fbpx
Wikipedia

Duqu

Agosto 05, 2021

Duqu es un conjunto de malware (software malicioso) para ordenador descubierta el 1 de septiembre de 2011, se cree que está relacionado con el gusano Stuxnet. El Laboratorio de Criptografía y Sistemas de seguridad de la Universidad de Tecnología y Economía de Budapest en Hungría descubrió la amenaza, analizó el software malicioso, y escribió un informe de 60 páginas nombrando la amenaza Duqu.[1][2][3]​ Duqu obtuvo su nombre del prefijo "~DQ", el cual es el nombre que da a los archivos que crea.[4]

Nomenclatura

El término Duqu puede usarse de varias maneras:

  • Software Malicioso Duqu es una variedad de componentes software que juntos proporcionan servicios a los atacantes. Actualmente esto incluye capacidad de robar información y, en segundo plano, controladores kernel y herramientas de inyección. Parte de este software malicioso está escrito en un lenguaje de programación de alto nivel desconocido, bautizado "Marco Duqu". No es C++, Python, Ada, Lua ni ningún otro lenguaje conocido. Aun así, pruebas recientes sugieren que Duqu puede haber sido escrito en C con un marco orientado en objetos personalizados y compilado en Microsoft Visual Studio 2008.[5]
  • El defecto Duqu es el defecto en Microsoft Windows que es utilizado por archivos maliciosos para ejecutar componentes de software malicioso Duqu. En la actualidad el defecto está detectado: un problema de la fuente TrueType relacionado con win32k.sys.
  • Operación Duqu es el proceso de solo usar Duqu para objetivos desconocidos. La operación podría estar relacionada con la Operación Stuxnet.

Relación con Stuxnet

Symantec, basado en el informe CrySyS, continuó el análisis de la amenaza, declarándola "casi idéntica a Stuxnet, pero con un propósito completamente diferente", y además publicaron un artículo técnico detallado, con una versión recortada del informe de laboratorio original como un anexo.[6]​ Symantec considró que Duqu fue creado por los mismos autores que Stuxnet, o que los autores tuvieron acceso al código fuente. El gusano, como Stuxnet, tiene una firma digital válida, pero muy usada, y recoge información para preparar ataques futuros.[7]​ Mikko Hyppönen, Jefe de Búsqueda para F-Secure, dijo que el controlador del kernel Duqu, JMINET7.SYS, era tan similar a Stuxnet MRXCLS.SYS que el sistema back-end de F-Secure pensó que se trataba de Stuxnet. Hyppönen añadió que la clave usada para hacer la firma digital de Duqu (sólo observado en un caso) fue robada de C-Media, ubicados en Taipéi, Taiwán. Los certificados estaban pensados para expirar el 2 de agosto de 2012 pero fueron revocados el 14 de octubre de 2011 según Symantec.

Otra fuente, Dell SecureWorks, informa que Duqu puede no estar relacionado con Stuxnet.[8]​ Sin embargo, hay considerables y crecientes pruebas de que Duqu está estrechamente relacionado con Stuxnet.

Los expertos compararon las semejanzas y encontraron tres puntos de interés:[cita requerida]

  • El instalador explota vulnerabilidades nunca antes usadas del kernel de Windows.
  • Los componentes están firmados con llaves digitales robadas.
  • Duqu y Stuxnet están altamente dirigidos enfocados y relacionados con el programa nuclear de Irán.

Vulnerabilidad del día cero de Microsoft Word

Como Stuxnet, Duqu ataca los sistemas de Microsoft Windows utilizando una vulnerabilidad de día cero. El primer archivo instalador recuperado y revelado (apodado dropper) por CrySyS utiliza un documento de Microsoft Word explotando el motor de separado de palabras de la fuente Win32k TrueType permitiendo la ejecución de código malicioso.[9]​ El apodo de dropper (cuentagotas) en Duqu se refiere a la incrustación en la fuente, también refiriéndose a la solución alternativa para restringir el acceso a T2EMBED.DLL, que es el motor de separación de palabras de la fuente TrueType; solo funciona si el parche liberado por Microsoft en diciembre de 2011 no ha sido instalado.[10]​ El identificador de Microsoft para la amenaza es MS11-087 (comunicado por primera vez el 13 de noviembre de 2011).[11]

