Skip to content

Das RAT, das aus dem Stuxnet kam

Mehrere Antiviren-Hersteller haben einen neuen Schädling entdeckt, der teilweise als Stuxnet-Ableger bezeichnet wird. Da ist aber zumindest etwas irreführend. Der Duqu genannte neue Schädling weist einige Parallelen zu Stuxnet auf, aber auch mindestens genau so viele Unterschiede.

Symantecs Analyse

Anscheinend wurde der Schädling zuerst Symantec gemeldet, die in einem Blogeintrag darüber berichten und auch eine Analyse ("W32.Duqu - The precursor to the next Stuxnet", PDF) des Schädlings veröffentlicht haben. Die ist aber anscheinend (nicht mehr?) vollständig, laut F-Secure soll sie 46 Seiten enthalten, das PDF enthält aber nur noch 14. Zumindest die im PDF als Anhang angekündigte Analyse durch die Entdecker des Schädlings fehlt.

Symantec wurde am 14. Oktober von einer nicht genannten "Forschungseinrichtung mit internationalen Verbindungen" auf den Schädling aufmerksam gemacht. Da er Dateien mit dem Prefix "~DQ" anlegt, wurde er W32.Duqu genannt.

Duqu wurde entweder von den gleichen Autoren wie Stuxnet geschrieben, oder die Duqu-Autoren hatten Zugriff auf den Stuxnet-Sourcecode, da vor allem der Treiber identischen Code enthält. Im Gegensatz zu Stuxnet enthält Duqu keinen Code für Angriffe auf SCADA-Systeme, sondern ist "nur" ein Remote Administration Toolkit, über das die Angreifer die Kontrolle über den angegriffenen Rechner übernehmen können. Die Angreifer nutzten Duqu insbesondere, um einen weitere Schädling der Infostealer-Klasse einzuschleusen, der dann z.B. Tastendrücke protokolliert und nach weiteren Informationen sucht. Die gesammelten Informationen sollen laut Symantec vermutlich für einen zukünftigen Angriff im Stil von Stuxnet eingesetzt werden.

Im Gegensatz zu Stuxnet enthält Duqu auch keine Verbreitungsroutinen, der Schädling wurde nur im Rahmen gezielter Angriffe auf eine geringe Anzahl von Organisationen eingesetzt. Wie Duqu eingeschleust wurde, weiß man bei Symantec nicht. Trotzdem stuft man den Schädling als Wurm ein. Wieso, wird nicht verraten.

Ein Blick "unter die Haube"

Duqu besteht aus drei Dateien: Einem Treiber, einer DLL (die ihrerseits mehrere Dateien enthält) und einer Konfigurationsdatei. Diese Dateien werden von einem bisher nicht entdeckten Installationsprogramm installiert, dass den Treiber so registriert, dass er beim Systemstart gestartet wird. Der Treiber schleust dann die DLL in services.exe ein, wo sie weitere Komponenten aus sich selbst entpackt und in weitere Prozesse einschleust.

Eine Variante des Treibers war mit einer gültigen Signatur eines in der Analyse nicht genannten Taiwanesischen Unternehmens versehen. Das zugehörige Zertifikat läuft erst am 2. August 2012 ab, wurde aber am 14. Oktober 2011 zurückgerufen. Im Blogbeitrag erfährt man, dass es sich dabei um einen Symantec-Kunden handelt und dass das Zertifikat von Symantec zurückgerufen wurde. Laut Symantec wurde der zugehörige private Schlüssel ausgespäht und das Zertifikat nicht gezielt für die Duqu-Signatur erzeugt. Auch für Symantecs und Verisigns Root- und Intermediate-CAs bestand zu keiner Zeit eine Gefahr - angesichts der Vorfälle um Comodo und Diginotar hält man so einen Hinweis wohl für notwendig. In einem weiteren Blogbeitrag geht Symantec aus diesem Anlass auf den Schutz privater Schlüssel ein.

