Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

XMCO PARTNERS : Duqu, AKA Stuxnet 2.0 révélé au grand jour

octobre 2011 par XMCO PARTNERS

* ’Son of Stuxnet’ trojan found

 Date : 19 Octobre 2011

 Gravité : Elevée

 Description :

Symantec et McAfee, deux des plus importants éditeurs de solutions antivirales, viennent de publier des informations sur Duku, un nouveau malware très proche de Stuxnet. Les deux malwares seraient par ailleurs tellement similaires que les systèmes de surveillance de F-Secure les auraient confondus.

Le malware aurait été détecté le 14 octobre dernier par un laboratoire spécialisé en sécurité informatique qui aurait immédiatement alerté les deux éditeurs. Après analyse par Symantec, les premières traces du malware remonteraient au 1er septembre. Cependant, certains fichiers afficheraient des informations de compilation remontant à décembre 2010.

Duqu serait un cheval de Troie, aussi connu sous l’appellation RAT (Remote Access Trojan), très sophistiqué et utilisé dans le cadre d’une attaque de grande ampleur afin de dérober des informations sensibles.

Le nom du malware proviendrait du nom de certains fichiers créés, dont les noms seraient précédés par les caractères " DQ". Il semblerait, d’après les premières analyses, que le malware partage le même code que son prédécesseur Stuxnet, ce qui semblerait indiquer que les auteurs de Duqu soient les mêmes que ceux de Stuxnet. En effet, le code source de Stuxnet n’a jamais été rendu public. Seuls certains composants ont été décompilés et publiés sur Internet.

Contrairement à Stuxnet, Duqu ne ciblerait pas les systèmes industriels de supervision et d’acquisition de type SCADA, mais bien le poste de l’utilisateur. Le malware ne serait d’ailleurs pas développé pour se répliquer et se propager. Le malware aurait pour principale tâche de dérober des informations sensibles liées au développement de systèmes industriels. Pour cela, Duqu installerait un autre malware du type "infostealer" capable d’enregistrer les touches saisies (keylogger), de monitorer l’activité du système infecté (processus lancés), de cacher certains fichiers à la vue de l’utilisateur (user-mode rootkit), ou encore de réaliser un scan réseau. Duqu utiliserait des canaux HTTP et HTTPS pour exfiltrer les données dérobées vers son serveur de C2 (C&C - Command & Control) basé en Inde, ainsi que pour télécharger certains fichiers, tels que l’"infostealer" en question. Le serveur de C2 a cependant été déconnecté par le FAI, et n’est donc plus accessible. Les informations dérobées seraient placées dans un fichier local chiffré et compressé, avant d’être exfiltrées. Les données transitant au travers des canaux HTTP et HTTPS sont reconnues à première vue en tant qu’image JPEG, mais n’en sont pas. Enfin, le malware est programmé pour s’autodétruire au bout de 36 jours.

Le fonctionnement général du malware serait très proche de celui de Stuxnet. Plusieurs pilotes (fichier .SYS : "jminet7.sys" et "cmi4432.sys") seraient en mesure de déchiffrer des fichiers .PNF (respectivement "netp191.PNF" et "cmi4432.PNF") afin de générer en mémoire des DLLs et de les injecter dans certains processus lancés par la victime.

Tout comme Stuxnet, un pilote système utilisé par Duqu est signé à l’aide d’un certificat numérique dont la date d’expiration correspond au 2 aout 2012. Celui-ci appartiendrait à la société "C-Media Electronics Incorporation". Cependant, le nom de JMicron, dont le certificat avait été dérobé et utilisé dans le cadre de Stuxnet, apparaitrait dans les propriétés du pilote. Ce certificat a été révoqué par Symantec/VeriSign (l’autorité de certification qui l’avait émis) le 14 octobre dernier. Symantec a cependant tenu à confirmer que ce certificat avait été émis de façon légitime à la demande de C-Media, et que son autorité de certification VeriSign n’avait pas été compromise comme l’a été DigiNotar récemment.

D’après Symantec, les auteurs du malware cibleraient plusieurs sociétés spécialisées dans la conception de systèmes industriels de type PLC. Symantec s’attend à une prochaine attaque majeure similaire aux attaques menées par Stuxnet mais ciblant d’autres secteurs de l’industrie. Cependant, Symantec n’a pas révélé quels types de systèmes pourraient ainsi être pris pour cibles, ni dans quel pays résident les sociétés ciblées. Ralph Langner, le spécialiste de Stuxnet, avait déjà formulé de telles prédictions il y a plus d’un an.

L’ICS-CERT et l’US-CERT ont publié une alerte à l’adresse suivante :
http://www.us-cert.gov/control_systems/pdf/ICS-ALERT-11-291-01.pdf

Il reste enfin à préciser que les failles de sécurité exploitées pour installer le malware ne sont pas encore connues ou clairement définies.

Enfin, les empreintes SHA1 de plusieurs fichiers caractéristiques de Duqu ont été publiées :

jminet7.sys - d17c6a9ed7299a8a55cd962bdb8a5a974d0cb660

netp191.PNF - 3ef572cd2b3886e92d1883e53d7c8f7c1c89a4b4

netp192.PNF - c4e51498693cebf6d0cf22105f30bc104370b583

cmi4432.PNF - 192f3f7c40fa3aaa4978ebd312d96447e881a473

cmi4432.sys - 588476196941262b93257fd89dd650ae97736d4d

cmi4464.PNF - f8f116901ede1ef59c05517381a3e55496b66485

trojan-spy - 723c71bd7a6c1a02fa6df337c926410d0219103a

 Référence :

http://www.virusbtn.com/news/2011/10_19.xml

http://blogs.mcafee.com/mcafee-labs/the-day-of-the-golden-jackal-%E2%80%93-further-tales-of-the-stuxnet-files

http://www.symantec.com/connect/w32_duqu_precursor_next_stuxnet

http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_duqu_the_precursor_to_the_next_stuxnet.pdf

http://www.f-secure.com/weblog/archives/00002255.html

http://www.langner.com/en/2011/10/19/notes-on-duqu/

http://www.digitalbond.com/2011/10/19/duku-and-ics/

http://www.us-cert.gov/control_systems/pdf/ICS-ALERT-11-291-01.pdf

 Correction :

Aucun correctif n’est actuellement disponible.

 Lien extranet XMCO :

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-1779


Voir les articles précédents

    

Voir les articles suivants