Содержимое секции кода Payload DLL (иллюстрация «Лаборатории Касперского»).
Эксперты «Лаборатории Касперского», анализировавшие код опасного трояна Duqu, пришли к весьма неожиданным выводам.
Duqu, сообщения о повышенной активности которого появились в октябре 2011-го, имеет поразительное сходство с нашумевшим червём Stuxnet.
Главная задача Duqu — сбор конфиденциальных данных об имеющемся на
предприятии оборудовании и системах, используемых для управления
производственным циклом. Это может быть любая информация, которая
пригодится при организации нападения: скриншоты, логи с клавиатуры,
список запущенных процессов, данные учётных записей пользователей и пр.
Один из важнейших нерешённых вопросов, связанных с Duqu,
заключается в том, как эта троянская программа обменивается информацией
со своими командными серверами после заражения компьютера-жертвы.
Эксперты пришли к выводу, что модуль Duqu, отвечающий за коммуникацию,
является частью его библиотеки с основным кодом (Payload DLL).
На первый взгляд, отмечает «Лаборатория Касперского», Payload DLL
выглядит как обычная загружаемая библиотека формата Windows PE,
скомпилированная Microsoft Visual Studio 2008 (версия компоновщика —
9.0). Однако при детальном изучении библиотеки специалисты обнаружили,
что часть её кода, отвечающая за взаимодействие с командным сервером,
написана на неизвестном языке программирования.
Странный участок назван исследователями «Фреймворком Duqu».
Специалисты пришли к выводу, что применённый вирусописателями язык
является объектно ориентированным и оптимально подходит для создания
сетевых приложений. Возможно, авторы использовали собственные средства
разработки для генерации промежуточного кода на C — либо применяли
совершенно иной язык программирования.
«Язык, использованный в «Фреймворке Duqu»,
высокоспециализирован, — пишет «Лаборатория Касперского». — Он позволяет
Payload DLL работать независимо от остальных модулей Duqu и
обеспечивает подключение к выделенному командному серверу несколькими
способами, в том числе через Windows HTTP, сетевые сокеты и
прокси-серверы. Кроме того, он позволяет библиотеке обрабатывать прямые
HTTP-запросы от командного сервера, незаметно пересылает копии
украденных данных с зараженной машины на командный сервер и даже может
доставлять дополнительные вредоносные модули на другие компьютеры в
составе сети, то есть создаёт возможность контролируемо и скрытно
распространять заражение на другие компьютеры».
Применение собственного языка программирования говорит о
высочайшем уровне квалификации разработчиков трояна. «Лаборатория
Касперского» обращается к сообществу программистов с просьбой о помощи в
изучении этой предельно сложной вредоносной разработки.
Подготовлено по материалам «Лаборатории Касперского».
|