ドゥク

Duquは2011年9月1日に発見されたコンピュータマルウェアのコレクションであり、カスペルスキー研究所はStuxnetワーム[ 1 ]に関連しており、 Unit 8200によって作成されたと考えています。[ 2 ] [ 3 ]ハンガリーブダペスト工科大学の暗号およびシステムセキュリティ研究所(CrySyS Lab[ 4 ]がこの脅威を発見し、マルウェアを分析し、60ページのレポートを作成しました[ 5 ]。その中でこの脅威はDuquと名付けられました[ 6 ] 。Duquの名前は、作成するファイル名に付けられる接頭辞「~DQ」に由来しています。[ 7 ]

歴史

2011年4月、イラン当局は、 Stuxnetに続いて2度目のデジタル攻撃がイランのコンピュータに及んだと発表し、この新しい攻撃をStarsウイルスと名付けました。[ 8 ] [ 9 ]イランは、外部の研究者が調査できるようにマルウェアのサンプルを一切公開しませんでした。

Duquマルウェアの解析中に、研究者たちはイランのコンピュータ専門家が発見したStarsウイルスがDuquウイルスであると確信するに至った。DuquウイルスのキーロガーはJPEGファイルに埋め込まれていた。ファイルの大部分はキーロガーによって取得されたため、画像の一部のみが残っていた。それはハッブル宇宙望遠鏡が撮影した、2つの銀河が衝突した後にできた星団の画像であることが判明した。シマンテックカスペルスキーCrySySの研究者たちは、DuquとStarsは同じウイルスであると確信するに至った。[ 10 ] [ 11 ]

命名法

Duqu という用語はさまざまな意味で使用されます。

  • Duquマルウェアは、攻撃者にサービスを提供する様々なソフトウェアコンポーネントで構成されています。これには、情報窃取機能に加え、バックグラウンドで動作するカーネルドライバやインジェクションツールが含まれます。マルウェアの大部分はC++で記述されていますが、 DLLペイロードの一部はカスタマイズされたオブジェクト指向Cフレームワークで記述され、 Microsoft Visual Studio 2008でコンパイルされています。[ 12 ] [ 13 ] [ 14 ]
  • Duqu の欠陥は、Microsoft Windows の欠陥であり、悪意のあるファイルで使用され、Duqu のマルウェア コンポーネントを実行します。これは、win32k.sysのTrueTypeフォント関連の問題です。
  • Operation Duquは、Duquを未知の目的にのみ使用するプロセスです。この作戦はOperation Stuxnetと関連している可能性があります。

スタックスネットとの関係

シマンテックは、ティボー・ガンシュ博士率いるCrySySチームの報告書に基づき、この脅威の分析を継続しました。同社はこの脅威を「Stuxnetとほぼ同一だが、目的は全く異なる」と呼び、詳細な技術論文を発表しました。この論文には、オリジナルの研究報告書の短縮版が付録として添付されています。[ 7 ] [ 15 ]シマンテックは、DuquはStuxnetと同じ作者によって作成されたか、あるいは作者がStuxnetのソースコードにアクセスできたと考えています。StuxnetとDuquが構築されたベースプラットフォームは、StuxnetとDuquの両方が~Dで始まるファイルを使用していたため、Tilde-dと呼ばれています。[ 16 ]このワームは、Stuxnetと同様に、有効ではあるものの悪用されているデジタル署名 を持ち、将来の攻撃に備えるために情報を収集します。[ 7 ] [ 17 ]

F-Secureのチーフリサーチオフィサーであるミッコ・ヒッポネン氏は、DuquのカーネルドライバJMINET7.SYSがStuxnetのMRXCLS.SYSと非常に類似していたため、F-SecureのバックエンドシステムはこれをStuxnetと誤認したと述べた。さらにヒッポネン氏は、Duqu自身のデジタル署名(1件のみ確認)に使用された鍵は、台湾の台北にあるC-Mediaから盗まれたものだと述べた。シマンテックによると、これらの証明書は2012年8月2日に失効する予定だったが、2011年10月14日に失効していた。[ 15 ]

別の情報源であるDell SecureWorksは、DuquはStuxnetとは関係がない可能性があると報告しています。[ 18 ]しかし、DuquがStuxnetと密接に関連していることを示す証拠は相当数あり、その数は増え続けています。

専門家は類似点を比較し、3つの興味深い点を発見しました。

  • インストーラーは、ゼロデイWindows カーネルの脆弱性を悪用します。
  • コンポーネントは盗まれたデジタルキーで署名されています。
  • Duqu と Stuxnet はどちらも標的を絞りやすく、イランの核計画に関連しています。

