یافتند:

نصب کننده از آسیب‌پذیری‌های هسته ویندوز روز صفر سوء استفاده می‌کند.
اجزا با کلیدهای دیجیتال دزدیده شده امضا می‌شوند.
دوکیو و استاکس‌نت هر دو بسیار هدفمند و مرتبط با برنامه هسته ای ایران هستند.

بهره‌برداری روز صفر مایکروسافت ورد

همانند استاکس‌نت، دوکیو با استفاده از یک آسیب‌پذیری روز صفر به سیستم‌های ویندوز مایکروسافت حمله می‌کند. اولین فایل نصب کننده شناخته شده (AKA dropper) که توسط آزمایشگاه CrySyS بازیابی و فاش شده‌است از یک سند ماکروسافت ورد استفاده می‌کند که از موتور تجزیه فونت تروتایپ بهره‌برداری می‌کند و امکان اجرا را به آن می‌دهد.^[۱۲] چکاننده دوکیو مربوط به جاسازی فونت است و بنابراین به راه حل محدود کردن دسترسی به T2EMBED.DLL است که اگر پچ منتشر شده توسط مایکروسافت در دسامبر ۲۰۱۱ هنوز نصب نشده باشد یک موتور تجزیه فونت تروتایپ است.^[۱۳] شناسه مایکروسافت برای این تهدید MS11-087 است (اولین توصیه در ۱۳ نوامبر ۲۰۱۱ صادر شد).^[۱۴]

هدف

دوکیو به دنبال اطلاعاتی است که می‌تواند در حمله به سیستم‌های کنترل صنعتی مفید باشد. هدف آن مخرب بودن نیست، اجزای شناخته شده سعی در جمع‌آوری اطلاعات دارند.^[۱۵] با این حال، بر اساس ساختار مدولار دوکیو، محموله ویژه می‌تواند برای حمله به هر نوع سیستم کامپیوتری به هر وسیله ای مورد استفاده قرار گیرد و در نتیجه ممکن است حملات سایبری-فیزیکی مبتنی بر دوکیو امکان‌پذیر باشد. با این حال، استفاده در سیستم‌های رایانه شخصی برای حذف تمام اطلاعات تازه‌وارد شده در سیستم و در برخی موارد حذف کامل هارد دیسک رایانه مشاهده شده‌است. ارتباطات داخلی دوکیو توسط سیمنتک تجزیه و تحلیل می‌شود،^[۶] روش واقعی و دقیق نحوه تکثیر آن در داخل شبکه مورد حمله هنوز به‌طور کامل شناخته نشده‌است. به گفته مک‌افی، یکی از اقدامات دوکیو سرقت گواهی‌های دیجیتال (و کلیدهای خصوصی‌ای که در رمزنگاری کلید عمومی استفاده می‌شود) از رایانه‌های مورد حمله برای کمک به ویروس‌های آینده به عنوان نرم‌افزار امن است.^[۱۶] دوکیو از یک فایل JPEG 54×۵۴ پیکسل و فایل‌های ساختگی رمزگذاری شده به عنوان کانتینر برای قاچاق داده‌ها به مرکز فرماندهی و کنترل خود استفاده می‌کند. کارشناسان امنیتی هنوز در حال تجزیه و تحلیل کد هستند تا مشخص کنند که ارتباطات حاوی چه اطلاعاتی است. تحقیقات اولیه نشان می‌دهد که نمونه بدافزار اصلی پس از ۳۶ روز به‌طور خودکار خود را حذف می‌کند (بدافزار این تنظیمات را در فایل‌های پیکربندی ذخیره می‌کند) که این موضوع تشخیص آن را محدود می‌کند.

