[Malware] Duqu2.0 - A sophisticated cyber-attack tools(정교한 사이버 공격도구 duqu2 살펴보기)

혹시 예전에 이슈가 되었던 Duqu, Stuxnet 에 대해 기억하시나요? 산업시설에 대해 공격하고 파괴하여 해킹/보안 업계에서 꾀 유명해진 바이러스입니다.

최근 다시 수면으로 떠오르고 있는 이야기 중 Duqu에 관련된 이야기가 있습니다. 3가지의 제로데이 취약점을 이용한 Duqu2.0 로 유명한 보안회사인 카스퍼스키랩 또한 2015년도 봄에 내부시스템에 영향이 있었다고 알려지고 있습니다.

기존 APT(Advanced Persistent Threat) 와 비교하여 훨씬 미래 지향적인 APT Malware 로 알려져 있습니다.

Duqu2.0은 MS 제로데이를 사용하며 최근 패치된 CVE-2015-2360 취약점을 이용한다고 합니다.

2015-2360은 win32k.sys Kernel-mode drivers 가 포함된 윈도우 계열 시스템에서 동작하며 조작된 Application 을 통해 서비스거부(memory corruption) 및 권한 상승이 가능한 Local 취약점입니다.

재미있는 특징은 시스템에 파일을 남기지 않는다는 것 입니다. 메모리에서 상주하며 계속 감염시켜 생존하는 것으로 보입니다.

1. Duqu2.0 특징

Duqu2.0 은 내부 문자열에 대해서 XOR 난독화를 한다고 합니다. 난독화를 통해 역공학 시 데이터의 노출을 최소화 합니다.

또한 Duqu2.0 의 설정은 AES로 Encrypt 되기 때문에 기본적인 흐름 분석 이외에도 키를 찾아 부분적인 해독화가 필요하다고 합니다.


aeswrapper *aeswrapper::initialize(aeswrapper *this, buffer data, charkey) { unsigned int i; char key_[32]; this->data = data;

qmemcpy(key_, key, sizeof(key_));
AES::prepare_key(&this->aes, key_, 256);
i = 0;
do // 2.0에서 추가된 코드  

{ this->iv[i] = i ^ 0x248561EF; // Magic value ++i; } while(i < 4);

return this;


Duqu2.0 내 network 통신

  • Socket Server
    • 설정서버(Config Server) 와의 통신을 위한 17000, 17100 포트 bind
  • HTTP Client
    • 랜덤한 User-agent 사용(firefox, safari, ie etc..)
    • Mozilla/5.0 (Windows; U; Windows NT 6.0; en-US; rv:
  • PIPE or IPC communication

C&C IP 등의 정보는 아래 URL에서 확인 가능합니다. https://securelist.com/blog/research/70504/the-mystery-of-duqu-2-0-a-sophisticated-cyberespionage-actor-returns/

Duqu MSI Struct

Duqu2.0 Struct - news.softpedia.com

2. Duqu & Stuxnet WIKI

Duqu is a collection of computer Malware discovered on 1 September 2011, thought to be related to the Stuxnet worm. The Laboratory of Cryptography and System Security (CrySyS Lab)[1] of the Budapest University of Technology and Economics in Hungary discovered the threat, analysed the malware, and wrote a 60-page report[2] naming the threat Duqu.[3] Duqu got its name from the prefix “~DQ” it gives to the names of files it creates

Stuxnet is a computer worm[1] that was discovered in June 2010. It was designed to attack industrial programmable logic controllers (PLCs).

PLCs allow the automation of electromechanical processes such as those used to control machinery on factory assembly lines, amusement rides, or centrifuges for separating nuclear material. Exploiting four zero-day flaws,[2] Stuxnet functions by targeting machines using the Microsoft Windows operating system and networks, then seeking out Siemens Step7 software. Stuxnet reportedly compromised Iranian PLCs, collecting information on industrial systems and causing the fast-spinning centrifuges to tear themselves apart.[3] Stuxnet’s design and architecture are not domain-specific and it could be tailored as a platform for attacking modern SCADA and PLC systems (e.g., in automobile or power plants), the majority of which reside in Europe, Japan and the US.[4] Stuxnet reportedly ruined almost one-fifth of Iran’s nuclear centrifuges.

3. Reference site


Licensed under CC BY-NC-SA 4.0
Last updated on Jul 10, 2021 01:05 +0900