Разное

Важный фрагмент кода известного трояна Duqu написан на неизвестном до сих пор языке программирования, рассказал CNews главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев.

Фрагмент кода, написанный на неизвестном языке программирования, получил в «Лаборатории Касперского» название «Фреймворк Duqu». Он предназначен для обмена информацией между модулем, внедряемым в операционную систему заражаемого ПК и командными серверами Duqu.

По словам эксперта, при изучении Duqu аналитиками «Лаборатории Касперского» было проверено около трех десятков языков программирования, «включая Brainfuck и Haskell». «Мы пытаемся распознать его с ноября 2011 г. Мы спросили самых серьезных специалистов-реверсеров в Microsoft, но не нашли языка, который бы создавал подобный код», - говорит Александр Гостев.

Напомним, что о трояне Duqu стало известно 1 сентября 2011 г. По предположению экспертов, этот троян был создан для точечных атак и кражи информации из компьютеров промышленных объектов, а также правительственных и коммерческих структур Ирана.

Duqu создан на единой программной платформе с другим знаменитым компьютерным червем Stuxnet, который в 2011 г. поразил иранские атомные станции, а также проник в сети целого ряда других предприятий по всему миру. По мнению экспертов «Лаборатории Касперского», над обоими троянами работала одна и та же группа авторов. В отличие от Stuxnet, Duqu предназначен не столько для непосредственных вредоносных действий в зараженной системе, сколько для организации канала доставки и установки в систему дополнительных троянских модулей.

Троян Duqu применяется для точечных атак на промышленные объекты. Оценивая масштабы заражения Duqu, Александр Гостев говорит «о числе инцидентов, в каждом из которых могло пострадать разное количество ПК». Например, в одном из них было заражено около 50 компьютеров в сети одной компании. В общей сложности известно «примерно о 25 жертвах Duqu по всему миру», из которых «Лабораторией Касперского» было обнаружено 15-17 инцидентов. Скорее всего, в общей сложности их менее 100, полагает эксперт.

В «Лаборатории Касперского» предполагают, что язык программирования, использованный при написании Duqu, «был разработан с целью не только затруднить понимание сторонними лицами особенностей операции по кибершпионажу и взаимодействия с командными серверами, но и отделить этот проект от работы других групп, участвовавших в создании Duqu и отвечавших за написание дополнительных элементов вредоносной программы».

«Нет никаких сомнений, что Stuxnet и Duqu были написаны в интересах какого-то правительства, но какого конкретно, доказательств нет, - говорит Александр Гостев. - Если такого языка программирования никто не видел, это означает серьезный софтверный проект, миллионы долларов, затраченные на разработку, и дополнительный факт в подтверждение того, что за Duqu стоят правительства».

Примечательно, что 4 марта 2012 г. бывший глава Агентства национальной безопасности США Майкл Хэйден (Michael Hayden) в интервью телеканалу CBS заметил, что Stuxnet «был хорошей идеей». При этом генерал не рассказал, какое государство стоит за созданием этого трояна, преемником которого стал Duqu.

Эксперты «Лаборатория Касперского» обратились к сообществу программистов с просьбой связаться с ними всем, кому известно о средстве разработки, языке или компиляторе, который может генерировать код Duqu.

http://www.cnews.ru/news/top/index.shtml?2012/03/07/480558

А вручную, в машинных кодах, или в ассемблере это написать невозможно?