نکات کلیدی عبارتند از:

برنامه‌های اجرایی پس از استاکس‌نت با استفاده از کد منبع استاکس‌نت که کشف شده‌است توسعه یافته‌اند.
فایل‌های اجرایی برای گرفتن اطلاعاتی مانند ضربه زدن کلید و اطلاعات سیستم طراحی شده‌اند.
تجزیه و تحلیل فعلی هیچ کدی مربوط به سیستم‌های کنترل صنعتی، اکسپلویت‌ها یا خود تکراری را نشان نمی‌دهد.
موارد اجرایی در تعداد محدودی از سازمان‌ها، از جمله سازمان‌هایی که در ساخت سیستم‌های کنترل صنعتی درگیر هستند، یافت شده‌اند.
داده‌های استخراج‌شده ممکن است برای فعال کردن یک حمله استاکس‌نت مانند آینده استفاده شوند یا ممکن است قبلاً به عنوان مبنایی برای حمله استاکس‌نت استفاده شده باشند.

کارسازهای فرمان و کنترل

برخی از سرورهای فرمان و کنترل دوکیو مورد تجزیه و تحلیل قرار گرفته‌است. به نظر می‌رسد افرادی که این حمله را انجام می‌دهند، تمایل زیادی به کارسازهای سنت‌اواس ۵.x داشتند، که باعث شد برخی از محققان بر این باور باشند که یک^[۱۷] بهره‌بردار روز صفر برای آن دارند. کارسازها در بسیاری از کشورهای مختلف از جمله آلمان، بلژیک، فیلیپین، هند و چین پخش شده‌اند. کسپرسکی چندین پست وبلاگ را در کارسازهای فرمان و کنترل آن منتشر کرده‌است.^[۱۸]

جستارهای وابسته

استاکس‌نت

منابع

↑ How Israel Caught Russian Hackers Scouring the World for U.S. Secrets, New York Times
↑ NSA, Unit 8200, and Malware Proliferation بایگانی‌شده در ۲۰۱۷-۱۰-۲۵ توسط Wayback Machine Jeffrey Carr, Principal consultant at 20KLeague.com; Founder of Suits and Spooks; Author of “Inside Cyber Warfare (O’Reilly Media, 2009, 2011), medium.com, Aug 25, 2016
↑ "Laboratory of Cryptography and System Security (CrySyS)". Retrieved 4 November 2011.
↑ "Duqu: A Stuxnet-like malware found in the wild, technical report" (PDF). Laboratory of Cryptography of Systems Security (CrySyS). 14 October 2011.
↑ "Statement on Duqu's initial analysis". Laboratory of Cryptography of Systems Security (CrySyS). 21 October 2011. Archived from the original on 4 October 2012. Retrieved 25 October 2011.
↑ ^۶٫۰ ^۶٫۱ ^۶٫۲ ^۶٫۳ "W32.Duqu – The precursor to the next Stuxnet (Version 1.4)" (PDF). Symantec. 23 November 2011. Retrieved 30 December 2011.
↑ «Duqu Trojan contains mystery programming language in Payload DLL». TechSpot (به انگلیسی). ۲۰۱۲-۰۳-۰۹. دریافت‌شده در ۲۰۲۴-۱۰-۰۵.
↑ "Securelist | Kaspersky's threat research and reports".
↑ "Virus Duqu alarmiert IT-Sicherheitsexperten". Die Zeit. 19 October 2011. Retrieved 19 October 2011.
↑ خطای یادکرد: خطای یادکرد:برچسب <ref>‎ غیرمجاز؛ متنی برای یادکردهای با نام Son_of_Stuxnet وارد نشده است. (صفحهٔ راهنما را مطالعه کنید.).
↑ "Spotted in Iran, trojan Duqu may not be "son of Stuxnet" after all". 27 October 2011. Retrieved 27 October 2011.
↑ "Microsoft issues temporary 'fix-it' for Duqu zero-day". ZDNet. Retrieved 5 November 2011.
↑ "Microsoft Security Advisory (2639658)". Vulnerability in TrueType Font Parsing Could Allow Elevation of Privilege. 3 November 2011. Retrieved 5 November 2011.
↑ "Microsoft Security Bulletin MS11-087 - Critical". Retrieved 13 November 2011.
↑ Steven Cherry, with Larry Constantine (14 December 2011). "Sons of Stuxnet". IEEE Spectrum.
↑ Venere, Guilherme; Szor, Peter (18 October 2011). "The Day of the Golden Jackal – The Next Tale in the Stuxnet Files: Duqu". McAfee. Archived from the original on 31 May 2016. Retrieved 19 October 2011.
↑ Garmon, Matthew. "In Command & Out of Control". Matt Garmon. DIG. Archived from the original on 8 August 2018. Retrieved 5 December 2022.
↑ Kamluk, Vitaly (30 November 2011). "The Mystery of Duqu: Part Six (The Command and Control servers)". Securelist by Kaspersky. Archived from the original on 7 June 2022. Retrieved 7 June 2022.

