数据结构
网络
关系数据库管理系统
操作系统
Java
MS Excel
iOS
HTML
CSS
Android
Python
C语言编程
C++
C#
MongoDB
MySQL
Javascript
PHP
物理学
化学
生物学
数学
英语
经济学
心理学
社会学
服装设计
法律研究什么是Duqu恶意软件?
Duqu是一个计算机恶意软件家族,被认为与**Stuxnet蠕虫**有关。Duqu利用了微软Windows中的零日漏洞。
Duqu病毒由许多软件组件组成,这些组件协同工作以帮助攻击者。这包括信息窃取功能、内核驱动程序以及在后台运行的注入工具。
该恶意软件的一部分是用“Duqu框架”编写的,这是一种未命名的高级编程语言。它不是C++、Python、Ada、Lua或任何其他经过测试的语言。但是,Duqu可能是在C中开发的,并使用定制的面向对象框架在Microsoft Visual Studio 2008中编译。
Duqu是如何工作的?
Duqu是一种零日内核攻击,以Microsoft Word文档的形式交付。当利用Microsoft Word文件时,它会转储加载其余DUQU组件的安装程序文件。
以下是构成安装程序的文件:
RTKT_DUQU.A(SYS文件)
TROJ_DUQU.ENC(加密的DLL文件;解密版本检测为TROJ_DUQU.DEC)
TROJ_DUQU.CFG(配置文件)
RTKT DUQU.A在执行时会解密其主体中位于其主体中的配置文件,以获取包含TROJ DUQU.ENC位置的注册表路径,以及将向其中注入TROJ DUQU.ENC的过程。
TROJ DUQU.RTKT DUQU解密ENC。一旦找到。解密将生成一个名为TROJ DUQU.DEC的DLL文件,该文件将被发现。加载后,TROJ DUQU.DEC转到TROJ DUQU.CFG以获取有关其例程的信息。根据TROJ DUQU.CFG,TROJ DUQU.DEC设置为使用站点kasperskychk.dyndns.org和www.microsoft.com来检查Internet连接。如果识别出它在受影响的系统上执行,TROJ DUQU.DEC还会将自身注入以下进程:
- explorer.exe
- firefox.exe
- Iexplore.exe
根据上述例程的完成情况,TROJ DUQU.DEC能够与其命令和控制服务器通信并接收命令。交付的命令的性质未知,但据称其中包括将更多恶意软件上传到受感染的系统上。
Duqu的目的
Duqu正在寻找可能用于对工业控制系统进行网络攻击的数据。已知组件试图收集信息,而不是造成破坏。但是,由于Duqu的模块化特性,特定的有效负载可用于通过任何方法攻击任何类型的计算机系统,从而可能允许进行网络物理攻击。
但是,已发现它在个人计算机系统上的使用会在某些情况下销毁系统上所有最近的信息输入和整个硬盘。赛门铁克检查了Duqu的内部通信,但它在受感染网络内部复制的具体技术尚不清楚。
Duqu 2.0目标攻击
Duqu 2.0是一个复杂的恶意软件平台,它利用多达三个零日漏洞,并且与P5+1事件以及与世界领导人进行高级会谈的场所有关。这些攻击包括一些以前未知的方面,例如仅存在于活动内存中的代码。它几乎无法检测到。
卡巴斯基实验室的专家在尝试入侵该公司内部网络后发现了Duqu 2.0。研究人员在测试一种旨在检测高级持续性威胁的新工具时发现了这种复杂的恶意软件,这是一个意外的收获。
Duqu 2.0利用高级规避策略。它很难检测到,因为它存储在内存中。Duqu的更新版本不再将数据写入受害者的硬盘驱动器。根据赛门铁克专家的说法,Duqu 2.0有两个变体:一个是后门,似乎用于通过感染多台计算机在目标实体中获得持久性,第二个变体反映了它的发展,并且具有更高级的功能。
477 次浏览
