Malware-Analyse von Secureworks

Duqu und Stuxnet – Code-Parallelen kein Beweis für eine Verbindung?

28.10.2011 | Redakteur: Stephan Augsten

Obwohl Duqu und Stuxnet sich ähnlich tarnen, zweifelt Secureworks eine enge Verwandtschaft an.

Nach eingehender Analyse des Duqu-Trojaners zweifelt Dell Secureworks die mutmaßliche Verbindung zum Wurm Stuxnet an. Duqu verfolge nicht nur völlig andere Ziele, so die Sicherheitsexperten in ihrem Report. Auch die die Schadcode-Funktionen würden sich trotz gewisser Ähnlichkeiten im Code teils deutlich unterscheiden.

Der Trojaner Duqu und der Wurm Stuxnet verwenden ganz ähnliche Methoden zur Infektion von IT-Systemen. Das sei aber noch lange kein Beweis für eine engere Verbindung zwischen den beiden Schadcodes, unterstreicht Dell Secureworks: „Die herangezogenen Beweise sind im besten Falle nicht mehr als Indizien“.

„Man könnte darüber spekulieren, ob die Injektionskomponenten auf derselben Code-Basis beruhen“, so die Forscher in ihrem Report, „die infolge der Software-Analyse erlangten Erkenntnisse sprechen aber nicht unbedingt dafür, dass Duqu und Stuxnet auf anderer Ebene direkt miteinander in Beziehung stehen“.

Im Rahmen einer ersten Analyse hatte Symantec davor gewarnt, dass Duqu der Vorbote einer Stuxnet-ähnlichen Attacke gegen Industrieanlagen sein könnte. Der Sicherheitsanbieter hatte diese Behauptung auf Code-Fragmente gestützt, die nahezu identisch zu Stuxnet seien.

Das Für und Wider einer Malware-Verwandtschaft

Dieser Behauptung will Dell Secureworks auch gar nicht widersprechen: Duqu und Stuxnet verwenden offenbar denselben Kernel-Treiber, um geschützte DLLs (Dynamic Link Libraries) entschlüsseln und laden zu können. Infolgedessen können sich die Schadcodes direkt in Systemprozessen einnisten.

Frappierende Ähnlichkeit haben auch die Software-Signing-Zertifikate, die von den Schadcodes verwendet werden, um sich als harmloser System-Kernel-Treiber zu tarnen. Sowohl Stuxnet als auch Duqu geben sich als Treiber der JMicron Technology Company aus. „Dies ist aber kein hinreichender Beleg für eine Verbindung, da kompromittierte Zertifikate aus unterschiedlichster Quelle stammen können“, gibt Secureworks zu bedenken.

Weitere Überschneidungen gibt es in den Verschlüsselungs- Mechanismen von Duqu und Stuxnet. Allerdings würden diese laut Secureworks auch von anderen, definitiv andersartigen Malware-Familien genutzt. Einen Hinweis darauf, dass Duqu aktiv nach SCADA-Komponenten (Supervisory Control and Data Acquisition) sucht, haben die Sicherheitsexperten von Dell nach eigenen Angaben aber nicht gefunden.

Der vorrangige Zweck des Duqu-Trojaners besteht laut Secureworks darin, dass ein Angreifer sich einen Remote-Zugriff zum infizierten System verschafft, um weiteren Schadcode darauf zu installieren und sensible Daten auszuspähen. Am nähesten liege der Schluss, dass die Duqu-Autoren den Stuxnet-Quellcode in ihren Besitz gebracht und sich daran bedient hätten. Die detaillierten Ausführungen von SecureQorks finden sich im Duqu Trojan Report

Sicherheitsforscher versuchen nach wie vor, die Duqu-Installationsroutine ausfindig zu machen, um Hinweise auf die Erstinfektion mit dem Trojaner zu bekommen. Die meisten Antivirus- und Spyware-Scanner sind aber zumindest schon dazu in der Lage Duqu-Infektionen aufzuspüren und gar abzuwehren. Unternehmen können als zusätzliche Sicherheitsmaßnahme den Internet-Traffic auf eine mögliche Kontaktaufnahme zu bösartigen Domains hin prüfen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2053275 / Malware)