Spolehlivé sítě průmyslového Ethernetu s velkou dostupností. Inteligentní modul I/O řady X20 zvyšuje dostupnost strojů. Rozšíření zorného pole snímače čárového kódu DataMan. Nové řádkové kamery Basler Racer. Programovatelné relé pro všechny bezpečnostní funkce ... skokové automaty ATS-C od společnosti Eaton. Podnikání. Společnost ZAT dokončila modernizaci další elektrárny na Kubě ...
Jestliže aktuální
datum nenachází v rozpětí těchto dvou hod-
not, instalace viru ukončena, jinak pokra-
čuje dále. 4).11AUTOMA 12/2012
téma
Tab. Samotný proces instalace je
značně komplikovaný a je vytvořen tak, aby
co nejvíce ztížil možnost detekce antivirovým
softwarem (viz také obr. V opačném
případě instalace pokračuje dešifrováním tří
souborů zdrojů instalační DLL. tohoto data
bude virus Duqu dní aktivně sbírat úda-
je a komunikovat s řídicím serverem, a jest-
liže řídicí server tuto lhůtu neprodlouží, vir
se jejím uplynutí automaticky odinstaluje. Dalším dešifrovaným
souborem ovladač, jehož účelem spus-
tit virus, tj.sys Intel Corporation Intel Matrix Storage SCSI driver ne
mcd9x86. 1). hlavní DLL spuštění operační-
ho systému, a posledním dešifrovaným sou-
borem konfigurační soubor pro instalaci
viru.sys
JMicron Technology
Corporation
JMicron Volume Snapshot ne
nfrd965. Následně virus odešle získané úda-
je z napadeného systému řídicího serve-
ru. V tom-
to novém konfiguračním souboru bude také
uloženo datum instalace viru.sys Adaptec Inc Adaptec Windows 321 Family Driver ne
iaStor451.
HKEY_LOCAL_MACHINE\SOFTWARE\
Microsoft\Windows\CurrentVersion\Inter
net Settings\Zones\4\“CF1D“
Obr.sys) hlavní DLL konfigurační soubor
hlavní DLL
e-mail obsahující
v příloze soubor *.
Následně z hlavní DLL extrahován nový
konfigurační soubor, jenž bude spolu sa-
motnou DLL zašifrován a nahrán adresáře
%Windir%\inf\, např. Časové rozpětí liší podle verze
samotného viru, nejčastěji šlo o rozpětí od
několika dní jednoho měsíce. Detail již revokovaného certifikátu Obr. Nejprve je
však prostřednictvím protokolu HTTP nebo
HTTPS navázáno spojení s řídicím serve-
rem, označovaným jako C&C (Command &
Control). Jakmile spuštěn operační systém po-
čítače, jsou posledně dva jmenované soubo-
ry automaticky dešifrovány. Jeden z těchto
ovladačů byl digitálně podepsán při použití
zcizeného privátního klíče tchajwanské spo-
lečnosti C-Media, opět podobně jako v pří-
padě viru Stuxnet (obr. Několik ovladačů použitých v různých verzích viru Duqu
Jméno Původce Produkt
Digitální
podpis
cmi4432.sys
C-Media Electronics
Incorporation
C-Media Electronics Incorporation
ano,
revokováno
jminet7. Schéma instalace viru Duqu
vyvolání chyby
v ovladači
win32k. Dále instalační DLL postará
o nahrání hlavní DLL, která pokračuje v dal-
ší instalaci viru.
Duqu: sběr dat
Dokončenou instalací začíná hlavní úkol
viru Duqu, jímž sběr údajů.sys IBM Corporation IBM ServeRAID Contoller ne
adpu321. Takto přenášené
údaje nevyvolají zvýšenou pozornost ani při
poměrně pečlivém sledování síťového provo-
zu (obr. Použitý ovladač se
liší podle verze viru (tab. Nejprve hlavní DLL nahraje
sama sebe dalšího procesu, který vybrán
podle určitých pravidel. V tomto konfiguračním souboru na-
cházejí dva časové údaje. Právě tuto DLL nahraje systémo-
vého procesu services. Klíč viru Duqu v registrech operačního
systému Windows
Jestliže tento klíč v registrech již na-
chází, instalace viru u konce. Při použití HTTPS celá komu-
nikace šifrována a skrývání údajů soubo-
ru JPG není použito. Těmito
třemi dešifrovanými soubory jsou DLL ob-
sahující hlavní část viru, dále proto označo-
vané jako hlavní DLL. Údaje jsou nejprve zašifrovány při použití
symetrické šifry AES a dále pomocí stegano-
grafie skryty obrázku formátu JPG po-
jmenovaného dsc00001. V případě použití HTTP odpovídá
na první dotaz řídicí server prázdným soubo-
rem *. 2).C:\Windows\inf\.doc
s virem
shellcode dešifruje
ovladač
a instalační DLL,
ovladač spuštěn
. 3). už
Obr.
Hlavní funkcí řídicího serveru vedle
sběru získaných údajů také schopnost aktuali-
zovat a rozšiřovat virus o nové moduly.exe prvně dešifrovaný
ovladač.
V rámci dokončení instalace jsou smazány již
nepotřebné soubory a na pevném disku zůstá-
vají pouze ovladač a zašifrovaná hlavní DLL
spolu zašifrovaným konfiguračním soubo-
rem.sys)
instalační DLL
dokument
Microsoft Word
dešifrování a injektáž
hlavní DLL viru,
dešifrování spouštěcího
ovladače
a konfiguračního souboru
instalace
ověření, zda virus
již není přítomen
kontrola data útoku
dokončení instalace viru
ovladač (*. Instalační DLL
kontrolou klíče v registru systému Windows
nejprve ověří, zda daný počítač již není infi-
kován (obr. Poté předá vykonávání dalšího
kódu dané DLL, samotný shellcode již není
třeba a je smazán z paměti.jpg.exe
reálný
dokument
zero-day exploit
shellcode
ovladač (*. Takovéto
chování viru možné brát jako další důkaz,
že virus Duqu byl vytvořen pro útok spe-
cifické cíle. Poté pokračuje již
z nově nahrané knihovny, následně nahra-
je adresáře %System%\Drivers\, např.jpg. O tuto činnost se
stará právě ovladač viru; ten také postará
o spuštění DLL v rámci některého z vybra-
ných procesů.sys
a spuštění programu
zero-day exploit
injektáž instalační DLL
services. 5).sys Microsoft Corporation High changer class Driver ne
obsahuje další části viru a stará o jejich in-
stalaci. C:\
Windows\System32\drivers\, již dříve dešif-
rovaný ovladač, který následně zaveden
jako systémová služba. Autoři viru zvolili pro každou verzi
viru jiný řídicí server, který dále nacházel
v různých zemích, jako Německo, Belgie,
Indie atd
