Kaspersky Lab a identificat limbajul de programare din troianul Duqu si multumeste comunitatii de programatori pentru ajutor




Kaspersky Lab a făcut un apel la comunitatea programatorilor din întreaga lume, cu scopul de a ajuta la rezolvarea unuia dintre cele mai mari mistere care înconjurau troianul Duqu: identificarea unui sector de cod necunoscut din structura componentei Payload DLL. Secţiunea de cod necunoscuta, numită „Infrastructura Duqu”, reprezenta o parte din Payload DLL, responsabilă cu procesul de comunicare dintre troian şi serverele de comandă şi control (C&C) ale infractorilor, iniţiat imediat ce acesta infecta un sistem.

În urma unui feedback consistent din partea comunităţii de programatori, experţii Kaspersky Lab au concluzionat că infrastructura Duqu este compilată în limbajul de programare „C”, cu ajutorul Microsoft Visual Studio 2008 şi a unor opţiuni speciale pentru optimizarea mărimii codului şi a dimensiunii liniilor. De asemenea, codul a fost scris folosind o extensie personalizată pentru combinarea programării de tip „object-oriented” cu limbajul C, denumită adesea „OO C”.

Acest tip de programare „in-house” este foarte sofisticată şi cel mai adesea se regăseşte în proiecte software complexe, dezvoltate în scop personal, şi mai puţin în malware-ul contemporan.

Deşi nu există o explicaţie simplă pentru care limbajul OO C a fost utilizat în locul C++ în infrastructura Duqu, au fost identificate două cauze care ar putea sta la baza acestei decizii:

  • Mai mult control asupra codului: când limbajul C++ a fost lansat, mulţi programatori de modă veche au ales să nu îl folosească, datorită neîncrederii date de utilizarea memoriei sistemului, precum şi din cauza unor opţiuni care cauzau execuţia indirectă de cod. OO C oferă o infrastructură mai sigură, fără semne de comportament neaşteptat
  • Portabilitate foarte mare: în urmă cu 10 – 12 ani, C++ nu era complet standardizat, fiind dificilă compilarea lui pe mai multe platforme de operare (Windows, Linux, Mac). Folosind limbajul C, programatorii beneficiază de portabilitate foarte mare, având posibilitatea de a ataca orice platformă existentă, oricând, fără limitele impuse de C++.

Aceste două motive indică faptul că acest cod a fost scris de o echipă de programatori de modă veche, care au vrut să creeze o infrastructură personalizată, pentru a susţine o platformă de atac flexibilă şi adaptabilă”, spune Igor Soumenkov, Malware Expert la Kaspersky Lab. „Codul ar fi putut fi refolosit în urma unor operaţiuni cibernetice şi personalizat pentru a se integra în troianul Duqu. Cu toate aceste, un lucru este sigur: astfel de tehnici sunt întâlnite numai în rândul elitei dezvoltatorilor de software şi aproape nicăieri în peisajul malware al zilelor noastre”, încheie acesta.

Kaspersky Lab doreşte să mulţumească tuturor celor care au contribuit la descoperirile făcute în analiza troianului Duqu. Pentru a citi întreaga analiză realizată de Igor Soumenkov, vă rugăm să accesaţi:

http://www.securelist.com/en/blog/677/The_mystery_of_Duqu_Framework_solved.

Analiza include detaliile tehnice ale infrastructurii, metodele de identificare, precum şi comentariile primite de Kaspersky Lab, care au contribuit la rezolvarea puzzle-ului.

Despre autor

Imi place sa fiu la curent cu tot ce este nou si important in domeniul IT&C, domeniu in care lucrez cu drag din anul 2001. Sunt fan Android, Samsung, si muzica rock. Scriu de pe un custom desktop PC si raspund la comentarii de pe Nexus 7, Nexus 7 2013, Samsung Galaxy Tab S2 8.0, Microsoft Surface 2 PRO, Microsoft Surface 4 PRO sau Galaxy S1, Galaxy S III, Nexus 4, Galaxy S4, Galaxy S6, Galaxy S7, Galaxy S8, Galaxy S9+.

Comentarii Facebook

comentarii

Adauga un comentariu

Adauga comentariu

Verificare CAPTCHA *

Read previous post:
Huawei P20 PRO – 3 motive pentru care sa ti-l cumperi chiar azi

Pe zi ce trece, tehnologia ne uimește cu îmbunătățirile aduse obiectelor din jur, cu scopul de a ne face viața...

Close