Benutzer:Grixlkraxl/Arbeitsblatt/Duqu

Als Duqu (ungarisch dyü-kyü) oder W32.Duqu wird ein im Oktober 2011 beschriebener Trojaner bezeichnet, der große Gemeinsamkeiten mit Stuxnet hat, aber für ganz andere Zielsetzungen programmiert wurde. Anscheinend hatten die Entwickler Zugang zum Quellcode, beabsichtigten allerdings als Payload („Nutzlast“) vermutlich Computerspionage statt -sabotage. Duqu wird deshalb von Sicherheitsexperten auch als „Vorbote des nächsten Stuxnet-Angriffs“ bezeichnet.^[1] Die Analyse ist noch nicht abgeschlossen, das Laboratory of Cryptography and System Security (CrySyS) an der Budapest University of Technology and Economics stellt inzwischen einen „Duqu Detector Toolkit“ als Opensource zur Verfügung.^[2]

Verbreitung

Am 14. Oktober 2011 erhielt Symantec von CrySyS ein neues Schadprogramm erhalten, das nach dem Anfangsteil der erzeugten Dateinamen ~DQ benannt wurde. Erstmalig wurde der Trojaner bei einer nicht näher bezeichnetete „Organisation mit Hauptsitz in Europa“ entdeckt, seitdem konnte er in verschiedenen Ländern nachgewiesen werden. Laut Symantec waren die Autoren dieselben wie die von Stuxnet, oder hatten zumindest Zugang zum Quelltext. Alle bisher entdeckten Duqu-Versionen wurden nach der zuletzt bekannt gewordenen Version von Stuxnet erzeugt. Der Zweck von Duqu ist die gezielte Suche nach vertraulichen Design- und Projekt-Unterlagen bei Maschinenherstellern und Montagefirmen über Anlagen und industrielle Steuerungen (SPS) verschiedener Branchen. Ein Eingriff in eine SPS wie bei Stuxnet findet nicht statt. Dagegen werden die gewonnenen Informationen genutzt, um später leichter Angriffe gegen Dritten durchzuführen. Die Überwachung des Trojaners zeigt, das nur eine begrenzte Anzahl von „Organisationen“^[3] mit ganz besonderen Eigenschaften angegriffen werden. Es nicht auszuschliessen, dass auch andere Organisationen mit bisher unbekannten Varianten in ähnlicher Weise angegriffen werden.^{[S 1]}

Bis November 2011 konnte Symantec in in acht Ländern sechs betroffene Organisationen^[3] bestätigen, dabei war die Ausbreitung aber nur bis zum jeweiligen ISP zurück zu verfolgen. Weder müssen also diese sechs Organisationen wirklich von einander verschieden sein, noch können sie eindeutig identifiziert werden. Andere Sicherheitsfirmen haben Infektionen aus weiteren Ländern berichtet, die sind mit „n.n.“ markiert.^{[S 2]}

Organisation A    Frankreich, Niederlande, Schweiz, Ukraine
Organisation B    Indien
Organisation C    Iran
Organisation D    Iran
Organisation E    Sudan
Organisation F    Vietnam
n.n.              Österreich
n.n.              Ungarn
n.n.              Indonesien
n.n.              Vereinigtes Königreich
n.n.              Iran (andere als von Symantec beobachtet)

Duqu besteht aus drei Dateien: einem Gerätetreiber, einer DLL und einer verschlüsselten Konfigurationsdatei. Die bisher (November 2911) bekannten 15 Varianten unterscheiden sich sich nur geringfügig. Hauptsächlich ändern sich die Namen von Registry-Schlüsseln und der Dateien, darüberhinaus wurde unnötiger Code entfernt. Die Kompilier-Zeiten der Dateien reichen vom 3. November 2010, 17:25 Uhr, bis 21. April 2011, 13:23 Uhr.^{[S 2]}

Eigenschaften

Spionage eigenschaften

Command- and Control

Vergleich mit Stuxnet

Weblinks

W32.Duqu – The precursor to the next Stuxnet. (PDF) Version 1.4. Symantec, 23. November 2011, abgerufen am 8. Dezember 2011 (englisch).

Homepage. Laboratory of Cryptography and System Security (CrySyS), Department of Telecommunications, Budapest University of Technology and Economics, abgerufen am 8. Dezember 2011 (englisch).

Anmerkungen

Beschreibung von Symantec und CrySyS

Symantec hat dem Bericht „W32.Duqu – the precursor to the next Stuxnet“ den ursprünglichen Analysebericht von CrySys als Anhang beigefügt. Die Beschreibung wurde bisher in folgenden Versionen veröffentlicht:

Version 1.0 am 18. Oktober 2011
Version 1.1 am 19. Oktober 2011
Version 1.2 am 20. Oktober 2011
Version 1.3 am 1. November 2011
Version 1.4 am 23. November 2011

↑ W32.Duqu, Kapitel Executive summary
↑ ^a ^b W32.Duqu, Kapitel Infection Statistics

Referenzfehler: Das in <references> definierte <ref>-Tag hat kein Namensattribut.
Referenzfehler: Das in <references> definierte <ref>-Tag hat kein Namensattribut.
Referenzfehler: Das in <references> definierte <ref>-Tag hat kein Namensattribut.
Referenzfehler: Das in <references> definierte <ref>-Tag hat kein Namensattribut.

Einzelnachweise

↑ Virus Duqu alarmiert IT-Sicherheitsexperten. In: Zeit Online. 19. Oktober 2011, abgerufen am 19. Oktober 2011.
↑ CrySyS Duqu Detector Toolkit, abgerufen am 9. Dezember 2011
↑ ^a ^b Symantec benutzt das Wort „organization“, damit können Firmen, Behörden oder Institutionen, aber auch bspw. NGOs gemeint sein.

Kategorie:Malware Quellcode

[executive_summary-4] W32.Duqu, Kapitel Executive summary

[infection_statistics-5] W32.Duqu, Kapitel Infection Statistics

[zeit.duqu-1] Virus Duqu alarmiert IT-Sicherheitsexperten. In: Zeit Online. 19. Oktober 2011, abgerufen am 19. Oktober 2011.

[2] CrySyS Duqu Detector Toolkit, abgerufen am 9. Dezember 2011

[organization-3] Symantec benutzt das Wort „organization“, damit können Firmen, Behörden oder Institutionen, aber auch bspw. NGOs gemeint sein.

[1]

[2]

[3]

[S 1]

[S 2]

Anonym

Suche

Benutzer:Grixlkraxl/Arbeitsblatt/Duqu

Namensräume

Mehr

Seitenaktionen

Inhaltsverzeichnis

Verbreitung

Eigenschaften

Weblinks

Anmerkungen

Beschreibung von Symantec und CrySyS

Einzelnachweise

Navigation

Navigation

Mitmachen

Wikiwerkzeuge

Wikiwerkzeuge

Anonym

Suche

Benutzer:Grixlkraxl/Arbeitsblatt/Duqu

Verbreitung

Eigenschaften

Weblinks

Anmerkungen

Beschreibung von Symantec und CrySyS

Einzelnachweise

Navigation

Wikiwerkzeuge

Seitenwerkzeuge

Weitere Projekte