返回新闻列表

卡巴斯基实验室安全专家发现Duqu木马使用了未知编程语言,呼吁编程社区协助进行分析

        Duqu是一种复杂的木马,其编写者同样创造了臭名昭著的Stuxnet蠕虫。其主要功能是充当系统后门,窃取隐私。Duqu最早于2011年9月被发现。但是,根据卡巴斯基实验室数据,第一款同Duqu有关的恶意软件早在2007年8月就已经出现。此外,公司专家还记录到超过十多次同Duqu相关的安全事件,其中大部分受害者都位于伊朗。针对这些受害者所属的组织以及Duqu木马所窃取的信息进行分析,可以很清楚的看到该木马的攻击目的主要是窃取某些应用于特定领域的工业控制系统的相关信息,此外还收集大量伊朗所属组织的商业关系情报。

        目前,针对Duqu木马最大的疑团是该恶意程序感染计算机后,是如何同命令控制中心(C& C)进行通讯的。Duqu木马用于同C&C通讯的模块是其有效负荷DLL的一部分。对该有效负荷DLL进行全面的分析后,卡巴斯基实验室的研究者发现该DLL中存在一段特定采用一种未知编程语言编写的代码,其唯一功能就是同C&C进行通讯。卡巴斯基实验室的研究人员将这一段未知代码命名为“Duqu架构”。

        同Duqu木马的其它组件不同,Duqu架构并不是采用C++编写,也没有使用微软的Visual C++ 2008进行编译。很可能其编写者使用了一种内部架构,生成了媒介C代码,或者他们使用了一种完全不同的编程语言。此外,卡巴斯基实验室研究人员已经确认该语言为面向对象式语言,并且能够自行执行其相关行为,而且适合网络应用的开发。

        Duqu架构所使用的语言高度专业化,能够让有效负荷DLL同其它Duqu模块独立,通过多种途径包括Windows HTTP、网络端口和代理服务器同C&C建立连接。还能够让有效负荷DLL直接处理来自C&C的HTTP服务器请求,甚至可以在网络中的其它计算机上传播辅助恶意代码,实现可控制并且隐蔽的感染手段,殃及其它计算机。针对这一模块的详细分析及相关数据,请参阅卡巴斯基实验室的技术网站Securelist。

        卡巴斯基实验室首席安全专家Alexander Gostev分析说:“考虑到Duqu项目的规模,很可能Duqu架构是由一个完全不同的团队负责编写的,这一团队同编写驱动程序和系统漏洞利用程序的团队不同。该恶意软件具有极高的可定制性,并且采用了特有的编程语言编写。很可能这样做的目的是防止其他外部第三方人员了解其网络间谍行为以及同命令控制中心的交互,还能够确保编写Duqu其它组件的团队同样无法了解该恶意软件的详情。”

        Alexander Gostev认为,这一恶意软件采用了专门的编程语言,充分说明从事这一项目开发的人员所掌握的技术非常卓越。而且要顺利实施开发这一项目,必然需要大量金融和人力资源的支持。

        卡巴斯基实验室呼吁广大编程社区加入到分析这一恶意软件的行动中来,如何有人能够识别出这一架构,或者其中所使用的工具或能够生成类似代码结构的编程语言,请联系我们的专家。

        我们有信心在大家的帮助下尽快解开Duqu木马这一谜团。

        关于Duqu架构的详细分析,请参阅Igor Soumenkov和Costin Raiu撰写的博文,地址:Securelist