Kaspersky vraagt hulp bij bestrijding Duqu
Softwaresecurityleverancier Kaspersky Lab heeft ontdekt dat een deel van de code in het Trojaanse paard Duqu is geschreven in een onbekende programmeertaal. Het lukt Kaspersky Lab daarom niet om de trojen definitief te bestrijden en het bedrijf zoekt daarom naar mensen uit de programmeursgemeenschap die kan helpen bij het ontrafelen van de onbekende code.
Duqu is een geavanceerd Trojaans paard, gemaakt door dezelfde mensen die de beruchte Stuxnet-worm hebben ontwikkeld. Het belangrijkste doel van Duqu is het fungeren als een ‘achterdeur', waardoor diefstal van informatie mogelijk wordt. Het Trojaanse paard heeft vooral slachtoffers gemaakt in Iran, volgens de Kaspersky-experts met als doel informatie te stelen over industriële aansturingssystemen en inlichtingen te verzamelen over commerciële relaties van Iraanse organisaties.
Duqu Framework
Een groot onopgelost raadsel was tot nu toe hoe Duqu na een infectie communiceerde met de zogeheten command & control-servers om gestolen informatie door te geven. Analyse van Kaspersky Lab heeft aan het licht gebracht dat een specifieke sectie binnen de Duqu-software daarvoor verantwoordelijk is. Deze sectie, het ‘Duqu Framework', blijkt geschreven te zijn in een tot nu toe onbekende en zeer gespecialiseerde programmeertaal. Volgens Alexander Gostev, chief security experts van Kaspersky Lab, maakt dit duidelijk dat de ontwikkelaars van Duqu zeer kundige programmeurs zijn en dat er ook veel geld en werk aan dit project moet zijn besteed.
Kaspersky Lab doet nu een beroep op de programmeursgemeenschap met de vraag wie het Duqu Framework, de programmeertaal of de toolkit herkent waarmee vergelijkbare code kan worden gegenereerd. Kaspersky Lab vraagt dan contact op te nemen met zijn experts: stopduqu@kaspersky.com.
Jaap-G, 08-03-2012 12:54
Kees de Haan, 08-03-2012 13:01
Thijs Cobben, 08-03-2012 14:00
Reverse engineering van machinecode naar een onbekende programmeertaal lijkt mij een hopeloze zaak. Het achterhalen van de algoritmiek een monnikenwerkje. Ik heb niet echt het gevoel dat ik mee kan helpen op basis van bovenstaande informatie. Ook afwezigheid van een link naar aanvullende informatie (voorbeeldcode, extra technische informatie) vind ik in dit verband storend.
Maarten Oberman, 08-03-2012 14:24
Evert, 08-03-2012 14:49
Beetje doorklikken op het internet en voila:
http://www.securelist.com/en/blog/667/The_Mystery_of_the_Duqu_Framework
Robert, 08-03-2012 14:56
Een virusbestrijder hoeft hoogstens besmetting te voorkomen door filtering of blokkering.
Als men dat al wil. Als het specifiek op Iran gericht is, dan is dat een politieke afweging geworden, niet een simpele kwestie i.v.m. consumenten of bedrijven.
24-05 UvA-student toont computerbuitenbeentjes
24-05 Main Capital verkoopt Iaso aan GFI Software
24-05 Bedrijven zeggen massaal .nl-domein op
24-05 'Capgemini-systeem Politieacademie werkt wel'
24-05 CarePartners en Pinkroccade bedienen Rodersana
24-05 Cognos-gebruikersgroep CUGNL is ter ziele
24-05 Peak-IT stuurt ICT’er 2 weken naar Turkije
24-05 Nnextgroup neemt Just Connecting over
23-05 Prevent-IT neemt NetEyes over
23-05 XA neemt Xerox-tak over van BührmannUbbens
24-05 Stageplaats: redacteur (online en print)
24-05 Peak-IT stuurt ICT’er 2 weken naar Turkije
22-05 ITPH organiseert regionale IT-branchedag...
22-05 SAP gaat wereldwijd autistische ICT’ers werven
22-05 Aamigoo verkoopt Corso terug aan oude eigenaar
21-05 Vijf ICT-onderzoekers krijgen Vidi-beurs NWO
17-05 Leden De Unie verwerpen sociaal plan Ericsson
17-05 Rabobank krimpt in, maar ICT-afdeling groeit
17-05 Rabobank zoekt 100 extra ICT’ers in Nederland
16-05 ICT Automatisering is blij met omzetdaling
|
|
28-02-13 Kaspersky vindt spionageprogramma MiniDuke
14-01-13 ‘Rocra heeft eigen unieke modulaire architectuur’
19-03-12 Kaspersky ontrafelt mysterie rond Duqu-code
14-12-11 Microsoft dicht Duqu-lek definitief
17-11-11 'Duqu is niet eng, de aanvallen die volgen wel'
11-11-11 Microsoft bestrijdt Duqu met Windows-update
04-11-11 'Duqu wordt ingezet voor spionage in Nederland'
04-11-11 Stuxnet en Duqu schudden industrie wakker
25-10-11 Aard Duqu-malware is nog onbekend
18-10-11 Is Stuxnet het topje van de ijsberg?
16-11-10 'Stuxnet moest uraniumverrijking voorkomen'
15-11-10 Nederlander ontdekt doelsysteem Stuxnet
08-10-10 Citrix: virtualisatie beschermt tegen Stuxnet
04-10-10 Proces-IT moet leren van Stuxnet
01-10-10 Stuxnet te complex voor malwareschrijver
30-09-10 Stuxnet-worm is elektronische oorlogsvoering
29-09-10 Stuxnet worm: Proces-IT is eenvoudig doelwit
28-09-10 Is Stuxnet worm voorloper van de cyberoorlog?
24-09-10 'Worm heeft Iraanse kernreactor als doelwit'
| Aantal reacties met 3+ sterren | Gemiddelde waardering | |||
 | 1 | 753 | 6.1 | |
 | 2 | 660 | 6.3 | |
 | 3 | 621 | 6.4 | |
 | 4 | 590 | 6.3 | |
 | 5 | 537 | 6.3 | |
 | 6 | 525 | 6.2 | |
 | 7 | 280 | 6.2 | |
 | 8 | 236 | 6.2 | |
 | 9 | 157 | 6.1 | |
 | 10 | 123 | 6.0 | |
Alle rechten voorbehouden © 1995-2013 De Persgroep
Alle programmeercode is in principe hetzelfde als je op het machinecode (reverse engineering eigenlijk) gaat zitten. Je krijgt dan meer code voor je neus naarmate het in een hogere programmeertaal is geschreven. Dat zal het probleem zijn. Misschien dat er tools zijn die de belangrijkste zaken uit die machinecode kunnen halen, en hogere programmeertaal-overhead (als dat er is) en andere onnodige zaken er uit kunnen filteren. Wel vrij specialistisch. Het aantal machinecodespecialisten loopt misschien ook wel achteruit. Het is te hopen dat de gebruikte programmeertaal niet al te hoog was - dan krijg je veel meer onnodige machinecode. Het zou kunnen dat ze een programmeertaal met opzet zo hebben gemaakt dat er juist heel veel overhead is. Dan is 't veel meer zoeken naar een boom in het bos dan als een lagere taal zoals assembler gebruikt is.