Можно, но с определенного момента получается слишком большой объем и дорого. Это влечет очень много ошибок, которые нужно долго вылавливать, а вирус должен срабатывать безукоризненно - второго шанса у него не будет (тут очень похоже на спутники). Это как с конвейером, даже если вам нужна только одна машина, робот соберет её точнее и быстрее человека. Только в отличие от производства, вспомогательный инструмент в программировании окупится и для одного экземпляра, хотя, конечно, лучше если это будет серия работ. Т.е. если вы создали компилятор/язык/фреймворк для построения вирусов, вы быстрее найдете подходящие менее-квалифицированные кадры и создадите продукт, нежели если будете кодировать в коде или ассемблере (тем более под Windows - это нужны специалисты высокого уровня, их мало, как мало и такой работы, а следовательно очень дорого). Создание спец.инструмента или языка тоже очень дорого, но то на то выходит, вы не уговорите за дешево специалиста высокого уровня все бросить и писать для вас вирус. Видно, когда человек пишет на ассемблере, а когда какая-то надстройка есть с регулярными структурами. На MASM или TASM ООП ввести можно только железной дисциплиной в рамках корпорации вроде Microsoft, если что-то такое наблюдается в исходном коде - значит это компилятор. Компиляторы строятся и оптимизируются по известным схемам, они довольно подробно описаны. Часто для разных компиляторов берется одна и та же основа - понятно, что никто там специально бинарный код не причесывает - без этого дел полно. Тут причесали под свои нужды и структуры видать нового компилятора и не известного, видно сетевой движок, так как речь именно о блоке управления трояном, т.е. еще и выскоуровневая оболочка над WinAPI. Это либо эксперт по компиляторам, причем не уровня студентов, которые работают в одиночку (их всех заставляют такие делать, но на уровне операционной системы, сетевых протоколов там уже спецов не найти - опыт нужен), либо команда работала. Даже если это компилятор был создан и отлажен заранее - это означает, что больше вы им не воспользуетесь никогда и никогда не признаетесь, что вообще этот компилятор создавали - за дешево такие вещи ради одной задачи никто не отдаст. Создали вы компилятор, вылизали, отладили (а это колоссальный объем работа), а вам говорят, сколько вам нужно, чтобы вы забыли о его существовании? В любом случае отмечаются значительные инвестиции... собственно это и раньше было известно, что деньги вращаются в этом бизнесе не малые, но тут уж очень большие.

Это примерно, как нам браузер закажут с нуля - это очень дорого (в современных условиях), первое, что мы порекомендуем - воспользоваться готовым. Однако, если будут настаивать на уникальном - это много времени, работы и денег. Вот тут тоже самое, не воспользовались готовым, а создали свое и судя по всему специально под вирусы. Т.е. где-то есть среда, в которой можно создать заготовку трояна и не ерунды прошлых лет (а такие компиляторы уже появлялись), а современной бот-нет сети с управлением. Возвращаясь к браузеру, представьте, что вы заходите в небольшую компанию, а там совершенно неизвестный браузер, вот совершенно другой (Причем хорошо работает и больше нигде его в мире нет, что вы подумаете про компанию? Вас либо дурачат, либо тут где-то рядом ходят бешенные деньги и какие-то очень хитрые интересы, что даже готовыми браузерами не пользуются). Тут тоже самое - очень редкий троян, его явно под одну задачу делали и хрен знает на чем написан, т.е. под него еще или компилятор или движок создали. Очень мощный и щедрый игрок появился: большая корпорация или государство: даже готовыми платформами не стали пользоваться, разработали свою (или команду наняли или заплатили). Понятно, что и раньше писали вирусы под конкретного человека/задачу, но тут очень фундаментальный подход.

У меня был смешной случай - правда, давно уже.

Тогда только появился NOD32. И я прямо в кодах написал вирус, сейчас даже сам не пойму, как я ухитрился это сделать. Вирус безвредный - он только выводил какую-то запись на весь экран. Но NOD32 его не ловил!

Я им позвонил и сказал, что их антивирус фиговый.

Там на телефоне какая-то глупая тетка оказалась. Говорит, пришлите - нам интересно. Специальную облочку выслала, куда вирус следует запаковать.

Я им послал свой вирус, через пару дней позвонил и спросил - "Ну, как?".

Там таже тетка была. И она мне говорит: "Я Ваш вирус включила в базу".

Я чуть со смеху не упал!

Думал, что они свой алгоритм поправят, чтобы подобные штуки вылавливать, а они в базу включили!

Я за два часа другой написал и NOD32 его опять не увидел!

Я им второй вирус тоже послал и выкинул всё это из головы.

