Szkodliwe programy Stuxnet/Duqu a platforma "Tilded"

Przeczytaj także: Ukierunkowane ataki trojana Duqu

rndismpc.sys

Sprawdzenie naszej kolekcji szkodliwego oprogramowania pomogło zidentyfikować kolejny interesujący plik, który został dodany do niej ponad rok temu. Plik miał nazwę rndismpc.sys, rozmiar 19 968 bajtów i MD5 9AEC6E10C5EE9C05BED93221544C783E.

Okazało się, że jest to kolejny sterownik o funkcjonalności bardzo zbliżonej do mrxcls.sys z wyjątkiem kilku szczegółów:

• rndismpc.sys wykorzystuje klucz rejestru, który różni się od kluczy wykorzystywanych przez mrxcls i rtniczw – jest to klucz “rndismpc” o wartości “Action”;
• wykorzystuje klucz szyfrowania, który różni się od tego używanego przez mrxcls/rtniczw – 0x89CF98B1;
• data kompilacji pliku to 20 stycznia 2008 r., tzn. rok przed stworzeniem mrxcls/rtniczw.

Podobnie jak rtniczw.sys, plik rndismpc.sys nigdy nie został znaleziony na komputerach użytkowników. Nie wiemy, jaki szkodliwy program zainstalował go ani z jakim głównym modułem miał współpracować.
Łączące ogniwo: mrxcls.sys -> jmidebs.sys ->sterowniki Duqu

Uzyskane dane oraz dostępne informacje dotyczące sterowników wykorzystywanych w Duqu można podsumować w tabeli.

Według naszych analityków, jmidebs.sys jest ogniwem łączącym mrxcls.sys oraz sterowniki wykorzystane w Duqu w późniejszym czasie.

Kod sterowników mrxcls i jmidebs jest w dużej mierze podobny. Niektóre niewielkie różnice mogą być spowodowane różnymi ustawieniami oraz minimalnymi zmianami w kodzie źródłowym, podczas gdy jego cel pozostaje niezmieniony.

Jednak poważniejsze zmiany można znaleźć w kilku funkcjach:

• W funkcji obsługi, która uzyskuje adresy funkcji API: wersja w mrxcls wykorzystuje w tym celu funkcję MmGetSystemRoutineAddress oraz odpowiednie nazwy tekstowe adresów przychodzących funkcji API. Wersja w jmidebs wywołuje swoje własne funkcje w celu uzyskania adresów API przy użyciu sum hash swoich nazw. Te same funkcje są wykorzystywane w sterownikach Duqu, podczas gdy lista hashów funkcji jest dwukrotnie dłuższa.
• W funkcji tworzącej tymczasowe fragmenty kodu (stub) w celu wstrzyknięcia PNF DLL do procesów: wersja mrxcls wykorzystuje stub o całkowitym rozmiarze 6332 bajtów. Sterowniki jmidebs i Duqu wykorzystują stuby o całkowitym rozmiarze 7061 bajtów. Kod wykorzystany w modułach stub dla tych sterowników jest identyczny, ale posiada różne daty kompilacji.