Duqu2.0是現(xiàn)今為止最為復(fù)雜的蠕蟲，廣泛應(yīng)用于各種APT攻擊事件中。全球知名網(wǎng)絡(luò)安全公司——卡巴斯基實(shí)驗(yàn)室經(jīng)常會披露各機(jī)構(gòu)遭APT攻擊，但是這次卻親身感受了下，且被攻擊長達(dá)數(shù)月未察覺。

[[136589]]

百科：Duqu

Duqu最早出現(xiàn)在2011年9月，是繼Stuxnet蠕蟲后最為惡性的一種可竊取信息的蠕蟲，大多數(shù)Duqu出現(xiàn)在工控系統(tǒng)中。它是一非常復(fù)雜的惡意程序，利用了大量的0day漏洞和惡意軟件。安全研究員發(fā)現(xiàn)Duqu2.0的目標(biāo)主要是新近P5+1的伊朗核武器談判和IT安全公司，當(dāng)然還不止這些，西方國家、亞洲國家、中東國家也在他們的攻擊范圍之內(nèi)。

據(jù)卡巴斯基實(shí)驗(yàn)室的研究員人員的調(diào)查發(fā)現(xiàn)Duqu2.0使用的0day主要有以下3種：

·CVE-2015-2360;

·CVE-2014-4148;

·CVE-2014-6324;

卡巴斯基實(shí)驗(yàn)室被Duqu2.0入侵長達(dá)數(shù)月

卡巴斯基實(shí)驗(yàn)室在檢測高級持續(xù)性攻擊(APT)新技術(shù)時，無意中發(fā)現(xiàn)了Duqu2.0的入侵行為，專家確定Duqu2.0應(yīng)該已經(jīng)在公司的網(wǎng)絡(luò)中潛伏數(shù)月了，同時表示卡巴斯基的用戶或合作伙伴的信息沒有收到威脅。

此次攻擊應(yīng)該是以釣魚攻擊(罪惡的源頭)開始的，攻擊者先從亞太地區(qū)一小公司職員入手的，通過釣魚攻擊層層地入侵，直至入侵卡巴斯基實(shí)驗(yàn)室的內(nèi)網(wǎng)。

檢測到Duqu2.0的入侵之后，卡巴斯基實(shí)驗(yàn)室就開始了大規(guī)模的內(nèi)部審計，并且一直還在持續(xù)審計中。之所以做出了規(guī)格如此高的審核，就是因?yàn)樗麄円舱J(rèn)為Duqu2.0是極其復(fù)雜的惡意程序，稍有不慎就有可能被趁機(jī)而入了。

新型的Duqu和2011年出現(xiàn)的變種很像，還有一個比較有趣的現(xiàn)象是Duqu2.0的幕后黑手似乎只在周六的時候不工作，不信請看下面的時間戳：

Duqu2.0不會建立任何on-desk文件，也不會生成注冊表目錄，它是一種基于內(nèi)存的應(yīng)用程序，因此很難檢測到;另外它與控制服務(wù)器通信時所使用的系統(tǒng)也很復(fù)雜，它不會直接與C&C服務(wù)器進(jìn)行通信，而是會先在網(wǎng)關(guān)和防火墻處安裝惡意驅(qū)動，然后將所有流經(jīng)內(nèi)部網(wǎng)絡(luò)的流量發(fā)送到攻擊者C&C服務(wù)器上。這樣一經(jīng)混合，就很難被檢測到了。

為什么攻擊卡巴斯基實(shí)驗(yàn)室?

1、可能是想竊取卡巴斯基實(shí)驗(yàn)室的技術(shù)信息，旨在下次發(fā)動間諜攻擊的時候不被檢測到;

2、可能是對卡巴斯基的調(diào)查感興趣，因?yàn)楣局杏泻芏嘤袃r值的數(shù)據(jù)。

卡巴斯基發(fā)文回應(yīng)

為了安撫公司的客戶和合作伙伴，并找回一點(diǎn)面子，卡巴斯基實(shí)驗(yàn)室創(chuàng)始人、執(zhí)行總裁Eugene Kaspersky本人在Forbes網(wǎng)站上專門寫了一篇文章《Why Hacking Kaspersky Lab Was A Silly Thing To Do》(為什么黑卡巴斯基的行為是愚蠢的)：

“這次攻擊很明顯是一次國家支持的工業(yè)間諜行動，因?yàn)閷κ钟昧?ldquo;極為創(chuàng)新和先進(jìn)”的惡意軟件，而其中的手法也很叫絕，并且代價高昂，需要很多時間和人力來琢磨和開發(fā)。

這種攻擊并不明智：你偷我的源代碼有意義大嗎?軟件總是在不斷進(jìn)步的嘛，偷來的代碼很快就會過時。這么想了解我們公司內(nèi)部怎么運(yùn)作和技術(shù)機(jī)密?這里當(dāng)然是有些機(jī)密的，但是并沒有什么速成寶典，一切都是我們的人艱苦努力的成果而已，如果有興趣可以多做技術(shù)交流，而且我們也一直在對外授權(quán)很多技術(shù)。”

完整報告點(diǎn)我!