miércoles, 19 de octubre de 2011

Stuxnet V 2.0 = DUQU

Si recuerdan, en octubre del 2010, hicimos un artículo sobre un malware denominado Stuxnet (ver Aquí). Si bien el gusano no logró del todo su objetivo, hace unos días apareció un código malicioso que intenta reunir datos de la plataforma e información sobre los proveedores de sistemas de control industrial. El objetivo es recolectar dicha información para preparar nuevamente un ataque y lograr el objetivo (parar la planta o bien lograr un daño, recuerden que el objetivo original era parar las Centrales Nucleares de Irán).
El mismo ha sido denominado DUQU, debido a que genera archivos con prefijo "~DQ". El gusano no es dañino, ya que el objetivo es recolectar informacion de la plataforma.
Por el código y en base al comportamiento aseguran que los autores de DUQU son los mismos que elaboraron el malware Stuxnet o bien por desarrolladores que han accedido al código del mismo (Si recuerdan, Stuxnet está publicado en Internet y pueden bajar el código para analizar su comportamiento).

Cómo funciona?
Una vez infectado el sistema, por 36 días recolecta información y luego se remueve de la plataforma. Mientras está funcionando, utiliza los protocolos HTTP y HTTPS para conectarse con un servidor externo (alojado en la India, cuya dirección IP es la 206.183.111.97) y enviar la informacion recolectada.
Los atacantes utilizaron Duqu para instalar un software Infostealer (pariente del keylogger), que puede grabar las pulsaciones de teclado, y recopilar información del sistema. Los atacantes estaban en busca de activos de información que pueda ser utilizado en un ataque futuro. Según Symantec, en su dossier, detalla que encontró dos variantes, una de ellas fue recuperadas con binarios cuya fecha era el 1 de septiembre de 2011. La otra variante, con fecha del 17 de Octubre de 2011.

Según informa Symantec, el gusano consiste en un archivo de controlador, una DLL (que posee varios archivos incrustados), y un archivo de configuración. Estos archivos deben ser instalados por otro ejecutable (el instalador), que según Symantec aún no ha recuperado. El instalador registra el archivo del controlador como un servicio para que comience en la inicialización del sistema. El conductor entonces le inyecta la DLL principal en services.exe. A partir de aquí, el archivo DLL principal se inicia la extracción de otros componentes y estos componentes se inyectan en otros procesos.

Archivos
En las dos versiones se pueden identificar los archivos alojados en el equipo.

Primera Versión:
- jminet7.sys
-netp191.PNF
- 302 resource
- netp192.pnf

Segunda Versión:
-cmi4432.sys
-cmi4432.pnf
- 302 resource
- cmi4464.PNF

En ambos el InfoStealer está en [TEMP FILE NAME].

Recomendaciones
Para evitarlo, sugerimos, dentro de los equipos de la red industrial:

1) Habilitar un firewall en su ordenador.
2) Evitar accesos a Internet y uso de pendrives desde esos equipos.
3) Obtenga las últimas actualizaciones de equipo para todo el software instalado.
4) Mantenga el software antivirus actualizado tanto le sea posible
5) Limitar los privilegios de usuario en el equipo, para que no se pueda instalar las DLL.
6) Tenga cuidado al abrir archivos adjuntos y aceptar transferencias de archivos.
7) Tenga cuidado al hacer clic en enlaces a páginas web.
8) Evitar la descarga de software pirateado, sobre todo aquel que es utilizado en este tipo de redes.
9) Utilice contraseñas seguras.

Más información.
Para obtener información más detallada, les recomendamos bajar el dossier de Symantec para DUQU, puede hacerlo desde aquí.
Por otro lado Microsoft lo tiene identificado, si desea acceder a la Enciclopedia de malware de Microsoft para tener más detalle del gusano, visite este sitio.

Por último, recomendamos estar atentos, si bien esta variante solo recolecta información, pueden aparecer otras ya con fines malicioso por contar con parte de la informacion de vuestra infraestructura o bien con un patrón de desarrollo de la misma, ya que observamos en muchas compañías ausencias de seguridad en los equipos que están asociados a las plantas industriales. Ya no sirve más el "funciona, no se toca más".

Fuentes: Symantec y Microsoft.

Hasta la próxima!

3 comentarios:

Mauro dijo...

Gracias por la información, saludos.

Lester Alfonso dijo...

muy buena la informacion y esta bien detallada

Lester Alfonso dijo...

muy buena la informacion y esta bien detallada