Szkodliwe programy Stuxnet/Duqu a platforma "Tilded"

Przeczytaj także: Ukierunkowane ataki trojana Duqu

Nieznane wcześniej sterowniki

rtniczw.sys

Podczas analizowania incydentu z udziałem Duqu, którego ofiarą padł jeden z użytkowników, wykryliśmy coś nowego – coś, co potencjalnie mogło mieć wpływ na wszystko, co wiemy na temat Stuxneta.

Na komputerze ofiary został znaleziony nietypowy plik, wykryty przez nasz silnik antywirusowy jako Rootkit.Win32.Stuxnet.a. Werdykt miał odpowiadać znanemu plikowi mrxcls.sys, który został opisany wyżej, jednak nazwa wykrytego pliku i suma kontrolna różniły się!

Plik ten to rtniczw.sys, o rozmiarze 26 872 bajtów, MD5 546C4BBEBF02A1604EB2CAAAD4974DE0.

Plik miał trochę większy rozmiar niż mrxcls.sys, który posiadał podpis cyfrowy Realtek. To sugerowało, że rtniczw.sys również posiada podpis cyfrowy. Udało nam się zdobyć kopię tego pliku i ze zdziwieniem stwierdziliśmy, że stosował ten sam certyfikat Realteka, ale z inną datą podpisu pliku niż mrxcls.sys: rtniczw.sys został podpisany 18 marca 2010 roku, podczas gdy sterownik mrxcls został podpisany 25 stycznia tego samego roku.

Ponadto, rtniczw.sys stosował klucz rejestru oraz blokadę danych konfiguracyjnych, która nie była wykorzystywana w Stuxnecie. Stuxnet używał klucza “MRxCls” oraz wartości “Data”, podczas gdy w przypadku rtniczw.sys, klucz to “rtniczw”, a wartość “Config”.

Szczegółowa analiza kodu wykrytego w rtniczw.sys nie ujawniła innych różnic w stosunku do sterownika “referencyjnego”: był to ten sam plik mrxcls.sys, stworzony w tym samym roku, w tym samym dniu i o tej samej godzinie - 1 stycznia 2009 r.

Szukano dodatkowych informacji o innych użytkownikach, którzy posiadali ten sam plik, ale nie zdołaliśmy niczego znaleźć! Co więcej, w żadnej przeglądarce nie znaleźliśmy żadnych informacji o nazwie pliku (rtniczw.sys) lub jego MD5. Plik został zidentyfikowany tylko jeden raz: został przesłany do przeskanowania przez VirusTotal z Chin w maju 2011 roku.

Badany przez nas system został najwyraźniej zainfekowany pod koniec sierpnia 2011 roku. Należy podkreślić, że w systemie nie została zidentyfikowana infekcja Stuxneta; nie zostały znalezione żadne dodatkowe pliki z zestawu Stuxneta. Znaleźliśmy jednak pliki Duqu.

Najprawdopodobniej mogły istnieć inne pliki sterowników podobne do pliku „referencyjnego” mrxcls.sys, które nie należą do znanych wariantów Stuxneta.