Spolehlivé sítě průmyslového Ethernetu s velkou dostupností. Inteligentní modul I/O řady X20 zvyšuje dostupnost strojů. Rozšíření zorného pole snímače čárového kódu DataMan. Nové řádkové kamery Basler Racer. Programovatelné relé pro všechny bezpečnostní funkce ... skokové automaty ATS-C od společnosti Eaton. Podnikání. Společnost ZAT dokončila modernizaci další elektrárny na Kubě ...
Jakmile spuštěn operační systém po-
čítače, jsou posledně dva jmenované soubo-
ry automaticky dešifrovány.doc
s virem
shellcode dešifruje
ovladač
a instalační DLL,
ovladač spuštěn
. Autoři viru zvolili pro každou verzi
viru jiný řídicí server, který dále nacházel
v různých zemích, jako Německo, Belgie,
Indie atd.sys IBM Corporation IBM ServeRAID Contoller ne
adpu321. Právě tuto DLL nahraje systémo-
vého procesu services. Takto přenášené
údaje nevyvolají zvýšenou pozornost ani při
poměrně pečlivém sledování síťového provo-
zu (obr. Dalším dešifrovaným
souborem ovladač, jehož účelem spus-
tit virus, tj.
V rámci dokončení instalace jsou smazány již
nepotřebné soubory a na pevném disku zůstá-
vají pouze ovladač a zašifrovaná hlavní DLL
spolu zašifrovaným konfiguračním soubo-
rem. 3). Nejprve hlavní DLL nahraje
sama sebe dalšího procesu, který vybrán
podle určitých pravidel. Samotný proces instalace je
značně komplikovaný a je vytvořen tak, aby
co nejvíce ztížil možnost detekce antivirovým
softwarem (viz také obr.
Duqu: sběr dat
Dokončenou instalací začíná hlavní úkol
viru Duqu, jímž sběr údajů. Následně virus odešle získané úda-
je z napadeného systému řídicího serve-
ru.exe
reálný
dokument
zero-day exploit
shellcode
ovladač (*. tohoto data
bude virus Duqu dní aktivně sbírat úda-
je a komunikovat s řídicím serverem, a jest-
liže řídicí server tuto lhůtu neprodlouží, vir
se jejím uplynutí automaticky odinstaluje. Schéma instalace viru Duqu
vyvolání chyby
v ovladači
win32k. Takovéto
chování viru možné brát jako další důkaz,
že virus Duqu byl vytvořen pro útok spe-
cifické cíle. hlavní DLL spuštění operační-
ho systému, a posledním dešifrovaným sou-
borem konfigurační soubor pro instalaci
viru. V tom-
to novém konfiguračním souboru bude také
uloženo datum instalace viru.sys)
instalační DLL
dokument
Microsoft Word
dešifrování a injektáž
hlavní DLL viru,
dešifrování spouštěcího
ovladače
a konfiguračního souboru
instalace
ověření, zda virus
již není přítomen
kontrola data útoku
dokončení instalace viru
ovladač (*. O tuto činnost se
stará právě ovladač viru; ten také postará
o spuštění DLL v rámci některého z vybra-
ných procesů.sys
C-Media Electronics
Incorporation
C-Media Electronics Incorporation
ano,
revokováno
jminet7. Dále instalační DLL postará
o nahrání hlavní DLL, která pokračuje v dal-
ší instalaci viru. Poté pokračuje již
z nově nahrané knihovny, následně nahra-
je adresáře %System%\Drivers\, např.sys Adaptec Inc Adaptec Windows 321 Family Driver ne
iaStor451. V případě použití HTTP odpovídá
na první dotaz řídicí server prázdným soubo-
rem *. Údaje jsou nejprve zašifrovány při použití
symetrické šifry AES a dále pomocí stegano-
grafie skryty obrázku formátu JPG po-
jmenovaného dsc00001.exe prvně dešifrovaný
ovladač.
Hlavní funkcí řídicího serveru vedle
sběru získaných údajů také schopnost aktuali-
zovat a rozšiřovat virus o nové moduly. 2).sys Intel Corporation Intel Matrix Storage SCSI driver ne
mcd9x86.C:\Windows\inf\. V tomto konfiguračním souboru na-
cházejí dva časové údaje. Nejprve je
však prostřednictvím protokolu HTTP nebo
HTTPS navázáno spojení s řídicím serve-
rem, označovaným jako C&C (Command &
Control).sys
JMicron Technology
Corporation
JMicron Volume Snapshot ne
nfrd965.jpg. Těmito
třemi dešifrovanými soubory jsou DLL ob-
sahující hlavní část viru, dále proto označo-
vané jako hlavní DLL.sys) hlavní DLL konfigurační soubor
hlavní DLL
e-mail obsahující
v příloze soubor *.
HKEY_LOCAL_MACHINE\SOFTWARE\
Microsoft\Windows\CurrentVersion\Inter
net Settings\Zones\4\“CF1D“
Obr. Poté předá vykonávání dalšího
kódu dané DLL, samotný shellcode již není
třeba a je smazán z paměti.sys Microsoft Corporation High changer class Driver ne
obsahuje další části viru a stará o jejich in-
stalaci. Detail již revokovaného certifikátu Obr. Jeden z těchto
ovladačů byl digitálně podepsán při použití
zcizeného privátního klíče tchajwanské spo-
lečnosti C-Media, opět podobně jako v pří-
padě viru Stuxnet (obr. Jestliže aktuální
datum nenachází v rozpětí těchto dvou hod-
not, instalace viru ukončena, jinak pokra-
čuje dále. 5). 1). Použitý ovladač se
liší podle verze viru (tab. Několik ovladačů použitých v různých verzích viru Duqu
Jméno Původce Produkt
Digitální
podpis
cmi4432. Časové rozpětí liší podle verze
samotného viru, nejčastěji šlo o rozpětí od
několika dní jednoho měsíce. C:\
Windows\System32\drivers\, již dříve dešif-
rovaný ovladač, který následně zaveden
jako systémová služba.sys
a spuštění programu
zero-day exploit
injektáž instalační DLL
services. Klíč viru Duqu v registrech operačního
systému Windows
Jestliže tento klíč v registrech již na-
chází, instalace viru u konce.jpg.11AUTOMA 12/2012
téma
Tab. Při použití HTTPS celá komu-
nikace šifrována a skrývání údajů soubo-
ru JPG není použito. už
Obr. V opačném
případě instalace pokračuje dešifrováním tří
souborů zdrojů instalační DLL.
Následně z hlavní DLL extrahován nový
konfigurační soubor, jenž bude spolu sa-
motnou DLL zašifrován a nahrán adresáře
%Windir%\inf\, např. 4). Instalační DLL
kontrolou klíče v registru systému Windows
nejprve ověří, zda daný počítač již není infi-
kován (obr
