image

Stuxnet-zoon op Europese systemen ontdekt

woensdag 19 oktober 2011, 09:22 door Redactie, 3 reacties

Onderzoekers hebben op Europese industriële systemen nieuwe malware ontdekt die vermoedelijk door de auteurs van de beruchte Stuxnet-worm is geschreven of die toegang tot de broncode hadden. Duqu, zoals de malware wordt genoemd, is volgens Symantec een voorbode voor een Stuxnet-achtige aanval. Duqu heeft als doel het verzamelen van inlichtingen van industriële systemen, waardoor toekomstige aanvallen eenvoudiger zijn uit te voeren.

De aanvallers waren volgens anti-virusbedrijf Symantec op zoek naar ontwerpdocumenten die zouden helpen bij het aanvallen van industriële controlesystemen. Duqu bevat zelf geen code voor het infecteren van industriële controlesystemen en is voornamelijk een Remote Access Trojan (RAT). Ook kan de malware zichzelf niet verspreiden, zoals de Stuxnet-worm dat wel kon.

Uit cijfers zou blijken dat de malware tegen een zeer select aan organisaties is ingezet. De eerste versie werd door een Europese organisatie ontdekt, maar sindsdien zijn er verschillende andere varianten gevonden. Symantec sluit dan ook niet uit dat ook andere organisaties zijn aangevallen door varianten die nog niet bekend zijn.

Toetsaanslagen
Via Duqu installeerden de aanvallers een "infostealer" die toetsaanslagen opslaat en gegevens verzamelt. Deze keylogger beschikt tevens over een functie om bestanden via een rootkit te verbergen. In één geval slaagden de aanvallers niet in het versturen van de gestolen gegevens, maar mogelijk dat bij andere aanvallen dit wel lukte. Symantec spreekt over twee gevonden varianten die van 1 september 2011 dateren, maar aan de hand van de datum wanneer de bestanden gecompileerd zijn, is het goed mogelijk dat aanvallen met andere varianten al sinds december 2010 plaatsvinden.

Sinds Symantec met de ontdekking naar buiten trad, zijn er verschillende andere versies ontdekt, die op 17 oktober 2011 zijn gecompileerd. Duqu stuurt de gestolen informatie naar een Indiase server en verwijdert zichzelf na 36 dagen van het systeem. Net als met Stuxnet gebruikte ook Duqu twee gestolen digitale certificaten. Wederom van een Taiwanees bedrijf, te weten C-Media. De Indiase server is inmiddels uit de lucht gehaald, meldt McAfee.

Certificaat
"Dit is mogelijk geen toeval aangezien Stuxnet de certificaten van RealTek en JMicron gebruikte, twee andere embedded chipfabrikanten in dezelfde buurt. Het blijft echter een mysterie. Zijn deze certificaten gesotlen, of gegenereerd door middel van gestolen certificaten die van deze organisaties waren", vraagt Chester Wisniewski van Sophos zich af.

Symantec heeft inmiddels onderzocht hoe de aanvallers het C-Media certificaat konden genereren en concludeert dat de privésleutel voor het signeren was gestolen, en niet op frauduleuze wijze is gegenereerd.

Volgens de virusbestrijder heeft de malware veel gemeen met Stuxnet, maar is de lading compleet verschillend. De werking van Duqu wordt uitgebreid in deze 60 pagina's tellende analyse beschreven.

Stuxnet
Volgens het Finse F-Secure is er geen enkele twijfel Duqu is gemaakt door de makers van de Stuxnet-worm. "De Stuxnet broncode is niet beschikbaar. Alleen de originele auteurs hebben het. Dus deze nieuwe backdoor is gemaakt door dezelfde groep die Stuxnet maakt", zegt Mikko Hypponen. Verder meldt de virusbestrijder dat de certificaten van C-Media Electronics Incorporation afkomstig zijn, iets wat Symantec in eerste instantie verzweeg. Opmerkelijk genoeg beweert de driver nog steeds van JMicron te zijn. Van dit bedrijf gebruikte Stuxnet een gestolen certificaat. Norman maakt dit diagram van de Dugu driver.

Vanwege de vele reacties op Duqu zal dit bericht later worden aangevuld

Update1: Reactie Sophos
Update2: Reactie F-Secure

Reacties (3)
19-10-2011, 11:54 door Erik van Straten
Ik was erg benieuwd of PKI revocation werkt in dit geval, en dat lijkt het te doen (of de targeted systemen CRL en/of OCSP revocation checks doen/kunnen doen is natuurlijk maar zeer de vraag).

Volgens http://nakedsecurity.sophos.com/2011/10/19/duqu-son-of-stuxnet-raises-questions-of-origin-and-intent/ is de malware ondertekend gebruik makend van het volgende code signing certificaat:
Issued to: C-Media Electronics Incorporation
Issued by: VeriSign Class 3 Code Signing 2009-2 CA
Expires: 3/08/2012 12:59:59 AM
SHA1 hash: 83F430C7297FBF6C1D910B73414132DB48DBDE9C
En dat certificaat wordt vertrouwd door het volgende intermediate (tussenliggende) certificaat:
Issued to: VeriSign Class 3 Code Signing 2009-2 CA
Issued by: Class 3 Public Primary Certification Authority
Expires: 21/05/2019 12:59:59 AM
SHA1 hash: 12D4872BC3EF019E7E0B6F132480AE29DB5B1CA3
Helaas wordt er bij het eerste (code-signing) certificaat geen revocation URL genoemd, noch het serienummer van het (hopelijk) ingetrokken certificaat.