Propósito

Duqu busca información que podría ser útil para atacar sistemas de supervisión industrial. Su propósito no es destructivo, los componentes conocidos tratan de reunir información.[12]​ Sin embargo, basado en la estructura modular de Duqu, carga útil especial podría ser usada para atacar cualquier tipo de sistema informático por cualquier medio y así los ataques cibernéticos o físicos basados en Duqu podrían ser posibles. Además, cuando afecta a ordenadores personales se ha descubierto que elimina toda la información reciente introducida en el sistema, y en algunos casos borra completamente el disco duro del ordenador. Las comunicaciones internas de Duqu son analizadas por Symantec, pero el método real y exacto de cómo se reproduce dentro de una red atacada todavía no se conoce. De acuerdo con McAfee, una de las acciones de Duqu es robar certificados digitales -y sus llaves privadas correspondientes, como en la criptografía de clave pública- de los ordenadores atacados para ayudar a que virus futuros se camuflen como software seguro.[13]​ Duqu utiliza una imagen JPEG de 54×54 píxeles y un archivo vacío cifrado como contenedor para sustraer datos y mandarlos a su centro de control. Expertos en seguridad todavía están analizando el código para determinar qué información contienen las comunicaciones. La investigación inicial indica que la muestra original del software malicioso se auto-elimina después de 36 días (el software malicioso almacena esta configuración en los archivos de configuración), limitando su detección.[cita requerida]

Los puntos claves son:[cita requerida]

  • Los ejecutables fueron desarrollados después de Stuxnet, utilizando el código de fuente de Stuxnet que había sido descubierto.
  • Los ejecutables están diseñados para capturar información como pulsaciones de teclas e información del sistema.
  • El análisis actual no muestra código relacionado con sistemas de control industrial, vulnerabilidades, o auto-reproducción.
  • Los ejecutables han sido encontrados en un número limitado de organizaciones, incluyendo aquellas implicadas en la fabricación de sistemas de control industrial.
  • Los datos aflorados pueden ser utilizados para habilitar un futuro ataque del estilo de Stuxnet o podría ya haber sido utilizado como base para el ataque Stuxnet.

Servidores de órdenes y control

El análisis de algunos de sus botnet ha permitido apreciar una predilección por los Servidores CentOS 5.x , por lo que algunos investigadores creyeron que tenían una vulnerabilidad de día cero para CentOS.[cita requerida] Kaspersky ha publicado múltiples entradas en su blog sobre sus servidores de órdenes y control,[14]​ que están esparcidos en muchos países diferentes, incluyendo Alemania, Bélgica, Filipinas, India y China.

Referencias

  1. «Laboratory of Cryptography and System Security (CrySyS)». Consultado el 4 de noviembre de 2011. 
  2. «Duqu: A Stuxnet-like malware found in the wild, technical report». Laboratory of Cryptography of Systems Security (CrySyS). 14 de octubre de 2011. 
  3. «Statement on Duqu's initial analysis». Laboratory of Cryptography of Systems Security (CrySyS). 21 de octubre de 2011. Archivado desde el original el 3 de octubre de 2012. Consultado el 25 de octubre de 2011.  Parámetro desconocido |df= ignorado (ayuda)
  4. . Symantec. 23 de noviembre de 2011. Archivado desde el original el 11 de marzo de 2012. Consultado el 30 de diciembre de 2011. 
  5. «The mystery of Duqu Framework solved». Secure list. 
  6. Zetter, Kim (18 de octubre de 2011). «Son of Stuxnet Found in the Wild on Systems in Europe». Wired. Consultado el 21 de octubre de 2011. 
  7. «Virus Duqu alarmiert IT-Sicherheitsexperten». Die Zeit. 19 de octubre de 2011. Consultado el 19 de octubre de 2011. 
  8. «Spotted in Iran, trojan Duqu may not be "son of Stuxnet" after all». Consultado el 27 de octubre de 2011. 
  9. «Microsoft issues temporary 'fix-it' for Duqu zero-day». Consultado el 5 de noviembre de 2011. 
  10. «Microsoft Security Advisory (2639658)». Vulnerability in TrueType Font Parsing Could Allow Elevation of Privilege. 3 de noviembre de 2011. Consultado el 5 de noviembre de 2011. 
  11. «Microsoft Security Bulletin MS11-087 - Critical». Consultado el 13 de noviembre de 2011. 
  12. Steven Cherry, with Larry Constantine (14 de diciembre de 2011). «Sons of Stuxnet». IEEE Spectrum. 
  13. Venere, Guilherme; Szor, Peter (18 de octubre de 2011). . McAfee. Archivado desde el original el 20 de octubre de 2011. Consultado el 19 de octubre de 2011. 
  14. «The mystery of Duqu part six: The command and control servers». 30 de noviembre de 2011. Consultado el 30 de noviembre de 2011. 
  •   Datos: Q911654