Microsoft Word のゼロデイ脆弱性攻撃

Stuxnetと同様に、Duquはゼロデイ脆弱性を利用してMicrosoft Windowsシステムを攻撃します。CrySyS Labによって回収・公開された最初の既知のインストーラ(別名ドロッパー)ファイルは、Win32k TrueTypeフォント解析エンジンを悪用して実行を可能にするMicrosoft Word文書を使用しています。[ 19 ] Duquドロッパーはフォントの埋め込みに関連し、したがって 、2011年12月にMicrosoftがリリースした修正プログラムがまだインストールされていない場合にTrueTypeフォント解析エンジンであるT2EMBED.DLLへのアクセスを制限する回避策に関連しています。 [ 20 ] この脅威のMicrosoft識別子はMS11-087(最初の勧告は2011年11月13日に発行されました)です。[ 21 ]

目的

Duquは産業用制御システムへの攻撃に有用な情報を探します。その目的は破壊的行為ではなく、既知のコンポーネントが情報収集を試みます。[ 22 ]しかし、Duquのモジュール構造に基づいて、特別なペイロードを使用してあらゆる種類のコンピュータシステムをあらゆる方法で攻撃できるため、Duquをベースとしたサイバーフィジカル攻撃が可能になる場合があります。ただし、パーソナルコンピュータシステムを使用すると、システムに入力された最近の情報がすべて削除され、場合によってはコンピュータのハードドライブが完全に削除されることが判明しています。Duquの内部通信はシマンテックによって分析されていますが、[ 7 ]攻撃されたネットワーク内でDuquがどのように複製されるかという実際の正確な方法はまだ完全にはわかっていません。

マカフィーによると、Duquの動作の一つは、攻撃を受けたコンピュータからデジタル証明書(および公開鍵暗号で使用される対応する秘密鍵)を盗み出し、将来のウイルスが安全なソフトウェアに見せかけることだ。 [ 23 ] Duquは、54×54ピクセルのJPEGファイルと暗号化されたダミーファイルをコンテナとして使用し、指令センターにデータを密輸する。セキュリティ専門家は現在もコードを分析中で、通信に含まれる情報を特定している。初期調査では、元のマルウェアサンプルは36日後に自動的に削除されることが示唆されており(マルウェアはこの設定を構成ファイルに保存する)、これにより検出が制限されると考えられる。[ 15 ]

重要なポイントは次のとおりです。

  • 発見された Stuxnet ソースコードを使用して Stuxnet 後に開発された実行ファイル。
  • 実行可能ファイルは、キーストロークやシステム情報などの情報を取得するように設計されています。
  • 現在の分析では、産業用制御システム、エクスプロイト、または自己複製に関連するコードは見つかりませんでした。
  • 実行ファイルは、産業用制御システムの製造に関わる組織を含む、限られた数の組織で発見されています。
  • 盗み出されたデータは、将来の Stuxnet のような攻撃を可能にするために使用される可能性があります。あるいは、すでに Stuxnet 攻撃の基盤として使用されている可能性もあります。

コマンドアンドコントロールサーバー

Duquのコマンド&コントロールサーバーの一部が分析されました。攻撃者はCentOS 5.xサーバーを好んで利用していたようで一部の研究者は、CentOS 5.xサーバー用のゼロデイ脆弱性を悪用した可能性があると考えています[ 24 ] サーバーはドイツベルギーフィリピンインド中国など、多くの国に分散しています。Kaspersky、コマンド&コントロールサーバーに関する複数のブログ記事を公開しています[ 25 ] 。