Эвристик дело не простое: у него ложные срабатывания бывают, а у людей возникает желание его отключить. База - это самое надежное средство, причем её можно как маркетинговый ход повернуть, мол вот у нас какая база большая, не смотри, что половина вирусов вообще не запускаются из-за ошибок. Помимо вирусов есть еще и полезные программы, которые за обновлениями в Интернет лазят - всех сразу в вирусы записывать не получится, нужные какие-то более тонкие различия. Вот допустим Яндекс-поиск (Яндекс поиск по файлам на локальном компьютере), сначала индекс создает по всем файлам, а потом в Интернет за обновлениями ломится... что же антивирусу её в вирусы записывать? А выглядит очень похоже: программа прошерстила весь компьютер (причем выбирала время, когда пользователь не активен), а потом в Интернет полезла... кто она после этого? Последний DrWeb заподозрил меня, что я и есть вирус, который отсылает спам через почту (что собственно стало последней каплей)... Один раз ответил - нормально, второй раз - уже заблокировал, не дает отправить письмо, и главное зараза не дает блокировку снять... Очень сложно умный антивирус написать, чтобы он сам себя не перехитрил.
Можно, конечно, анализировать сигнатуры и прочее, но уж машинные коды - это ни в какие ворота, один в одном стиле пишет, другой в другом... вы чей поди и регистры использовали, какие вам больше нравятся, а не какие рекомендуется и используются опытными оптимизированными компиляторами. То что в машинных кодах и на ассемблерах - это только в базу заносить - настолько разношерстно получается - это какая-нибудь VisualStudio для установки соединения один и тот же код генерирует, а человек постоянно, что-то улучшает, придумывает, ошибается - в общем проще вирус в базу добавить, чем что-то придумывать (тем более можно здорово помешать людям работать - может вам в следующий раз эта надпись потребуется именно вот таким способом вывести, а антивирус не даст, а тут заявление вот де пойман зловредный код - занесите в базу, пользы не приносит, один вред).

Пожалуй что, так оно и есть!

Просто смешно было: они в рекламе упор делали на то, что защита ведется даже от несуществующих вирусов, а тут мальчишка за день пишет код, который сквозь защиту свободно проходит!

Любая защита, тем более, за которую хотят денег - это довольно скользкая тема... КМВ долгое время занимался проблемой физической защиты, ну там со спец.назом перелезть через забор ночью, проползти под камерами (которые сам читер и устанавливал зачастую :), не все, честно пролазить тоже умеет, ничего не скажешь) и прочие радости, даром, что заводов вокруг секретных и не очень, полно.
Но самое интересное это социальная инженерия, когда просто на неожиданных приемах проходят. Я буквально под стол сползал от смеха, когда он рассказывал, чего он там на проходных вытворял... и вот после очередной вздрючки персонала, КМВ с директором спорит как водится на коньяк, а хочешь еще раз пройду? Директор: да мы же с тобой сейчас весь завод вздрючили и душу из охраны вытрясли, как ты пройдешь? А охрана даже не пикнула, когда КМВ подошел, кивнул и сказал "я к главному" :))), никто же не предупредил, что эта важная проверяющая персона попрется второй раз с проверкой, но уже без концертов :))). В общем безопасность - это сложная штука (ширпотреб за 1000 рублей защищает только от ширпотреба).

Бывало и такое...

Брат срочную в Зеленодольске служил. Приезжаю к нему, в проходной свой служебный пластиковый пропуск часовому под нос сую (там печать со звездой) и свирепым голосом: "Где командир?"
Тот в струнку: "Как доложить?" - "Не надо доклада!".

Ну, а уж сколько раз посылали с липовым пропуском (то без подписи, то печать криво, то фотография чужая) для проверки охраны, и не сосчитать. Я уж им подмаргиваю - "гляди лучше!". Не помогает! Да и как тут - сотни людей непрерывным потоком.

>не все, честно пролазить тоже умеет, ничего не скажешь

Щас уже нет. Тело не то. Меру надо знать. Налазился. Напрыгался. Наплавался.
А через КПП любое пройти, так это вообще ерунда. Не буду уж совсем фирменные вещи выдавать, но

Я буквально под стол сползал от смеха, когда он рассказывал, чего он там на проходных вытворял...

