安全供应商Symantec是一个新的恶意软件威胁,它可以成为下一个Stuxnet的前兆。
赛门铁克在今天发布的一份报告中表示,新的威胁被称为似乎是由Stuxnet作者编写的远程访问特洛伊木马(大鼠),或者至少由可以访问Stuxnet源代码的人编写。
“我们已经确认Duqu是与Stuxnet几乎相同的威胁,但具有完全不同的目的,”赛门铁克说。
Symantec警告说,Duqu的目的是窃取从工业控制系统的制造商免受工业控制系统制造商的数据,以便使用这种系统来对抗实体的攻击。
赛门铁克的分析表明,在产品管理总监Kevin Haley表示,特洛伊木马是有限数量的组织。
虽然Duqu使用与stuxnet的许多相同的代码,但它的有效载荷完全不同,Haley添加了。
虽然Stuxnet被设计为破坏工业控制系统,但Duqu只是一个特洛伊木马,似乎是专门创建的远程访问能力,专门用于收集工业控制系统的信息。
新的特洛伊木马的新闻肯定会加强对针对性网络攻击对临界基础设施的工业控制系统的担忧,例如发电厂,水处理设施和化工厂。
这Stuxnet Worm.一些安全研究人员称之为有史以来最先进的恶意软件计划,在许多国家,包括尤其是伊朗的地区影响了工业控制系统。
蠕虫是值得注意的,因为已知第一件恶意软件被称为物理破坏资源,
Haley说,攻击者使用Duqu来安装击尾记录器和网络枚举器,用于窃取可用于未来攻击的信息。攻击者正在寻找诸如设计文件等信息,这些信息可以帮助他们在工业控制系统上安装未来的攻击。
Haley表示,Duqu已被习惯于对制造工业控制系统的少数欧洲公司进行攻击。
在至少一个案例中,攻击者在试图窃取此类数据时不成功。Symantec表示,除Duqu已被用于推出攻击的所有情况下还没有信息。
赛门铁克表示,它从10月14日收到了新的恶意软件的样本,从被称为“具有强大国际联系的研究实验室”。赛门铁克到目前为止已经分析了两种Duqu的两个变种,并从欧洲的组织中恢复了额外的变体,即它没有识别。
赛门铁克表示,自去年12月以来,使用Duqu及其变体的攻击可能已经进行了自去年12月。
Haley说,Duqu无法自行复制或传播。它配置为运行36天,然后将其从受感染的机器中移除。
Symantec尚未讨论攻击者如何用特洛伊木马感染系统。
“我们还没有恢复安装人员,所以我们还不知道Duqu宣传,”Haley说。“Duqu中没有任何东西可以说”将我复制到USB“或”寻找网络分享并带我带我。“它刚刚坐在那里并用作远程访问工具。我们不知道它是如何实现的。“
赛门铁克在新特洛伊木马的详细描述中表示,新的恶意软件名为duqu,因为它创建了具有前缀“dq”的文件名。
特洛伊木马由三个文件组成 - 驱动程序文件,动态链接库和配置文件。Symantec表示,需要由尚未恢复的单独可执行文件安装文件。
Haley说,除Duqu和Stuxnet之间的联系,没有其他有关谁可能在木马后面的信息。
其中一个变体上的驱动程序文件与属于在台北总部的公司的数字证书签署。该证书将于2012年8月14日撤销。
根据Symantec,Duqu使用HTTP和HTTP与印度托管的命令和控制服务器进行通信。
攻击者一直在使用C&C服务器下载密钥记录器,网络枚举器和其他信息窃取程序。被盗信息存储在“轻微加密”文件上,然后将其上载回服务器。
Jaikumar Vijayan涵盖了数据安全和隐私问题,金融服务安全和计算机世界的电子投票。在Twitter上关注jaikumar@jaivijayan.或订阅jaikumar的RSS饲料。他的电子邮件地址是jvijayan@computerworld.com.。
阅读更多关于安全的信息在Computerworld的安全主题中心。
这个故事,“Duqu Trojan一个前身到下一个Stuxnet,Symantec Warns”最初发布Computerworld. 。