Agosto 05, 2021
duqu, conjunto, malware, software, malicioso, para, ordenador, descubierta, septiembre, 2011, cree, está, relacionado, gusano, stuxnet, laboratorio, criptografía, sistemas, seguridad, universidad, tecnología, economía, budapest, hungría, descubrió, amenaza, an. Duqu es un conjunto de malware software malicioso para ordenador descubierta el 1 de septiembre de 2011 se cree que esta relacionado con el gusano Stuxnet El Laboratorio de Criptografia y Sistemas de seguridad de la Universidad de Tecnologia y Economia de Budapest en Hungria descubrio la amenaza analizo el software malicioso y escribio un informe de 60 paginas nombrando la amenaza Duqu 1 2 3 Duqu obtuvo su nombre del prefijo DQ el cual es el nombre que da a los archivos que crea 4 Indice 1 Nomenclatura 2 Relacion con Stuxnet 3 Vulnerabilidad del dia cero de Microsoft Word 4 Proposito 5 Servidores de ordenes y control 6 ReferenciasNomenclatura EditarEl termino Duqu puede usarse de varias maneras Software Malicioso Duqu es una variedad de componentes software que juntos proporcionan servicios a los atacantes Actualmente esto incluye capacidad de robar informacion y en segundo plano controladores kernel y herramientas de inyeccion Parte de este software malicioso esta escrito en un lenguaje de programacion de alto nivel desconocido bautizado Marco Duqu No es C Python Ada Lua ni ningun otro lenguaje conocido Aun asi pruebas recientes sugieren que Duqu puede haber sido escrito en C con un marco orientado en objetos personalizados y compilado en Microsoft Visual Studio 2008 5 El defecto Duqu es el defecto en Microsoft Windows que es utilizado por archivos maliciosos para ejecutar componentes de software malicioso Duqu En la actualidad el defecto esta detectado un problema de la fuente TrueType relacionado con win32k sys Operacion Duqu es el proceso de solo usar Duqu para objetivos desconocidos La operacion podria estar relacionada con la Operacion Stuxnet Relacion con Stuxnet EditarSymantec basado en el informe CrySyS continuo el analisis de la amenaza declarandola casi identica a Stuxnet pero con un proposito completamente diferente y ademas publicaron un articulo tecnico detallado con una version recortada del informe de laboratorio original como un anexo 6 Symantec considro que Duqu fue creado por los mismos autores que Stuxnet o que los autores tuvieron acceso al codigo fuente El gusano como Stuxnet tiene una firma digital valida pero muy usada y recoge informacion para preparar ataques futuros 7 Mikko Hypponen Jefe de Busqueda para F Secure dijo que el controlador del kernel Duqu JMINET7 SYS era tan similar a Stuxnet MRXCLS SYS que el sistema back end de F Secure penso que se trataba de Stuxnet Hypponen anadio que la clave usada para hacer la firma digital de Duqu solo observado en un caso fue robada de C Media ubicados en Taipei Taiwan Los certificados estaban pensados para expirar el 2 de agosto de 2012 pero fueron revocados el 14 de octubre de 2011 segun Symantec Otra fuente Dell SecureWorks informa que Duqu puede no estar relacionado con Stuxnet 8 Sin embargo hay considerables y crecientes pruebas de que Duqu esta estrechamente relacionado con Stuxnet Los expertos compararon las semejanzas y encontraron tres puntos de interes cita requerida El instalador explota vulnerabilidades nunca antes usadas del kernel de Windows Los componentes estan firmados con llaves digitales robadas Duqu y Stuxnet estan altamente dirigidos enfocados y relacionados con el programa nuclear de Iran Vulnerabilidad del dia cero de Microsoft Word EditarComo Stuxnet Duqu ataca los sistemas de Microsoft Windows utilizando una vulnerabilidad de dia cero El primer archivo instalador recuperado y revelado apodado dropper por CrySyS utiliza un documento de Microsoft Word explotando el motor de separado de palabras de la fuente Win32k TrueType permitiendo la ejecucion de codigo malicioso 9 El apodo de dropper cuentagotas en Duqu se refiere a la incrustacion en la fuente tambien refiriendose a la solucion alternativa para restringir el acceso a T2EMBED DLL que es el motor de separacion de palabras de la fuente TrueType solo funciona si el parche liberado por Microsoft en diciembre de 2011 no ha sido instalado 10 El identificador de Microsoft para la amenaza es MS11 087 comunicado por primera vez el 13 de noviembre de 2011 11 Proposito EditarDuqu busca informacion que podria ser util para atacar sistemas de supervision industrial Su proposito no es destructivo los componentes conocidos tratan de reunir informacion 12 Sin embargo basado en la estructura modular de Duqu