Вот одна из. Езжу делать уколы в одну из наших больниц. А туда, на территорию не могут проехать даже врачи. Только машины СП. Нашу машину пропускают :))) Стоим у парадного подъезда. Все в изумлении. Дело в том, что даже главврач отставляет свой джип на стоянке неподалеку. При этом я не показываю никаких удостоверений. Водитель весь на шухере :))) Ему диковинно, что главный пешком идет, а мы по территории на авто. Да и встаем под самыми видеокамерами. Специально :)

Самое моё серьезное КПП было - своя квартира. Когда я ключи потерял.

А зачем может быть нужно делать свой компилятор? Чтобы иметь какие-то специфические функции в языке? Так это можно и проще сделать.

Чтобы эвристик не видел вируса, а может и эксперт бы проглядел бы. Как выглядит бинарный код сокета, маскировки, инъекция, эксплуатации переполнения для распространенных компиляторов в антивирусной компании знают, у них есть много уже много готовых вирусов, можно поанализировать и потестировать. А совершенно левый "компилятор", созданный без участия распространенных инструментов, все сделает по-своему, по-другому. Однако, просто на уровне преступников - это дорого столько труда или денег вкладывать в маскировку. Причем насколько я понял, это даже не весь троян, а лишь критическая часть, для связи с ним написана - на которые антивирусы сейчас и обращают в первую очередь внимание. Почему военных сразу и заподозрили - эти ничего не пожалеют, особенно, если речь идет об разведке и маскировке, даже для одной операции.

PS Вообще, конечно, это информация через несколько рук... есть шифровщики, есть реорганизаторы бинарного кода, и спецы в антивирусных компаниях с ними встречались... что-то они там очень любопытное увидели, какие-то решения, которые до этого не использовались.

Вот это да. Представляю объем работы необходимый для этого. Небось еще компилятор с кучей режимов для компиляции, для усложнения отладки.

А может это Microsoft балуется?
Неплохая мысль, кстати, для производителей проприетарного софта - завалить интернет пиратскими копиями своих же продуктов, но со встроенными функциями борьбы с ворами.
Сначала: "Высоко сижу, далеко гляжу!"
Потом: "Шеф! Все пропало...!"
Так раз все накроется, два, три... много кто задумается...

Так раз все накроется, два, три... много кто задумается...
или наоборот откажутся от такого разработчика навсегда

Не Microsoft, вряд ли... слишком рисковано для них, тем более тут всякие Apple с боку начинают теснить. Нет, конечно, по заказу мин.обороны они не откажутся разработать, но массово в своих коммерческих системах применять не будут - пол же мира копается в их системе и ищет доказательства всемирного заговора :))), если хотя бы намек найдут, потом не отмоешься... Проблемы у какого производителя ПО начинаются, тут же винят Microsoft без всяких доказательств, а с доказательствами с них вообще с живых не слезут. Да и не делают такие вещи в крупных компаниях с тысячами человек... это удел небольших компактных групп, которые сами не знают, где их ПО потом будет использоваться.

Так это же будет не официальная версия Microsoft, а якобы пиратская копия. Завалить все файлообменники и прочую дрянь таким "продуктом". У кого лицензия - проблем не будет. А если пиратку скачал - получите и распишитесь. Это каким же цинизмом нужно обладать, чтобы использовать пиратку, а претензии предъявлять к Microsoft! Один раз накроется система со всеми производными последствиями (потеря критичных файлов, времени и т. д.), второй раз накроется система, третий... А у соседа, у которого лицензия, такой проблемы нет, потом другой знакомый говорит, что у него произошла подобная проблема тоже с пираткой, а у его знакомых с лицензией все работает нормально.
В таких условиях сложно будет предъявить претензии к производителю, если он этот продукт не продавал. Наоборот, отчетливее и жестче встанет вопрос: "Покупать лицензию, переходить на более дешевые или бесплатные аналоги или рисковать".
Рисковать будут только те, кто сам преступает закон, зато это не коснется владельцев лицензионных копий.
Бороться с пиратами через правоохранительные органы в современных условиях бессмысленно. По признанию МВД Украины они сами используют повсеместно пиратские копии, не говоря уже о прокуратуре и других государственных органах. Они если и будут этим заниматься, то только с целью собственной наживы или с целью убрать конкуретнов близких к власти коммерческих структур.
А с помощью массового распространения доступной повсеместно пиратки самим же производителем можно регулировать общественное мнение относительно незаконного использования их товара.

