压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

技術剖析

攻擊者創建了一個不尋常的持續性模塊（他們將其部署在‘已淪陷’的網絡服務器上）。它服務一double函數—支持一種C&C通信方案。該 organization-level 的持續性是由一驅動程序（被作為一正常的系統服務安裝）實現的。在64位系統上，需要嚴格的Authenticode電子簽名。我們已經了解到兩種類似的 可持續性驅動被部署于該攻擊過程中。

在防火墻，網關，或任意其它服務器（在一端直接接入網絡，并在其它端接入公共網絡）上安裝這些惡意驅動程序。通過使用它們，它們可以在某個時刻實現多個目的：訪問內部網絡基礎設施，避開日志記錄并保持一種持續存在的形式。

在本質上，驅動重定向網絡流量并從網關機（運行它）中進行該操作。為了轉發連接，攻擊者首先不得不通過使用一種秘密關鍵字來傳遞基于網絡的 “knocking”。到目前為止我們已經從收集的樣本中看到兩個不同的秘密關鍵字：“romanian.antihacker” 和“ugly.gorilla”。

我們已在我們的Whitepaper中描述過這些關于Duqu2.0的驅動 (見 “The ”portserv.sys” driver analysis” 部分).接下來回顧一些重要細節。驅動程序監聽網絡并尋找特殊的秘密關鍵字(在那個案例中是“romanian.antihacker” )。在那之后，它保存主機（已傳遞正確秘密關鍵字）的IP，并開始將所有報文從443端口重定向到那臺服務器的445(SMB)或3389(Remote Desktop)。

這方法有效地讓攻擊者可以打開SMB隧道（遠程訪問文件系統）并通過網關服務器使用Remote Desktop，雖然它看起來像是HTTPS流量（端口443）。

我們已探索到“romanian.antihacker”驅動所做的另一類似工作，這里使用更一般的方法建立的更多的連接：

1.????如果驅動識別到秘密關鍵字是“ugly.gorilla1”那么所有來自攻擊者的IP流量將從433（HTTPS）被重定向到445（SMB）。
2.????如果驅動識別到秘密關鍵字是“ugly.gorilla2”?那么所有來自攻擊者的IP流量將從433（HTTPS）被重定向到3389?(RDP)。
3.????如果驅動識別到秘密關鍵字是“ugly.gorilla3”?那么所有來自攻擊者的IP流量將從433（HTTPS）被重定向到135?(RPC)。
4.????如果驅動識別到秘密關鍵字是“ugly.gorilla4”?那么所有來自攻擊者的IP流量將從433（HTTPS）被重定向到139?(NETBIOS)。
5.????如果驅動識別到秘密關鍵字是“ugly.gorilla5”?那么所有來自攻擊者的IP流量將從1723?（PPTP）被重定向到445?(SMB)。
6.????如果驅動識別到秘密關鍵字是“ugly.gorilla6”?那么所有來自攻擊者的IP流量將從433（HTTPS）被重定向到47012?(currently?unknown)。

我們想指出一個看起來相當可疑的端口：47012。到目前為止，我們并沒有看到過任何其他的Duqu2.0組件使用該端口，也沒有發現過任意其它的 一般惡意軟件，后門，或合法軟件使用該端口（根據SANS的報告顯示）。然而，考慮到該端口號是被硬編碼進惡意軟件的，這對于Duqu2.0來說可能是一 個很棒的指示標記，用該指示標記指出‘被攻陷’的目標。

惡意軟件部分帶有秘密關鍵字

該64位驅動含有位于其內部的DLL，名為“termport.sys”,雖然該文件名在文件系統中被稱為“portserv.sys”。

這似乎意味著攻擊者會因不同的操作而改變文件名并且如果只是檢測該攻擊也并不能單獨依賴于文件名。編譯時間戳是偽造的：“Jul 23 18:14:28 2004”。

所有已發現的驅動文件位于“C:\Windows\System32\drivers\”。

也許在該攻擊策略中最重要的部分是用于64位驅動的電子簽名。因為在64位Windows系統上，強制要求驅動應持有一有效的電子簽名。

已標注為“HON HAI PRECISION INDUSTRY CO. LTD.”?(即是眾所周知的“Foxconn Technology Group”, 世界上最大的電子制造商之一)。

