Del dia, Destacado, Noticias, Principal, Seguridad

Más detalles sobre Duqu

[widget id="text-31"]

Debido a que se han encontrado más muestras de Duqu, se han dado a conocer nuevos datos sobre cómo funciona este malware. Lo más relevante es el uso de vulnerabilidades de Microsoft desconocidas -hasta ahora- para instalarse, como lo hizo su antecesor Stuxnet.

Al parecer el troyano venía escondido en un archivo doc para Word. Conseguía que la víctima inicial intentase ver el contenido del archivo a través de ingeniería social. A partir de ahí, se infectaba el sistema. 

Profesionales de seguridad sugieren que podríamos estar hablando de dos vulnerabilidades: una en Word que permite la ejecución de código y otra en el kernel que permite la elevación de privilegios. Para instalar drivers en el sistema como pretende Duqu, necesita los máximos privilegios. Por tanto, al igual que hacía Stuxnet (que contenía hasta cuatro 0 days para conseguirlo) le es muy útil este tipo de exploits. Sin embargo, es posible que también aproveche otro vector como el Word para conseguir una primera ejecución de código.

Sobre la replicación, Duqu se difunde de forma "curiosa". No es una habilidad intrínseca sino que se le puede indicar a través de comandos externos una vez instalado. Así, los atacantes pueden ordenar al troyano por comandos externos que se replique en carpetas compartidas (a través de tareas programadas, como hiciera Stuxnet). Más interesante aún es su comportamiento si el sistema no pudiese comunicarse con el C&C (centro de control) remoto por cualquier razón: en estos casos, toma la configuración y órdenes de otros sistemas compartidos e infectados. Como una especie de P2P entre sistemas troyanizados si el "maestro" no se encuentra disponible.

Por último, otro dato interesante es que en cada víctima se han encontrado un conjunto de archivos diferentes, gobernados por un C&C "dedicado" por cada compañía atacada.

Deja un comentario