Пираты слишком умные и разборчивые стали... вы сходите к ним на сайты. Качают исключительно оригинальные образы, хэш-коды, все дела, и уже оригиналы ломают отдельно на месте. Ничего им не впаришь, очень подозрительные люди :)))

А что мешает постоянно незначительно менять содержимое образов каждые несколько дней, чтобы вариантов было больше, чем грибов после дождя? А объяснять такие изменения постоянными изменениями в сторону улучшения.

Тогда хэши потеряют смысл и каждый раз придется грузить образ с сайта Microsoft. Нельзя будет уверенно сказать у вас на руках оригинальная или зараженная копия. Пиратам-то все-равно, а они и с Microsoft загрузят, а вот производителям ноутбуков, готовых компьютеров, которые Microsoft кормят за счет OEM-лицензий это вряд ли понравится. Я думаю Microsoft взвешивала все за и против и постоянно думает о противодействии пиратству. Собственно для них все не плохо складывается, ноутбуки откусили пол рынка, ноутбуки редко продаются без операционной системы и редко это не Windows. Не удивлюсь, если это и была их тактика последние годы.

PS Да и вообще, у нас готовые компьютеры с заводской сборкой перестали быть диковинкой, каждый второй с закрытыми глазами комп разбирает, собирает, а в мире это давно: вот вам готовый компьютер, на нем стоит готовая операционная система, а вот счет. Мы просто жили до этого бедно и экономили, а сейчас заходишь в компьютерный магазин: ноутбуки и батареи системных блоков с уже установленной лицензионной виндой. Понятно, что Microsoft будет в первую очередь об удобстве сборщиков думать, которые ей деньги приносят, а не о людях, собирающих компы себе самостоятельно и у которых есть соблазн не ставить лицензию (тем более самостоятельных сборщиков с годами будет все меньше и меньше).

Рынок показывает скорее противоположное Вашим словам. Спросом пользуются больше те ноутбуки, которые не имеют Windows. И они больше пользуются спросом. Да и встретить их в последнее время все реже можно. (Если честно, я не знаю как обстоят дела в России, но в Европе, в Украине и в несколько меньшей степени в США дела обстоят именно так). Да, если брать время лет 7-8 назад, то Вы правы. Именно так дело и обстояло. Но сейчас тенденция явно противоположная. Windows чаще можно встретить лишь в ценовом диапазоне продуктов выше среднего, в самом массовом ценовом диапазоне преобладают предустановленные дистрибутивы Linux или же они вообще идут без ОС. Именно такие и потребности рынка.
Чтобы не быть голословным выкладываю ссылку на выборку самых покупаемых ноутбуков самого популярного интернет магазина Украины http://rozetka.com.ua/notebooks/c80004/filter/price=-3999;20863=1031/
Windows - 21 из 132. Linux - 35 - на треть больше, чем Windows, при этом последние занимают лишь 1/6 из общего количества.
Даже если убрать все фильтры и смотреть на общее количество товара в наличии, то ноутбуков с предустановленной Windows будет менее половины.

Ну, это дешевле, понятно, сейчас времена не простые, магазинов много, моделей много, нужно конкурировать... тем более на ноутбуках Linux селится все чаще и чаще - на нем же все есть чтобы кино смотреть, в интернет ходить.

PS Не спора ради, просто в качестве картинки от сюда, у нас довольно часто люди приходят и покупают Windows. Если еще несколько лет назад найти магазин торгующий лицензиями Windows была целая история, то сейчас в любом есть, причем есть не из-за какого-то внешнего давления, а люди в самом деле приходят и покупают (потом с ноутбука сносят Linux и ставят Windows :). Предприятия все в обязательно порядке имеют лицензионные Windows - в любой момент может наехать милиция по наводке, а то и за деньги конкурента. По домам понятно, что очень много пираток, но и домой лицензионный Windows тоже покупают (и не только в Москве, у нас в Нижнем Новгороде тоже). Многие, кому от компьютера нужен только видео/интернет, на Ubuntu переходят. Т.е. у нас вообще говоря у нас рынок морально готов и к большему проценту предустановленных Windows. Обычно картинка такая, если компьютер бюджетный - он с Linux, если чуть по-дороже, там уже лицензионный Windows (ну это если готовый брендовый комп, впрочем бренды у нас пока такие, что лучше самому собрать, если умеешь).

