Szkodliwe programy Stuxnet/Duqu a platforma "Tilded"

Przeczytaj także: Ukierunkowane ataki trojana Duqu

rndismpc.sys, rtniczw.sys oraz jmidebs.sys

Jak widać na wykresie, nie wiadomo, który szkodliwy program wszedł w interakcję z następującymi trzema sterownikami: rndismpc.sys, rtniczw.sys oraz jmidebs.sys. Oczywiste pytanie brzmiałoby: czy zostały wykorzystane w Stuxnecie? Według nas, odpowiedź powinna brzmieć “nie”.

Przede wszystkim, gdyby zostały wykorzystane w Stuxnecie, zajmowałyby o wiele więcej miejsca niż poszczególne wykryte przez nas przypadki. Po drugie, nie zidentyfikowano żadnej wersji Stuxneta, która potrafi współdziałać z tymi sterownikami.

Plik rtniczw.sys został podpisany 18 marca 2010 roku, jednak 14 kwietnia 2010 roku autorzy Stuxneta stworzyli nowy wariant tego robaka, który wykorzystywał referencyjny plik mrxcls.sys. Jest oczywiste, że rtniczw.sys był przeznaczony do innych celów. To samo można powiedzieć o jmidebs.sys. Uważamy, że te trzy sterowniki są tylko pośrednio związane ze Stuxnetem i można je bezpiecznie wymazać z historii Stuxneta.

Jest również drugie pytanie: czy te sterowniki mogły być wykorzystane w Duqu?

Na to pytanie nie ma jednoznacznej odpowiedzi. Chociaż wszystkie znane warianty Duqu pochodzą z okresu listopad 2010 – październik 2011, uważamy, że istnieją wcześniejsze wersje tego trojana szpiegującego stworzone w celu kradzieży informacji. Trzy omawiane sterowniki mogły zostać bez trudu użyte we wcześniejszych wersjach Duqu lub w innych trojanach opartych na platformie Stuxnet/Duqu. Podobnie jak Duqu trojany te były najprawdopodobniej wykorzystywane w atakach ukierunkowanych przed pojawieniem się Stuxneta (co najmniej w 2008 roku), w czasie, gdy był aktywny i po zamknięciu jego centrum kontroli. Prawdopodobnie były to równoległe projekty, a Stuxnet został stworzony później na podstawie zdobytego doświadczenia i kodu, który został napisany już wcześniej. Wydaje się wysoce nieprawdopodobne, że był to jedyny projekt realizowany przez jego autorów.

Proces tworzenia sterowników

Spróbujmy wyobrazić sobie, jak wygląda proces tworzenia sterowników. Kilka razy w roku autorzy kompilują nową wersję pliku sterownika, tworząc plik referencyjny. Głównym celem tego pliku jest ładowanie i wykonanie głównego modułu, który jest tworzony oddzielnie. Może to być Stuxnet lub Duqu, albo jakiś inny program.

Kiedy trzeba użyć sterownika dla nowego modułu, autorzy wykorzystują wyspecjalizowany program w celu zmodyfikowania informacji w pliku “referencyjnym” sterownika, tj. informacji o jego nazwie i usłudze jak również kluczu rejestru i jego wartości.

Warto podkreślić, że cyberprzestępcy nie tworzą nowego pliku od podstaw, ale podrasowują gotowe. To oznacza, że mogą stworzyć dowolną liczbę różnych plików sterownika, z których każdy będzie miał dokładnie tę samą funkcjonalność i datę utworzenia.

W zależności od celu ataku i ofiary trojana można następnie podpisać kilka plików sterowników przy użyciu legalnych certyfikatów cyfrowych o nieznanym pochodzeniu.

Wnioski

Posiadane przez nas dane pozwalają stwierdzić z dużą dozą pewności, że platforma “Tilded” została stworzona pomiędzy końcem 2007 r. a początkiem 2008 r., przy czym najpoważniejsze zmiany przeszła na przełomie lata i jesieni 2010 roku. Zmiany te wynikały z rozwoju kodu oraz konieczności uniknięcia wykrycia przez rozwiązania antywirusowe. W latach 2007-2011 powstało wiele projektów dotyczących programów opartych na platformie “Tilded”. Stuxnet i Duqu to dwa z nich – jednak mogły być również inne, na razie jednak pozostają nieznane. Platforma wciąż jest rozwijana, co może oznaczać tylko jedno – w przyszłości prawdopodobnie pojawi się więcej modyfikacji.