Как определить точную дату заражения Win32/Duqu

После того, как появилась первая информация о Win32/Duqu мы не могли пройти мимо, так как нам было очень интересно составить собственные впечатления об этой угрозе (да и challenge со Stuxnet напомнило). Начали копать, оказалось, что код Duqu имеет очень много общего со своим старшим братом Stuxnet. В процессе анализа складывается впечатление, что некоторые части просто полностью повторяют код из Win32/Stuxnet. Код драйверов практически идентичен, еще из наблюдений скорее всего для обоих разработок был использован какой то общий фреймворк для разработки всякого.

С того момента, как мы начали исследовать Win32/Duqu, нас интересовал вопрос, каким образом можно идентифицировать точную дату заражения компьютера этой вредоносной программой (т.к. дроппер нам до сих пор найти не удалось). Такая информация, прежде всего, полезна для проведения криминалистической экспертизы и восстановления картины произошедших событий. У нас появилась идея о том, что если Duqu хранит информацию о моменте своего самоудаления, то должна быть информация, с которой начинается этот отсчет (варианта могло быть два, либо счетчик, либо дата заражения). Нам удалось обнаружить интересную вещь, на данный момент у нас есть несколько наборов сэмплов с различных зараженных машин. И оказалось, что в процессе заражения формируется так называемая main.dll, в которой сохраняется точная дата заражения в UTC-формате. Ниже мы приводим декомпилированный код, осуществляющий проверку этой самой даты:

Win32/Olmasco: новый виток развития TDL4

На днях в нашем англоязычном блоге мы уже писали об изменениях, произошедших за последнее время с TDL4. Для того, чтобы не было кривотолков нашего исследования, а оно уже стало сумбурно цитироваться русскоязычными СМИ, немного проясню ситуацию. Итак, во второй половине сентября нам попался интересный сэмпл TDL4 (точнее сначала мы так думали), который не смог быть обработан нашим автоматическим трекером для этого буткита. Собственно именно этот факт и привлек наше пристальное внимание к нему, при более детальном анализе оказалось, что это не Win32/Olmarik, а его модификация Win32/Olmasco (также известная, как MaxxSS). Olmasco базируется на исходных кодах TDL3/TDL4 и разрабатывается/поддерживается совсем другой группой разработчиков (это отчетливо видно по модификациям внесенным в код). Первый сэмпл попавший в семейство Win32/Olmasco в наших базах был обнаружен аж в январе этого года (обновление антивирусных баз от 2011/01/11), до этого момента мы не выделяли эти модификации в отдельное семейство. Вначале Olmasco базировался на исходных кодах TDL3, но в сентябре ситуация изменилась и появилась модификация базирующаяся на исходных кодах TDL4. Первыми, кто заметил нестандартный TDL4, была компания Microsoft. Исследователи из MS опубликовали интересную особенность нового Win32/Olmasco у себя в блоге. А точнее, новый буткит получил помимо новых возможностей дистрибуции по различным партнеркам, любопытный функционал получения резервных адресов командных центров. Эти адреса скачивались в виде изображений, которые использовались в роли стегано-контейнеров.

Win32/Duqu: новый виток развития истории со Stuxnet

Буквально несколько часов назад компания Symantec обнародовала довольно интересный исследовательский отчет "Duqu: the precursor to the next Stuxnet". Собственно повествует он о вредоносной программе, которая своей реализацией сильно напоминает все известный Stuxnet. Причем настолько напоминает, что местами, кажется, что этот код писала одна и таже группа разработчиков. Сценарий работы очень схож со Stuxnet, но кода много и поэтому на 100% процентов для себя еще не подтвердил идентичность авторов. Из интересного вот такая вот сравнительная таблица:

Modern Bootkit Trends: Bypassing Kernel-Mode Signing Policy

Слайды нашего доклада с VB'2011:

Это немного урезанный вариант доклада с Ekoparty, плюс добавилось несколько новых слайдов в конце, о причинах работы этого вектора атак.

Впечатления от Ekoparty

В этом году конференция Ekoparty прошла уже в седьмой раз, если кто не знает эта самое главное мероприятие для  латинской Америки и традиционно оно проходит в славном городе Буэнос-Айрес. Мероприятие в первую очередь направленно на исследователей в области ИБ и содержит  большое количество хардкорных технических докладов.