 |
| Kode Pemograman pada Malware Duqu Trojan |
Penggunaan istilah Duqu dapat diberi dalam berbagai nama, antara lain:
1. Duqu Malware; berbagai komponen perangkat lunak yang memberikan layanan pada penyerang termasuk kemampuan untuk mencuri data dalam kernel driver. Bagian jenis ini adalah malware yang belum ditemukan penangkalnya hingga kini karena ditulis dalam bahsa pemograman yang sama sekali berbeda dengan malware pada umumnya, yang dijluki "Duqu Framework". Mereka tidak menggunakan bahasa C++, Phyton, AdA, Lua dan banyak bahasa pemograman lainnya yang belum diperiksa. Data terbaru yang ditemukan menunjukkan bahwa Duqu mungkin ditulis dalam Objek Orientasi C (OO C) yang dikompilasi dalam Microsoft Visual Studio 2008.
2. Duqu Flaw; Kelemahan/cacat yang terdapat dalam Microsoft Windows yang digunakan dalam file jahat untuk mengeksekusi komponen Duqu Malware. Hingga saat ini, cacat yang bisa ditemukan dalam Windows milik microsoft adalah masalag TTF yang ada pada win32.sys.
3. Operation Duqu; digunakan untuk tujuan yang belum jelas, Malware jenis ini dikitkan dengan Operation Stuxnet.
 |
| Diagram Symantec dalam Duqu |
Hubungan denga Stuxnet
Symantec, berdasarkan laporan CrySyS disebutkan bahwa ada indikasi yang mirip atau identik dengan Stuxnet, tapi tentu saja dengan tujuan yang berbeda. Symantic percaya bahwa Duqu diciptakan oleh orang yang sama menciptakan Stuxnet atau mungkin orang yang memiliki akses ke kode source milik Stuxnet. Malware yang mirip dengan Stuxnet, legal (sah), tapi menyalahgunakan digital signature serta mengumpulkan informasi untuk mempersiapkan serangan dimasa-depan. Mikko Hypponen, Chief Research Officer for F-Secure berpendapat bahwa Duqu membuat kernel drivel JMINET7.SYS yang sangat mrip dengan MRXCLS milik Stuxnet karena cara pembacaan sistem back-end F-Secure adalah cara berpikir Stuxnet. Mikko juga menjelaskan bahwa kunci yang digunakan oleh Pembuat Digital Signature Duqu (dari satu kasus) telah dicuri dari C-Media yang berlokasi di Taipei yang seharunya berakhir pada awal Agustus tahun 2012 namun diubah menjadi 14 Oktober 2011. Sumber lain, Dell SecureWorks justru mempunyai pendapat lain bahwa Duqu tidak mungkin mempunyai hubungan dengan Stuxnet.
Symantec, berdasarkan laporan CrySyS disebutkan bahwa ada indikasi yang mirip atau identik dengan Stuxnet, tapi tentu saja dengan tujuan yang berbeda. Symantic percaya bahwa Duqu diciptakan oleh orang yang sama menciptakan Stuxnet atau mungkin orang yang memiliki akses ke kode source milik Stuxnet. Malware yang mirip dengan Stuxnet, legal (sah), tapi menyalahgunakan digital signature serta mengumpulkan informasi untuk mempersiapkan serangan dimasa-depan. Mikko Hypponen, Chief Research Officer for F-Secure berpendapat bahwa Duqu membuat kernel drivel JMINET7.SYS yang sangat mrip dengan MRXCLS milik Stuxnet karena cara pembacaan sistem back-end F-Secure adalah cara berpikir Stuxnet. Mikko juga menjelaskan bahwa kunci yang digunakan oleh Pembuat Digital Signature Duqu (dari satu kasus) telah dicuri dari C-Media yang berlokasi di Taipei yang seharunya berakhir pada awal Agustus tahun 2012 namun diubah menjadi 14 Oktober 2011. Sumber lain, Dell SecureWorks justru mempunyai pendapat lain bahwa Duqu tidak mungkin mempunyai hubungan dengan Stuxnet.
Persamaan lain yang ditemukan oleh para Ahli:
1. Menginstal Eksploitasi Kernel Windows yang rentan.
2. Komponen yang ada berasal dari kunci digital yang dicuri.
3. Keduanya memiliki target kuat yang berhubungan dengan program nukli Iran.
1. Menginstal Eksploitasi Kernel Windows yang rentan.
2. Komponen yang ada berasal dari kunci digital yang dicuri.
3. Keduanya memiliki target kuat yang berhubungan dengan program nukli Iran.
 |
| Diagram Duqu Flow, dibuat menggunakan MS Word |
Duqu juga menyerang sistem Microsoft Windows dengan memanfaatkan kerentanan zero-day yang mirip dengan sifat Stuxnet. AKA Dropper adalah file pertama yang diputihkan seperti yang diungkap oleh CrySyS di Laboratorium menggunakan Microsoft Word berbasis .doc yang memanfaatkan win32k Tryetypr font parsing engine yang memungkinkan adanya eksekusi. Duqu dropper berhubungan dengan penyetraan font yang membatasi akses ke T2EMBED.DLL. Ancaman serius pertama yang ditemukan microsoft adalah MS11-087.
