Suchen

Antivirus-Hersteller analysiert Malware-Treiber Parallelen zwischen Duqu und Stuxnet

Redakteur: Stephan Augsten

Noch ist unklar, ob Stuxnet und Duqu von denselben Malware-Autoren stammen. Antivirus-Forscher von Kaspersky haben die Treiber beider Schadcodes untersucht und „wesentliche Übereinstimmungen“ entdeckt.

Firma zum Thema

Die Strukturen von Stuxnet und Duqu weisen grundlegende Ähnlichkeiten auf. (Kaspersky)
Die Strukturen von Stuxnet und Duqu weisen grundlegende Ähnlichkeiten auf. (Kaspersky)

Im Rahmen des Malware-Berichts „Stuxnet/Duqu: Evolution der Treiber“ haben die Forscher der Kaspersky Labs neue Erkenntnisse zu den beiden Schadcodes gewonnen. Demnach beruhen zentrale Treiberdateien von Stuxnet und Duqu auf ein und demselben Treiber-Prototypen, der mithilfe der von Kaspersky als „Tilded“ bezeichneten Plattform erstellt wurde.

Für Kaspersky liegt deshalb der Schluss nahe, dass dieselben Entwickler hinter den beiden Schadcodes stehen: „Wir sind der Meinung, dass Duqu und Stuxnet parallele Projekte waren, die von ein und demselben Team betreut wurden“, heißt es in der detaillierten Stuxnet/Duqu-Analyse auf der Kaspersky-Webseite Viruslist.com.

Wie Kaspersky erläutert, sind beide Schadcodes von Grund auf gleich aufgebaut: Eine Treiberdatei lädt zunächst das Hauptmodul, eine verschlüsselte Bibliotheksdatei, herunter. Zusätzlich bestehen Duqu und Stuxnet jeweils aus einer Konfigurationsdatei für den eigentlichen Schadkomplex und einen speziellen Block im Systemregister, der den Speicherort des herunterzuladenden Moduls bestimmt.

Mehr als ein Indiz ist dieser vergleichbare modulare Aufbau allerdings nicht, wie auch Dell Secureworks bereits Ende Oktober 2011 unterstrich (Security-Insider.de berichtete). Der Treiber-Prototyp könnte beispielsweise auch über ein Untergrundforum in den Besitz verschiedener Gruppierungen gelangt bzw. übernommen und dann weiterentwickelt worden sein.

Stuxnet und Duqu – was kommt noch?

Mit Sicherheit weiß Kaspersky, dass die weiterentwickelten Treiber mrxcls.sys (Stuxnet) und jmidebs.sys (Duqu) im Wesentlichen übereinstimmen. „Einige Unterschiede könnten mit unterschiedlichen Einstellungen des Compilers und minimalen Veränderungen im Quellcode zusammenhängen, wobei der Sinn des Codes unverändert bleibt.”

Kaspersky geht davon aus, dass die Urheber mehrmals im Jahr eine neue Version des Treibers erstellen. Ist ein neuer Angriff geplant, werden mit Hilfe eines speziellen Programms mehrere Parameter des Treibers geändert, zum Beispiel der Registrierungsschlüssel. Je nach Aufgabenstellung könne eine solche Datei auch durch ein legales digitales Zertifikat signiert oder komplett ohne Signatur versendet werden.

Die Antivirus-Forscher haben drei Treiber weitere entdeckt, die als Bindeglieder zwischen Stuxnet und Duqu stehen könnten und auf weitere Malware-Projekte schließen lassen: „Zwischen 2007 und 2011 liefen mehrere Projekte zur Entwicklung von Programmen auf der Basis der Plattform ‘Tilded’, von denen Stuxnet und Duqu bekannt sind. Die übrigen Projekte sind bis heute unbekannt.”

(ID:31222650)