参照

参考文献

  1. ^パールロス、ニコール、シェーン、スコット(2017年10月10日)「イスラエルはいかにして米国の機密情報を求めて世界を捜索するロシアのハッカーを捕まえたか」ニューヨーク・タイムズ。 2025年10月18日閲覧
  2. ^ NSA、Unit 8200、そしてマルウェアの拡散Archived 25 October 2017 at the Wayback Machine Jeffrey Carr, 20KLeague.com 主席コンサルタント; Suits and Spooks 創設者; 『Inside Cyber​​ Warfare (O'Reilly Media, 2009, 2011)』著者、medium.com、2016年8月25日
  3. ^ポール・コーニッシュ(2021年11月4日)オックスフォード・サイバーセキュリティ・ハンドブック』オックスフォード大学出版局。ISBN 978-0-19-252101-9海外の情報筋は、Unit 8200がStuxnet、Flame、Duquなどの高度なサイバー攻撃に関与したと繰り返し主張している
  4. ^ 「暗号・システムセキュリティ研究所(CrySyS)」2011年11月4日閲覧
  5. ^ 「Duqu:Stuxnetに似たマルウェアが野生で発見された、技術レポート」(PDF)。システムセキュリティ暗号研究所(CrySyS)。2011年10月14日。
  6. ^ 「Duquの初期分析に関する声明」。システムセキュリティ暗号研究所(CrySyS)。2011年10月21日。2012年10月4日時点のオリジナルよりアーカイブ。 2011年10月25日閲覧
  7. ^ a b c d「W32.Duqu – 次期Stuxnet(バージョン1.4)の前身」(PDF) . Symantec . 2011年11月23日.オリジナル(PDF)から2011年12月13日時点のアーカイブ。 2011年12月30日閲覧
  8. ^ 「ミリタリー・デイリー・ニュース」Military.com
  9. ^ 「イランが新たなサイバー攻撃の標的」 。2011年4月29日時点のオリジナルよりアーカイブ
  10. ^キム・ゼッター (2014). 『ゼロデイへのカウントダウン:スタックスネットと世界初のデジタル兵器の登場』 クラウン・パブリッシング・グループ. p. 259. ISBN 9780770436186. 2015年1月20日閲覧
  11. ^ 「Duqu Saga Continues: Enter Mr. B. Jason and TV's Dexter」 securelist.com. 2011年11月10日。
  12. ^ 「Securelist | Kasperskyの脅威調査とレポート」 2023年9月12日。
  13. ^ 「Duquフレームワークの謎が解明」Securelist . 2012年3月19日. 2026年1月13日閲覧[もう一つの可能​​性として、]コードはマクロまたはカスタムプリプロセッサディレクティブに基づくカスタムOO Cフレームワークを使用して記述されている可能性があります。これは、皆様のコメントから示唆されたものです。オブジェクト指向プログラミングとC言語を組み合わせる最も一般的な方法だからです。[…結論として、]Duquフレームワークは、特殊オプション「/O1」および「/Ob1」を使用してMSVC 2008でコンパイルされた「C」コードで構成されています。[;]コードは、一般的に「OO C」と呼ばれるC言語のカスタム拡張機能を使用して記述されている可能性が高く、[コマンドと制御コード]は既存のソフトウェアプロジェクトから再利用され、Duquトロイの木馬に統合された可能性があります。[。]
  14. ^ Knight, Shawn (2012年3月9日). 「Duqu Trojan、ペイロードDLLに謎のプログラミング言語を内蔵」 . TechSpot . 2026年1月13日閲覧. [Kasperskyは] コードの大部分を標準的なC++であると特定したが[...]、ペイロードDLLの[外部との]命令送受信のためのセクションは、Kasperskyのチームがこれまで目にしたことのないオブジェクト指向言語で記述されている。[...] 専門家はこのコード部分を「Duqu Framework」と名付けており、命令の複雑さから、このトロイの木馬は裕福な組織または国家レベルの取り組みによって資金提供されていると考えられている。
  15. ^ a b c Zetter, Kim (2011年10月18日). 「ヨーロッパのシステムでStuxnetの息子が発見される」 . Wired . 2011年10月21日閲覧
  16. ^ Kuznetsov, Igor (2012年3月19日). 「Duquの謎:第7部(Stuxnetに戻る)」 . KasperskyのSecurelist . 2025年4月27日時点のオリジナルよりアーカイブ。 2026年1月13日閲覧
  17. ^ “ウイルスの危険性を警告する IT-Sicherheitsexperten” .ダイ・ツァイト。 2011 年 10 月 19 日2011 年10 月 19 日に取得
  18. ^ 「イランで発見されたトロイの木馬Duquは結局「Stuxnetの息子」ではないかもしれない」 2011年10月27日。 2011年10月27日閲覧
  19. ^ 「Microsoft、Duquゼロデイ脆弱性に対する一時的な修正プログラムを発表」 ZDNet 2011年11月6日時点のオリジナルよりアーカイブ。 2011年11月5日閲覧
  20. ^ 「マイクロソフト セキュリティ アドバイザリ (2639658)」TrueType フォント解析の脆弱性により、権限が昇格される可能性がある。2011年11月3日。 2011年11月5日閲覧
  21. ^ 「Microsoft セキュリティ情報 MS11-087 - 緊急」 。 2011年11月13日閲覧
  22. ^ Steven Cherry、Larry Constantine共著(2011年12月14日)。「Stuxnetの息子たち」 IEEE Spectrum 。2012年7月19日時点のオリジナルよりアーカイブ
  23. ^ Venere, Guilherme; Szor, Peter (2011年10月18日). 「The Day of the Golden Jackal – The Next Tale in the Stuxnet Files: Duqu」 . McAfee . 2016年5月31日時点のオリジナルよりアーカイブ。 2011年10月19日閲覧
  24. ^ガーモン、マシュー。「In Command & Out of Control」マット・ガーモン。DIG。2018年8月8日時点のオリジナルよりアーカイブ。 2018年8月8日閲覧
  25. ^ Kamluk, Vitaly (2011年11月30日). 「Duquの謎:第6部(コマンド&コントロールサーバー)」 . KasperskyのSecurelist . 2022年6月7日時点のオリジナルよりアーカイブ。 2022年6月7日閲覧
「 https://en.wikipedia.org/w/index.php?title=Duqu&oldid=1332786160」より取得