Diferencias y similitudes entre Duqu y Stuxnet

Seguro que ya habéis leído acerca de Duqu, un malware descubierto recientemente sobre el que se se dice que es una nueva versión de Stuxnet o que fue escrito por sus mismos autores.

Esto es debido a que existen ciertas similitudes entre ambos:

- Usan un driver de kernel para descifrar y cargar ficheros DLL con su payload. Este driver se utiliza como un método de inyección para cargar estas DLLs en un proceso específico.

- Las DLLs cifradas se almacenan usando extensiones .PNF, una extensión que se utiliza en Microsoft Windows para ficheros de instalación precompilados.

- Los drivers de kernel utilizan técnicas similares de cifrado y ocultamiento, como un rootkit para esconder ficheros.

- Tienen variantes cuyo driver está firmado digitalmente. Una variante de Duqu fue firmada con un certificado de C-Media Electronics Incorporation y, curiosamente, otra no firmada reclama ser un driver de JMicron Technology Company, la misma compañía cuyo certificado firmó algunas variantes de Stuxnet.



Característica Duqu Stuxnet
Métodos de infecciónDesconocido USB (Universal Serial Bus)
PDF (Portable Document Format)
Características Dropper Instalar drivers de kernel firmados para descifrar y cargar ficheros DLLInstalar drivers de kernel firmados para descifrar y cargar ficheros DLL
0-days usados No identificados todavía Cuatro
Command & Control HTTP, HTTPS, personalizado HTTP
Propagación automática No identificada todavía P2P (Peer to Peer) usando RPCs
(Remote Procedure Call)
Network Shares
WinCC Databases (Siemens)
Extracción de datos Añadido, keylogger para robo de información del usuario y sistema. Embebido, usado para versiones y actualizaciones de malware
Disparadores para infección o desinstalaciónSe desinstala a sí mismo después de 36 días. Hard coded, debe estar en el siguiente rango:
19790509 => 20120624
Interacción con sistemas de control Ninguna. Interacción altamente sofisticada con los sistemas de control SCADA de Siemens.

No obstante y aunque ambos son complejos programas con múltiples componentes y pese a tener similitudes en los componentes de inyección del driver de kernel, los últimos payloads de Stuxnet y Duqu son significativamente diferentes, por lo que los métodos de inyección podrían compartir código o autores pero no existe una relación adicional del malware en sí mismo.

De hecho Duqu no contiene código específico para atacar sistemas SCADA como PLCs, si no que se trata de un troyano de acceso remoto o RAT.

Comentarios