Nach der Installation verbindet sich Duqu über HTTP und HTTPS mit einem Command&Control-Server, zum Zeitpunkt der Symantec-Analyse einem Server in Indien. Die Angreifer können dann weiteren Code einschleusen, u.a. den schon erwähnten Infostealer. Die gesammelten Daten werden in einer nur leicht verschlüsselten und komprimierten Datei gespeichert, die dann von den Angreifern heruntergeladen wird.

Die Kommunikation erfolgt über ein eigenes Protokoll, wobei die hoch- und runtergeladenen Daten als .jpg-Dateien getarnt sind. Der Schadcode ist so konfiguriert, dass er sich nach 36 Tagen selbst entfernt.

Wie schon erwähnt müssen die Duqu-Entwickler Zugriff auf den Stuxnet-Sourcecode gehabt haben, da beide Schädlinge identischen Code enthalten, wenn sie auch völlig unterschiedliche Schadfunktionen aufweisen. Von Symantec wurden inzwischen mehrere Varianten gesammelt, aber erst zwei analysiert. Aufgrund der Kompilier-Zeiten konnte die Entwicklung von Duqu nachvollzogen werden. Die erste Variante wurde bereits im Dezember 2010 eingesetzt und war auch um September 2011 noch aktiv, die zweite Variante basiert auf dem gleichen Code, der Treiber wurde aber im Juli 2011 signiert, gleichzeitig wurde der Schadcode angepasst. Auch der nachträglich eingeschleuste Infostealer wurde im Juli 2011 entwickelt. Eine ausführliche Analyse des Schädlings gibt es in Symantecs Whitepaper (PDF).

McAfees Analyse

McAfee behandelt Duqu in einem Blogbeitrag. Dort hat man eine andere Variante als Symantec analysiert, die für Angriffe auf Zertifizierungsstellen (Certificate Authorities, CAs) verwendet wurde. Dieser Schädling war mit einer korrekten Signatur des Unternehmens C-Media Electronics in Taipei in Taiwan versehen. Ob es sich um das gleiche Unternehmen wie im Fall der von Symantec untersuchten Versionen handelt, ist nicht sicher, aber sehr wahrscheinlich. McAfee vermutet, dass der zugehörige private Schlüssel nicht ausgespäht wurde, sondern das Zertifikat gezielt im Namen des Unternehmens bei einer CA beantragt wurde. Da das Zertifikat von Verisign stammt, hat Symantec allen Grund, die Sicherheit der eigenen CA zu betonen.

McAfee hat außer dem Infostealer zwei weitere nachgeladene Module entdeckt, die u.a. dazu dienen, Sicherheitsprogramme, insbesondere bestimmte Virenscanner, zu deaktivieren.

Sophos Beitrag

Sophos hat bisher nur in einem kurzen Blogbeitrag bestätigt, dass die Treiber-Dateien eine gültige Signatur von C-Media besitzen und weist darauf hin, dass Stuxnet Signaturen von RealTek und JMicron verwendete. Bei allen drei Unternehmen handelt es sich um Chipsatz-Hersteller aus Taiwan. Von Sophos wird der Schädling als Troj/Bdoor-BDA und der Treiber als W32/Duqu-A bezeichnet, ausführliche Beschreibung fehlen aber bisher.

F-Secures Beitrag

F-Secure geht in einem Blogbeitrag auf Duqu ein und weist wie die anderen Hersteller auf die Gemeinsamkeiten mit Stuxnet hin. Bei F-Secure wurde der neue Schädling von einem Testsystem sogar als Stuxnet erkannt. Inzwischen wird er aber auch von F-Secure als Backdoor:W32/Duqu bezeichnet.

F-Secure weist insbesondere darauf hin, dass der mit einer Signatur von C-Media versehen Treiber angibt, von JMicron zu stammen - einem der Unternehmen, deren Signatur von Stuxnet verwendet wurde.