Op pagina 12 van http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_duqu_the_precursor_to_the_next_stuxnet.pdf is het serienummer in elk geval deels af te lezen:
Serial Number: 04 69 31 bf 57 eb c5 94 7d 3d...
Nu de URL naar de CRL nog. Stel dat de Duqu-maker dezelfde methode heeft toegepast als een andere gebruiker van "VeriSign Class 3 Code Signing 2009-2 CA" intermediate certificaten, namelijk Adobe (nb. sinds begin dit jaar gebruikt Adobe een update daarvan: "VeriSign Class 3 Code Signing 2010 CA").

Dus rechts geklikt op een oude "install_flash_player_ax.exe", namelijk versie 10.3.183.10 die ik op 2010-10-10 heb gedownload, en naar de certificaten gekeken. Deze binary is ondertekend met het volgende code signing certificate van Adobe:
Issued to: Adobe Systems Incorporated
Issued by: VeriSign Class 3 Code Signing 2009-2 CA
Valid From: Thursday, November 05, 2009 02:00:00
Valid to: Saturday, December 11, 2010 01:59:59
Thumbprint: c0 66 e0 10 38 8f 4c 26 e9 18 fc cf 14 b7 83 89 47 8d 72 86
CRL Distribution Points: http://csc3-2009-2-crl.verisign.com/CSC3-2009-2.crl
Daarna gedownload: http://csc3-2009-2-crl.verisign.com/CSC3-2009-2.crl. Deze is aangemaakt op "Tuesday, October 18, 2011 23:00:02".

Gelukkig bevat deze file de volgende entry:
Serial number: 04 69 31 bf 57 eb c5 94 7d 3d c4 ee 7a 23 6e
Revocation date: Friday, October 14, 2011 20:01:50
Noot: ervan uitgaande dat de makers van Duqu de private key van het signing certificate van "C-Media Electronics Incorporation" in handen hebben, kunnen ze waarschijnlijk elk gewenst certificaat onder Duqu plakken en CSR/OCSP URL's naar keuze invullen (of weglaten)...

Interessant: toen ik scrooglede naar "04 69 31 bf 57 eb c5 94 7d" (inclusief de aanhalingstekens) vond ik het volgende:
1. Boldi Phishing Blog » Blog Archive » nasty

"2011. okt. 4. ... 04 69 31 bf 57 eb c5 94 7d 3d c4 ee 7a 23 6e is not good any more. affected 97 d0 6b a8 26 70 c8 a1 3f 94 1f 08 2d c4 35 9b a4 a1 1e f2 ..."
boldi.phishing.hu/2011/10/04/nasty/

2. Boldi Phishing Blog

"2011. okt. 4. ... 04 69 31 bf 57 eb c5 94 7d 3d c4 ee 7a 23 6e is not good ..."
boldi.phishing.hu/
De eerste URL is nu 404 en op de tweede is niets terug te vinden. Google cache (http://webcache.googleusercontent.com/search?q=cache:Gcn3hhXQtt4J:boldi.phishing.hu/2011/10/04/nasty/+&cd=1&hl=en&ct=clnk) laat echter zien dat vage types hier op 4 oktober al wat over wisten:
Door nasty op October 4, 2011 at 11:16 pm: nasty things happened. 04 69 31 bf 57 eb c5 94 7d 3d c4 ee 7a 23 6e is not good any more.
affected 97 d0 6b a8 26 70 c8 a1 3f 94 1f 08 2d c4 35 9b a4 a1 1e f2
Door admin op October 4, 2011 at 11:54 pm: There is a problem. A key should be revoked. However, wanna be sure that it won’t harm anyone. So spread the word, 4541e850a228eb69fd0f0e924624b245 is a sys. related to two others. and it has some evil inside.
19-10-2011, 13:52 door Erik van Straten
Ah, ik had mezelf werk kunnen besparen, in http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_duqu_the_precursor_to_the_next_stuxnet.pdf pagina 2 staat:
Door Symantec: One of the variant’s driver files was signed with a valid digital certificate that expires on August 2, 2012. The digital certificate belongs to a company headquartered in Taipai, Taiwan. The certificate was revoked on October 14, 2011.
Aan de andere kant staat daar niet bij om welke CRL het precies gaat, dat weten we nu wel.

US-CERT heeft ondertussen ook een alert uit doen gaan, zie http://www.us-cert.gov/control_systems/pdf/ICS-ALERT-11-291-01.pdf.

Interessant is wel dat er op 4 oktober al mensen van het bestaan van deze malware wisten (4541e850a228eb69fd0f0e924624b245 is de MD5 hash van cmi4432.sys, zie de PDF's van Symantec en US-CERT), waarna het nog tot 14 oktober duurt voordat het signing certificate gerevoked wordt.
19-10-2011, 16:53 door Anoniem
note: RATsstaat niet voor Remote Access Trojan maar voor Remote Adminisration Tool...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.