Встречная картинка.
Где-то практически все так же. Буквально перед 8 марта знакомый супруге в подарок пытался купить новый ноутбук с лицензией на Windows, а я ему помогал искать (все-таки я на машине и ноутбук у меня с 3g интернетом). Оказалось, что с Linux ноутбук купить значительно проще, чем с Windows. Хотя еще в 2004-м я долго искал ноутбук без Windows для себя, не нашел вообще в продаже и заказывал, а потом почти месяц ждал поставки.
У нас тоже популярны маски-шоу. В нашем офисном центре кое-кто попался (штрафы около 100 тыс. $), кто-то купил лицензии, многие перешли на Linux. Пиратка преобладает конечно же на домашних компьютерах и на компьютерах органов власти начиная от органов местного самоуправления и заканчивая верхами. Но если нужно убрать конкурента, то могут не посмотреть какая ОС вообще установлена. Врываются с постановлением следователя, где нет даты и названия (они их вписывают на месте), забирают все компьютеры и направляют на экспертизу, которая может продлиться в некоторых случаях не один год. Поэтому у нас (в моей организации) давно уже все документы в электронном виде хранятся на удаленных серверах в странах Западной Европы. Компьютеры же играют роль только терминалов, через которые происходит доступ до этих документов.

> ... в странах Западной Европы. Компьютеры же играют роль только терминалов ...
Красиво =))

:)))
Мне особенно интересна позиция лаборатории Касперского

"Эксперты «Лаборатория Касперского» обратились к сообществу программистов с просьбой связаться с ними всем, кому известно о средстве разработки, языке или компиляторе, который может генерировать код Duqu."

Вот чего пишут?.. Неужто те, кто это писал придут с покаянным письмом?

>Если такого языка программирования никто не видел, это означает серьезный софтверный проект, миллионы долларов, затраченные на разработку

Нет, ребятки-малоучки за три рубля накатали на коленке.

Да в темную могли заказать... т.е. там речь не о самом трояне, а о его сетевой подсистеме, запросто могли кому-то заказать, разработчики подивились бы конечно, но сделали бы. Может быть и догадались бы, но сделали бы вид, что ничего не поняли.

PS Да и к тому же у антивирусов работа такая, постоянно привлекать внимание к тому, что никто не видит :))) и чем страшнее звучит, тем лучше. Это ж перепечатка перепечатки, еще смотреть надо, как оно в оригинале звучало.

Ну Гош, это ж смехтотещё для профи. Не поняли что за язык... Даже касаемо подсистемы. Что они не в курсе, как она работает?

Ну это так в новости звучит, со слов журналиста... скорее всего подивились, что кто-то либо на ассемблере перефигачил библиотеку сокетов или разработал под это новый язык вместе с новым компилятором, а не стали использовать например, ту же технику предпроцессорной обработки. Та же CUDA - это не новый язык, это просто предпроцессор на базе любого подходящего C-компилятора (да и C++ долго таким же был), а ведь NVidia не самая бедная компания и штат программистов у неё не маленький... а тут на тебе не поленились. Что ж и удивиться теперь нельзя редкому явлению. У журналистов сам знаешь как мозги форматированы, если хотя бы полусловом на сендвич намекнешь, в статье прочитаешь, что питаешься ты исключительно христианскими младенцами.

Тайна раскрыта: Загадочный язык программирования фреймворка Duqu определён.

Цирк на конной тяге. Пол мира пишет исключительно на C, какая старая школа...

>Цирк на конной тяге. Пол мира пишет исключительно на C, какая старая школа...

Да не обращайте внимания: автор этого поста alizar, а его посты славятся желтизной :-)