Duqu mencari informasi yang mungkin berguna dalam menyerang sistemm industri kontrol dengan tujuan menjadikannya destruktif, yaitu komponen yang dikenal berusaha mengumpulkan iinfomasi. Namun berdasarkan struktur modular Duqu, Payload khusus dapat digunakan untuk menyerang semua jenis sistem komputer dengan cara apapun. Jenis komponen ini juga dapat menghapus total hard-drive dalam komputer. Metode komunikasi Duqu yang dianalisis oleh Symantec adalah metode aktual dan tepat tahu bagaimana cara bereplikasi dalam sebuah jaringan yang diserang sepenuhnya tanpa diketahui. Menurut McAfee (salah satu perusahaan antivirus terkemuka dunia), satu dari sekian banyak tindakan Duqu adalah mencuri sertifikat digital dari komputer untuk membantu menyerang virus dimasa depan yang muncul sebagai perangkat lunak yang aman. Duqu menggunakan file .jpeg dengan ukuran 54px x 54px dan file dummy yang dienskripsi sebagai wadah untuk emnyeludupkan data kepusat kontrol. Pakar Keamanan bahkan mmasih menganailisis informasi komunikasi yang terkandung. Penelitian awal menunjukkan bahwa contoh malware asli secara otomatis akan menghapus sendiri setelhaa 36 hari terdeteksi.
Poin Penting
1. Executables dikembangkan setelah Stuxnet menggunakan Stuxnet code-source yang telah ditemukan
2. Executables dirancang untuk menangkap informasi layaknya penekan tombol dan sistem informasi
3. Analisa yang ada menunjukkan tidak adanya kode yang terkait dengan sistem kontrol industri, eksploitasi atau self-replication
4. Executables telah ditemukan disejumlah organisasi, termasuk mereka-mereka yang terlibat dalam pembuatan sistem kontrol industri
5. Data Exfiltrated dapat digunakan untuk memungkinkan serangan Stuxnet dimasa depan atau mungkin sudah digunakan sebagai dasar untuk serangan Stunet
Beberapa server milik Duqu telah dianalisis tersebar dibeberapa negara seperti Jerman, Belgia, Filipina dan bahkan Cina.
Duqu mencari informasi yang mungkin berguna dalam menyerang sistemm industri kontrol dengan tujuan menjadikannya destruktif, yaitu komponen yang dikenal berusaha mengumpulkan iinfomasi. Namun berdasarkan struktur modular Duqu, Payload khusus dapat digunakan untuk menyerang semua jenis sistem komputer dengan cara apapun. Jenis komponen ini juga dapat menghapus total hard-drive dalam komputer. Metode komunikasi Duqu yang dianalisis oleh Symantec adalah metode aktual dan tepat tahu bagaimana cara bereplikasi dalam sebuah jaringan yang diserang sepenuhnya tanpa diketahui. Menurut McAfee (salah satu perusahaan antivirus terkemuka dunia), satu dari sekian banyak tindakan Duqu adalah mencuri sertifikat digital dari komputer untuk membantu menyerang virus dimasa depan yang muncul sebagai perangkat lunak yang aman. Duqu menggunakan file .jpeg dengan ukuran 54px x 54px dan file dummy yang dienskripsi sebagai wadah untuk emnyeludupkan data kepusat kontrol. Pakar Keamanan bahkan mmasih menganailisis informasi komunikasi yang terkandung. Penelitian awal menunjukkan bahwa contoh malware asli secara otomatis akan menghapus sendiri setelhaa 36 hari terdeteksi.
Poin Penting
1. Executables dikembangkan setelah Stuxnet menggunakan Stuxnet code-source yang telah ditemukan
2. Executables dirancang untuk menangkap informasi layaknya penekan tombol dan sistem informasi
3. Analisa yang ada menunjukkan tidak adanya kode yang terkait dengan sistem kontrol industri, eksploitasi atau self-replication
4. Executables telah ditemukan disejumlah organisasi, termasuk mereka-mereka yang terlibat dalam pembuatan sistem kontrol industri
5. Data Exfiltrated dapat digunakan untuk memungkinkan serangan Stuxnet dimasa depan atau mungkin sudah digunakan sebagai dasar untuk serangan Stunet
Beberapa server milik Duqu telah dianalisis tersebar dibeberapa negara seperti Jerman, Belgia, Filipina dan bahkan Cina.
No comments:
Post a Comment