La famiglia dei malware creati ad arte per portare attacchi mirati saluta Gauss (Trojan.Win32.Gauss), l’ultimo arrivato del gruppo.
Gauss è stato realizzato sulla stessa piattaforma di Flame e condivide con Stuxnet (edizione 2010) il modulo di propagazione via USB.
Questo malware è stato realizzato a metà del 2011, rilasciato pochi mesi dopo ed è stato identificato come tale nel giugno del 2012.
L’analisi di Gauss è ancora in corso, quindi le informazioni non sono ancora complete, Kaspersky ha pubblicato un documento tecnico con le informazioni disponibili (HTML, PDF).
Il MAHER ha annunciato di aver scoperto un nuovo tipo di malware che avrebbe preso di mira alcuni Paesi dell Medio Oriente.
La scoperta è supportata dalla notizia che i laboratori di Kaspersky sono stati contattati dall’ITU per identificare un malware fino ad allora sconosciuto.
L’analisi del malware è appena all’inizio e richiederà molto tempo dal momento che quando è completamente installato raggiunge la dimensione di 20 Mb. Queste sono le caratteristiche note fin’ora:
si propaga attraverso supporti rimovibili (chiavette) oppure via rete sui computer in LAN;
eseguire analisi di rete quali sniffing, enumerazione delle risorse e raccolta di password vulnerabili;
analisi del disco rigido del computer infatto per cercare file con determinate estensioni o contenuti;
analisi dei dispositivi raggiungibili via bluetooth;
possibilità di catturare il contenuto dello schermo se sono attivi determinati processi;
registrazione dell’audio ambientale tramite il microfono del PC;
comunicare via https o ssh i dati raccolti ai C&C localizzati su oltre dieci nomi a dominio diversi;
possibilità di scaricare ulteriori moduli dal C&C;
capacità di identificare e bypassare moltissimi sistemi antivirus, antispyware o antimalware;
capacità di infettare XP, Vista e 7;
utilizzo di file ~xxxxxxx.TMP per nascondersi (esattamente come Stuxnet e Duqu).
Ogni compilatore, infatti, lascia una sorta di impronta di riconoscimento nel codice binario che crea e una parte di Duqu sembra essere stata realizzata con un compilatore diverso da quelli noti.
La parte esterna della DLL è un normale eseguibile PE realizzato con Visual Studio 2008, ma il modulo di connessione al C&C e di download di eventuali altre parti del malware non presenta i tratti tipici dei compilatori noti.
Dalle analisi di Kaspersky il linguaggio sorgente è con ogni probabilità un linguaggio ad oggetti che comunicano tra loro attraverso metodi, code di chiamate differite e callback; inoltre non sembrano esserci chiamate a librerie di runtime, ma vengono invocate direttamente le API di Windows.
Ulteriori e più tecnici dettagli sono qui, se qualcuno vuole contribuire può farlo lasciando un commento alla pagina.
Aggiornamento del 19/3/2012 – Il problema è stato risolto: quella parte è stata scritta utilizzando un’estensione custom a oggetti del C chiamata “OO C” e compilata con Microsoft Visual Studio Compiler 2008 utilizzando particolari opzioni di ottimizzazione.
Il Laboratory of Cryptography and System Security (CrySyS) ungherese ha scoperto che la routine di installazione di Duqu sfrutta una vulnerabilità non corretta del kernel di Windows.
Duqu utilizza un documento Word creato ad arte che riesce a caricare un driver del kernel sfruttando un baco non corretto; il driver carica, quindi, una DLL in Services.exe per avviare l’installazione di Duqu nel computer vittima dell’attacco. La compilazione del driver secondo l’header PE sarebbe avvenuta il 21/02/2008 alle 06:14:47.
La vulnerabilità non è di Word, ma del kernel, quindi questo vettore di attacco potrebbe essere sfruttato in altri modi, finché Microsoft non decide di correggere questo problema.
Secondo un’analisi di McAfee, il sistema appena descritto sarebbe già stato presente in Stuxnet.
Sophos riporta che Microsoft sta lavorando per correggere il problema del kernel. Sempre secondo Redmond [PDF], il loro sistema di pulizia dal malware non residente (il Malicious Software Removal Tool distribuito ogni mese con Windows Update) non ha rilevato alcun 0-day, ma sono dati che lasciano il tempo che trovano, in quanto il tool non è aggiornato come gli antivirus residenti e viene spesso ignorato dagli utenti.
Come in ogni b-movie che si rispetti, il cattivo non è mai morto, anche se l’abbiamo visto esplodere in mille pezzi.
Stuxnet, il malware che modifica la programmazione dei PLC Siemens, sembrava finalmente debellato, quando ecco comparire Duqu, il cui nome deriva dall’estensione ~DQ dei file creati dal malware.
Symantec ha analizzato Duqu e sembrerebbe che sia una variante di Stuxnet. Questa variante, però, è stata creata partendo dai sorgenti di Stuxnet, non dalla versione compilata, che è reperibile da molte fonti. Quindi chi ha creato Duqu o è qualcuno che ha (avuto) accesso ai sorgenti di Stuxnet oppure è lo stesso gruppo che ha creato Stuxnet. Il che non significa che dietro Duqu ci sa necessariamente qualche governo, in quanto non è dato sapere chi abbia sviluppato Stuxnet (possiamo solamente presumere chi siano i committenti).
Per il momento Duqu non fa nulla, non va a cercare PLC o altri sistemi di controllo industriale, ma sembra che si limiti ad un’attività di ricognizione e di installazione di un sistema di controllo remoto.