攻擊者使用的驅動的電子簽名

根據驅動信息可看出它在 2015年2月19日20:31完成簽名。以下是由SysInternal的sigcheck 公用程序提供的細節：

Verified:??????????????Signed
?Signing?date:???20:31?19.02.2015
?Publisher:????????????HON?HAI?PRECISION?INDUSTRY?CO.?LTD.
?Description:????????Port?Optimizer?for?Terminal?Server
?Product:???????????????Microsoft?Windows?Operating?System
?Prod?version:???6.1.7601
?File?version:???6.1.7601?built?by:?WinDDK
?MachineType:???64-bit
?MD5:?????92E724291056A5E30ECA038EE637A23F
?SHA1:???478C076749BEF74EAF9BED4AF917AEE228620B23
?PESHA1:?F8457AFBD6967FFAE71A72AA44BC3C3A134103D8
?PE256:??2891059613156734067A1EF52C01731A1BCFB9C50E817F3CA813C19114BFA556
?SHA256:??BC4AE56434B45818F57724F4CD19354A13E5964FD097D1933A30E2E31C9BDFA5

根據Wikipedia上的說法,?“Foxconn Technology Group”是世界上最大的電子承包商，其總部位于臺灣新北市土城區。

Foxconn的主要顧客包括或已包括一些世界上最大的企業：

·?????????Acer?Inc.
·?????????Amazon.com
·?????????Apple?Inc.
·?????????BlackBerry?Ltd.
·?????????Cisco
·?????????Dell
·?????????Google
·?????????Hewlett-Packard
·?????????Huawei
·?????????Microsoft
·?????????Motorola?Mobility
·?????????Nintendo
·?????????Nokia
·?????????Sony
·?????????Toshiba
·?????????Xiaomi
·?????????Vizio

富士康制造了多個流行的產品，包括 BlackBerry, iPad, iPhone, Kindle, PlayStation 4, Xbox One and Wii U。

在2013年二月，制造商使用同一證書對多數用于Dell laptops的WatchDog Timer Kernel drivers (WDTKernel.sys)進行簽名。

總結

之前，在我們對Stuxnet和Duqu的研究期間，已觀察到惡意軟件(使用Jmicron和Realtek證書)被簽名的現象。竊取電子證書并對 惡意軟件簽名似乎是Duqu攻擊者慣用的技巧。我們沒有確認這些供應商哪些已被受害，但是我們已指出Duqu攻擊者感興趣的是硬件制造商如 Foxconn, Realtek和 Jmicron。我們也觀察到感染現象與硬件制造商（如APAC，包括ICS和SCADA計算機設備制造商）相關聯，這已在2014年/2015年的攻擊 案例中得到了證實。

除了這些Duqu驅動之外，另一個有趣的現象是我們并沒有發現用相同證書簽名的任意其他惡意軟件。

這排除了證書被泄露的可能性且它已被多個小組使用?？雌饋硭坪踔该髁薉uqu攻擊者們只是一個群體（有這些證書的訪問權），從而證實了他們黑掉硬件制造商的目的是得到這些證書。

最后，有趣的事是，Duqu攻擊者并沒有在兩次的攻擊中使用同一證書。這是我們從2011年和2015年中了解到的關于Duqu的情報。如果確實如 此，則意味著攻擊者可能從其它制造商中竊取電子證書以在針對下一攻擊目標時使用。這將是一個極需要注意的問題，因為該問題可能讓我們不再輕易相信電子證書 的安全性。

Verisign 和 HON HAI都已報告了關于Duqu2.0惡意軟件中使用的證書信息。

IOC

樣本MD5 (portserv.sys):