carga util especial podria ser usada para atacar cualquier tipo de sistema informatico por cualquier medio y asi los ataques ciberneticos o fisicos basados en Duqu podrian ser posibles Ademas cuando afecta a ordenadores personales se ha descubierto que elimina toda la informacion reciente introducida en el sistema y en algunos casos borra completamente el disco duro del ordenador Las comunicaciones internas de Duqu son analizadas por Symantec pero el metodo real y exacto de como se reproduce dentro de una red atacada todavia no se conoce De acuerdo con McAfee una de las acciones de Duqu es robar certificados digitales y sus llaves privadas correspondientes como en la criptografia de clave publica de los ordenadores atacados para ayudar a que virus futuros se camuflen como software seguro 13 Duqu utiliza una imagen JPEG de 54 54 pixeles y un archivo vacio cifrado como contenedor para sustraer datos y mandarlos a su centro de control Expertos en seguridad todavia estan analizando el codigo para determinar que informacion contienen las comunicaciones La investigacion inicial indica que la muestra original del software malicioso se auto elimina despues de 36 dias el software malicioso almacena esta configuracion en los archivos de configuracion limitando su deteccion cita requerida Los puntos claves son cita requerida Los ejecutables fueron desarrollados despues de Stuxnet utilizando el codigo de fuente de Stuxnet que habia sido descubierto Los ejecutables estan disenados para capturar informacion como pulsaciones de teclas e informacion del sistema El analisis actual no muestra codigo relacionado con sistemas de control industrial vulnerabilidades o auto reproduccion Los ejecutables han sido encontrados en un numero limitado de organizaciones incluyendo aquellas implicadas en la fabricacion de sistemas de control industrial Los datos aflorados pueden ser utilizados para habilitar un futuro ataque del estilo de Stuxnet o podria ya haber sido utilizado como base para el ataque Stuxnet Servidores de ordenes y control EditarEl analisis de algunos de sus botnet ha permitido apreciar una predileccion por los Servidores CentOS 5 x por lo que algunos investigadores creyeron que tenian una vulnerabilidad de dia cero para CentOS cita requerida Kaspersky ha publicado multiples entradas en su blog sobre sus servidores de ordenes y control 14 que estan esparcidos en muchos paises diferentes incluyendo Alemania Belgica Filipinas India y China Referencias Editar Laboratory of Cryptography and System Security CrySyS Consultado el 4 de noviembre de 2011 Duqu A Stuxnet like malware found in the wild technical report Laboratory of Cryptography of Systems Security CrySyS 14 de octubre de 2011 Statement on Duqu s initial analysis Laboratory of Cryptography of Systems Security CrySyS 21 de octubre de 2011 Archivado desde el original el 3 de octubre de 2012 Consultado el 25 de octubre de 2011 Parametro desconocido df ignorado ayuda W32 Duqu The precursor to the next Stuxnet Version 1 4 Symantec 23 de noviembre de 2011 Archivado desde el original el 11 de marzo de 2012 Consultado el 30 de diciembre de 2011 The mystery of Duqu Framework solved Secure list Zetter Kim 18 de octubre de 2011 Son of Stuxnet Found in the Wild on Systems in Europe Wired Consultado el 21 de octubre de 2011 Virus Duqu alarmiert IT Sicherheitsexperten Die Zeit 19 de octubre de 2011 Consultado el 19 de octubre de 2011 Spotted in Iran trojan Duqu may not be son of Stuxnet after all Consultado el 27 de octubre de 2011 Microsoft issues temporary fix it for Duqu zero day Consultado el 5 de noviembre de 2011 Microsoft Security Advisory 2639658 Vulnerability in TrueType Font Parsing Could Allow Elevation of Privilege 3 de noviembre de 2011 Consultado el 5 de noviembre de 2011 Microsoft Security Bulletin MS11 087 Critical Consultado el 13 de noviembre de 2011 Steven Cherry with Larry Constantine 14 de diciembre de 2011 Sons of Stuxnet IEEE Spectrum Venere Guilherme Szor Peter 18 de octubre de 2011 The Day of the Golden Jackal The Next Tale in the Stuxnet Files Duqu McAfee Archivado desde el original el 20 de octubre de 2011 Consultado el 19 de octubre de 2011 The mystery of Duqu part six The command and control servers 30 de noviembre de 2011 Consultado el 30 de noviembre de 2011 Datos Q911654Obtenido de https es wikipedia org w index php title Duqu amp oldid 128794395, wikipedia, wiki, leyendo, leer, libro, biblioteca,

español

, española, descargar, gratis, descargar gratis, mp3, video, mp4, 3gp, jpg, jpeg, gif, png, imagen, música, canción, película, libro, juego, juegos