Fakten, Fakten, Fakten

Ich fasse also mal zusammen:

  • Duqu ist ein Remote Administration Toolkit,
    das keine Verbreitungsroutinen besitzt und
    von dem nicht mal Symantec weiß, wie es auf die infizierten Rechner kommt.
  • Trotzdem wird der Schädling u.A. von Symantec als Wurm bezeichnet,
    dabei zeichnet einen Wurm gerade die selbständige Verbreitung aus.
  • Duqu enthält Code von Stuxnet und
    verwendet wie Stuxnet einen signierten Treiber,
    der eine Signatur von C-Media besitzt, aber
    angibt, von JMicron zu stammen (wie auch einer der Stuxnet-Treiber).
  • Duqu wird genutzt, um einen Infostealer einzuschleusen,
    der u.a. Tastendrücke und Systeminformationen sammelt.
  • Bisher gibt es gezielte Angriffe auf Hersteller von Industrieanlagensteuerungen und Zertifizierungsstellen.
  • Im Gegensatz zu Stuxnet, der vier 0-Day-Exploits verwendete, nutzt Duqu keine einzige Schwachstelle aus.

Was haben wir also? Ein neues, ziemlich gutes Remote Administration Toolkit, dass irgendwie auf die infizierten Rechner gelangt ist. Wie, ist unbekannt, auf jedem Fall handelt es sich aber bisher um gezielte Angriffe. Das erinnert doch sehr an einen Advanced Persistent Threat (APT) wie z.B. den Angriff auf RSA, mit dem Wurm Stuxnet sollte man das wohl besser nicht vergleichen. Auch wenn die Angreifer auf dessen Code zurückgriffen. Was evtl. ein Fehler war, da der neue Schädling dadurch ja von F-Secure als Stuxnet erkannt wurde. Von den Heuristiken der anderen Antiviren-Hersteller ganz zu schweigen. Eigentlich sollte man erwarten, dass bei so einer Aktion Wert darauf gelegt wird, nicht von Virenscannern erkannt zu werden.

Die entscheidende Frage: Was soll das?

Dass die Angreifer den Aufwand nicht aus Langeweile betreiben, ist klar. Für was sie die Informationen brauchen, lässt sich eigentlich nicht mal raten, dafür ist zu wenig bekannt. Trotzdem wage ich es mal. An einem Stuxnet-Nachfolger arbeiten sie aber wohl eher nicht, dafür dürften die so zu erlangenden Informationen nicht ausreichen. Ich würde eher auf "normale" Wirtschaftsspionage tippen, beim von McAfee gemeldeten Angriff auf die CAs auf die Vorbereitung weiterer Angriffe. Duqu braucht ja schließlich jetzt eine neue Signatur.

Symantec ist mit dem Stuxnet-Vergleich eine PR-Aktion gelungen, mehr aber auch nicht. Vielleicht war das nicht mal beabsichtigt, Stuxnet dürfte bei einigen Medien ein Reizwort sein, dass gleich entsprechende Weltuntergangsstimmungen heraufbeschwört. Aus "The precursor to the next Stuxnet" kann dann schnell ein "neuer Stuxnet" und ähnliches werden. Dass die beiden Schädlinge nicht nur in völlig unterschiedlichen Ligen spielen sondern sogar völlig unterschiedliche Sportarten betreiben, geht dabei schnell unter. Dass einzige, was den SCADA-Systeme zerstörenden Wurm Stuxnet und das zur Fernsteuerung von Rechnern dienende Tool Duqu verbindet, ist der teilweise gleiche Sourcecode. Sie mögen "genetisch" Brüder sein, haben aber völlig unterschiedliche Interessen.

Fazit

Ich glaube, es war eine Szene in "Die glorreichen Sieben", in der ein Revolverheld gesucht wurde. Jemand sagte sinngemäß "Nehmen wir den da mit den Narben, der sieht gefährlich aus!", worauf ein anderer entgegnete "Der, der ihm die Narben verpasst hat, wäre was für uns!". Und so ist es auch hier: Das RAT ist ja ganz interessant, viel interessanter aber ist, wie es eingeschleust wurde.

