資料結構
網路
關係資料庫管理系統
作業系統
Java
MS Excel
iOS
HTML
CSS
Android
Python
C語言程式設計
C++
C#
MongoDB
MySQL
Javascript
PHP
物理學
化學
生物學
數學
英語
經濟學
心理學
社會學
服裝設計
法律研究什麼是Duqu惡意軟體?
Duqu是一個計算機惡意軟體家族,被認為與**Stuxnet蠕蟲**有關。Duqu利用了微軟Windows中的零日漏洞。
Duqu病毒由許多軟體元件組成,這些元件協同工作以幫助攻擊者。這包括資訊竊取功能、核心驅動程式以及在後臺執行的注入工具。
該惡意軟體的一部分是用“Duqu框架”編寫的,這是一種未命名的高階程式語言。它不是C++、Python、Ada、Lua或任何其他經過測試的語言。但是,Duqu可能是在C中開發的,並使用定製的面向物件框架在Microsoft Visual Studio 2008中編譯。
Duqu是如何工作的?
Duqu是一種零日核心攻擊,以Microsoft Word文件的形式交付。當利用Microsoft Word檔案時,它會轉儲載入其餘DUQU元件的安裝程式檔案。
以下是構成安裝程式的檔案:
RTKT_DUQU.A(SYS檔案)
TROJ_DUQU.ENC(加密的DLL檔案;解密版本檢測為TROJ_DUQU.DEC)
TROJ_DUQU.CFG(配置檔案)
RTKT DUQU.A在執行時會解密其主體中位於其主體中的配置檔案,以獲取包含TROJ DUQU.ENC位置的登錄檔路徑,以及將向其中注入TROJ DUQU.ENC的過程。
TROJ DUQU.RTKT DUQU解密ENC。一旦找到。解密將生成一個名為TROJ DUQU.DEC的DLL檔案,該檔案將被發現。載入後,TROJ DUQU.DEC轉到TROJ DUQU.CFG以獲取有關其例程的資訊。根據TROJ DUQU.CFG,TROJ DUQU.DEC設定為使用站點kasperskychk.dyndns.org和www.microsoft.com來檢查Internet連線。如果識別出它在受影響的系統上執行,TROJ DUQU.DEC還會將自身注入以下程序:
- explorer.exe
- firefox.exe
- Iexplore.exe
根據上述例程的完成情況,TROJ DUQU.DEC能夠與其命令和控制伺服器通訊並接收命令。交付的命令的性質未知,但據稱其中包括將更多惡意軟體上傳到受感染的系統上。
Duqu的目的
Duqu正在尋找可能用於對工業控制系統進行網路攻擊的資料。已知元件試圖收集資訊,而不是造成破壞。但是,由於Duqu的模組化特性,特定的有效負載可用於透過任何方法攻擊任何型別的計算機系統,從而可能允許進行網路物理攻擊。
但是,已發現它在個人計算機系統上的使用會在某些情況下銷燬系統上所有最近的資訊輸入和整個硬碟。賽門鐵克檢查了Duqu的內部通訊,但它在受感染網路內部複製的具體技術尚不清楚。
Duqu 2.0目標攻擊
Duqu 2.0是一個複雜的惡意軟體平臺,它利用多達三個零日漏洞,並且與P5+1事件以及與世界領導人進行高階會談的場所有關。這些攻擊包括一些以前未知的方面,例如僅存在於活動記憶體中的程式碼。它幾乎無法檢測到。
卡巴斯基實驗室的專家在嘗試入侵該公司內部網路後發現了Duqu 2.0。研究人員在測試一種旨在檢測高階持續性威脅的新工具時發現了這種複雜的惡意軟體,這是一個意外的收穫。
Duqu 2.0利用高階規避策略。它很難檢測到,因為它儲存在記憶體中。Duqu的更新版本不再將資料寫入受害者的硬碟驅動器。根據賽門鐵克專家的說法,Duqu 2.0有兩個變體:一個是後門,似乎用於透過感染多臺計算機在目標實體中獲得永續性,第二個變體反映了它的發展,並且具有更高階的功能。
477 次瀏覽