92e724291056a5e30eca038ee637a23f

Duqu攻擊者使用的Foxconn證書的序列號：

?25?65?41?e2?04?61?90?33?f8?b0?9f?9e?b7?c8?8e?f8

惡意驅動使用的完整證書憑據：

—–BEGIN?CERTIFICATE—–?
?MIIFmTCCBIGgAwIBAgIQJWVB4gRhkDP4sJ+et8iO+DANBgkqhkiG9w0BAQUFADCB?
?tDELMAkGA1UEBhMCVVMxFzAVBgNVBAoTDlZlcmlTaWduLCBJbmMuMR8wHQYDVQQL?
?ExZWZXJpU2lnbiBUcnVzdCBOZXR3b3JrMTswOQYDVQQLEzJUZXJtcyBvZiB1c2Ug?
?YXQgaHR0cHM6Ly93d3cudmVyaXNpZ24uY29tL3JwYSAoYykxMDEuMCwGA1UEAxMl?
?VmVyaVNpZ24gQ2xhc3MgMyBDb2RlIFNpZ25pbmcgMjAxMCBDQTAeFw0xMjA4MjUw?
?MDAwMDBaFw0xNTA4MjUyMzU5NTlaMIHcMQswCQYDVQQGEwJUVzEPMA0GA1UECBMG?
?VEFJV0FOMREwDwYDVQQHEwhUVS1DSEVORzEsMCoGA1UEChQjSE9OIEhBSSBQUkVD?
?SVNJT04gSU5EVVNUUlkgQ08uIExURC4xPjA8BgNVBAsTNURpZ2l0YWwgSUQgQ2xh?
?c3MgMyAtIE1pY3Jvc29mdCBTb2Z0d2FyZSBWYWxpZGF0aW9uIHYyMQ0wCwYDVQQL?
?FARQQ0VHMSwwKgYDVQQDFCNIT04gSEFJIFBSRUNJU0lPTiBJTkRVU1RSWSBDTy4g?
?TFRELjCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBALzM40T355R4ov9F?
?OcwiBpBwRk5047T5PxoabBPGyhqjqVyTJ3vxYWunUsGJpq2myS7uPmDkPXc+qExE?
?SRBIgruiGpazeqXsP7EfEr8BRU4iVvKmD//m5uZvqEAsz6FzJ/PMlfiZponm5PLa?
?hcIM9AtqdhqDek7taoAaPUbYjY2wgan8+jaNWo0BzmvimN74AC5N0aZgTFBvIRux?
?Ev2EO1x4Ypz3UqFwMTHHdexJqM19W20mmbpjGfoxkfl4yUuUg5O4tdgTbZVF9mui?
?rWpVCuGcB1iUpUxTCoidGfx1ROkzYgLV7XLt50Iir0btqM4tshG4GJUhAX+rEy+r?
?sr5gFnUCAwEAAaOCAXswggF3MAkGA1UdEwQCMAAwDgYDVR0PAQH/BAQDAgeAMEAG?
?A1UdHwQ5MDcwNaAzoDGGL2h0dHA6Ly9jc2MzLTIwMTAtY3JsLnZlcmlzaWduLmNv?
?bS9DU0MzLTIwMTAuY3JsMEQGA1UdIAQ9MDswOQYLYIZIAYb4RQEHFwMwKjAoBggr?
?BgEFBQcCARYcaHR0cHM6Ly93d3cudmVyaXNpZ24uY29tL3JwYTATBgNVHSUEDDAK?
?BggrBgEFBQcDAzBxBggrBgEFBQcBAQRlMGMwJAYIKwYBBQUHMAGGGGh0dHA6Ly9v?
?Y3NwLnZlcmlzaWduLmNvbTA7BggrBgEFBQcwAoYvaHR0cDovL2NzYzMtMjAxMC1h?
?aWEudmVyaXNpZ24uY29tL0NTQzMtMjAxMC5jZXIwHwYDVR0jBBgwFoAUz5mp6nsm?
?9EvJjo/X8AUm7+PSp50wEQYJYIZIAYb4QgEBBAQDAgQQMBYGCisGAQQBgjcCARsE?
?CDAGAQEAAQH/MA0GCSqGSIb3DQEBBQUAA4IBAQA9niTkOi3raLWjtQBJK3br8RDS?
?X+6NtHj/OhSuFzVsJcmhvaf4DIhJ00ghScXcZZycod/7kYN9NBIrTMqlB5GsOuWI?
?/TPk9HoIvEoVEoliuEBwDiHbIidaLKcS3sPqgV0WNx46JYmCI/++KMCZ7zfDSlZb?
?213OpauHuQj7tUIKGlEKq7qIvGaR+EUcxpgVR/AxuxTtjUWaSItCM2vMGKUMDNXH?
?rN+2IYeHsnMqe68RoIRLlq3BPQkA+JcpjjV2Td5Q4Y2xj7E558EQ4utYduwCv+kq?
?OQgeV4KumDaoN9Y7+e79jWzoIkKM4IxQ8u1jfxGuG35l9k7seksYOwdM1dN5?
?—–END?CERTIFICATE—–