[1] How Israel Caught Russian Hackers Scouring the World for U.S. Secrets, New York Times

[2] NSA, Unit 8200, and Malware Proliferation بایگانی‌شده در ۲۰۱۷-۱۰-۲۵ توسط Wayback Machine Jeffrey Carr, Principal consultant at 20KLeague.com; Founder of Suits and Spooks; Author of “Inside Cyber Warfare (O’Reilly Media, 2009, 2011), medium.com, Aug 25, 2016

[3] "Laboratory of Cryptography and System Security (CrySyS)". Retrieved 4 November 2011.

[4] "Duqu: A Stuxnet-like malware found in the wild, technical report" (PDF). Laboratory of Cryptography of Systems Security (CrySyS). 14 October 2011.

[5] "Statement on Duqu's initial analysis". Laboratory of Cryptography of Systems Security (CrySyS). 21 October 2011. Archived from the original on 4 October 2012. Retrieved 25 October 2011.

[syamantecduqu-6] ۶٫۰ ^۶٫۱ ^۶٫۲ ^۶٫۳ "W32.Duqu – The precursor to the next Stuxnet (Version 1.4)" (PDF). Symantec. 23 November 2011. Retrieved 30 December 2011.

[7] «Duqu Trojan contains mystery programming language in Payload DLL». TechSpot (به انگلیسی). ۲۰۱۲-۰۳-۰۹. دریافت‌شده در ۲۰۲۴-۱۰-۰۵.

[8] "Securelist | Kaspersky's threat research and reports".

[9] "Virus Duqu alarmiert IT-Sicherheitsexperten". Die Zeit. 19 October 2011. Retrieved 19 October 2011.

[Son_of_Stuxnet-10] خطای یادکرد: خطای یادکرد:برچسب <ref>‎ غیرمجاز؛ متنی برای یادکردهای با نام Son_of_Stuxnet وارد نشده است. (صفحهٔ راهنما را مطالعه کنید.).

[11] "Spotted in Iran, trojan Duqu may not be "son of Stuxnet" after all". 27 October 2011. Retrieved 27 October 2011.

[12] "Microsoft issues temporary 'fix-it' for Duqu zero-day". ZDNet. Retrieved 5 November 2011.

[13] "Microsoft Security Advisory (2639658)". Vulnerability in TrueType Font Parsing Could Allow Elevation of Privilege. 3 November 2011. Retrieved 5 November 2011.

[14] "Microsoft Security Bulletin MS11-087 - Critical". Retrieved 13 November 2011.

[15] Steven Cherry, with Larry Constantine (14 December 2011). "Sons of Stuxnet". IEEE Spectrum.

[16] Venere, Guilherme; Szor, Peter (18 October 2011). "The Day of the Golden Jackal – The Next Tale in the Stuxnet Files: Duqu". McAfee. Archived from the original on 31 May 2016. Retrieved 19 October 2011.

[Suspected_Vulnerability-17] Garmon, Matthew. "In Command & Out of Control". Matt Garmon. DIG. Archived from the original on 8 August 2018. Retrieved 5 December 2022.

[18] Kamluk, Vitaly (30 November 2011). "The Mystery of Duqu: Part Six (The Command and Control servers)". Securelist by Kaspersky. Archived from the original on 7 June 2022. Retrieved 7 June 2022.

[۱]

[۲]

[۳]

[۴]

[۵]

[۶]

[۷]

[۸]

[۹]

[۱۰]

[۱۱]

[۱۲]

[۱۳]

[۱۴]

[۱۵]

[۱۶]

[۱۷]

[۱۸]