Nach dieser Themenänderung aus aktuelle Anlass geht es ab der nächsten Folge wie bereits angekündigt um Angriffe über Hardware, z.B. USB- oder FireWire-Geräte.

Carsten Eilers


Übersicht über alle Artikel zum Thema

Stuxnet - Ein paar Fakten
Standpunkt: Stuxnet - Wer will da wem an die Produktion?
Standpunkt: Stuxnet - Der erste Schritt zum Cyberwar?
Standpunkt: Stuxnet - Ein Überblick über die Entwicklung
Standpunkt: Stuxnet: Kaum neue Fakten, ein neues Gerücht
Standpunkt: Stuxnet - Stand der Dinge
Standpunkt: Der Wink mit dem Stuxnet
Standpunkt: Neues zu Stuxnet, Android-Trojanern, USB-Keyloggern und Facebook
Standpunkt: Conficker ist wieder da. Und was macht Stuxnet?
Das RAT, das aus dem Stuxnet kam
Standpunkt: Clickjacking gegen Flash, urchin.js und Duqu - nichts als Wiederholungen!
Standpunkt: Neues zu SSL und Duqu
Standpunkt: Wie gefährlich ist die Duqu-0-Day-Schwachstelle?
Standpunkt: Neues zu Duqu

Trackbacks

Dipl.-Inform. Carsten Eilers am : Neues zu SSL und Duqu

Vorschau anzeigen
Sowohl zu SSL/TLS als auch zu Duqu gibt es Neues zu berichten. Wobei es sich streng genommen im Fall von SSL lediglich um Bestätigungen eigentlich bereits bekannter Behauptungen und Tatsachen handelt. SSL: Weitere Zertifizierungsstellen kom

Dipl.-Inform. Carsten Eilers am : Wie gefährlich ist die Duqu-0-Day-Schwachstelle?

Vorschau anzeigen
Microsoft hat ein Security Advisory zur von Duqu ausgenutzten 0-Day-Schwachstelle im Kernel veröffentlicht. Gefährliche oder weniger gefährliche Schwachstelle? Die Schwachstelle mit der CVE-ID CVE-2011-3402 befindet sich i

Dipl.-Inform. Carsten Eilers am : Kommentare zu diesem und jenem...

Vorschau anzeigen
Wie angekündigt ändert der "Standpunkt" sein Format bzw. wird durch ein anderes Format ersetzt - dies ist die erste offizielle Folge dieser neuen Serie "Kommentierter Links". Die Themen: Ein plötzlich kritischer Patch, beratungsre

Dipl.-Inform. Carsten Eilers am : Der Trojaner Mahdi/Madi - Cybercrime oder Cyberwar?

Vorschau anzeigen
Es gibt mal wieder einen neuen Schädling, der Teil einer Cyberwar-Aktion sein könnte: Mahdi bzw. Madi wurde im Nahen Osten entdeckt und weist einige Besonderheiten auf. Nichts genaues weiß man nicht Der Schädling wird

Dipl.-Inform. Carsten Eilers am : Code Signing - Auch Schadsoftware kann signiert sein

Vorschau anzeigen
Oracles Antwort auf Javas ständige Sicherheitsprobleme: Der Einsatz von Code Signing. Vorerst gibt es nur mehr oder weniger ausführliche Warnungen vor nicht oder falsch signierten Applets, irgendwann sollen dann nur noch signierte Apple

Dipl.-Inform. Carsten Eilers am : SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2011

Vorschau anzeigen
Auch in dieser Folge geht es um Vorträge zu SCADA-Systemen und Industriesteuerungen auf den Sicherheitskonferenzen "Black Hat" und "Hack in the Box". In der vorherigen Folge ging es um die Konferenzen im Jahr 2010 sowie die ersten zwei Konferen