Зловмисники використовували вкрадений цифровий сертифікат для шкідливої кампанії Duqu2

Кілька днів тому в нашу антивірусну лабораторію поступив виконуваний PE-файл (драйвер), який містив цифровий підпис. Ми додали його в базу як Win64/Duqu.AC. Сертифікат був виданий певною тайванської компанії Foxconn (Hon Hai Precision Industry Co.), яка спеціалізується на виробництві електроніки, а також є однією з найбільших компаній, що займається виробництвом компонентів флагманських пристроїв таких відомих компаній як Apple, Canon, Sony.



Раніше ми вже писали про цю шкідливу кампанію, в якій зловмисники використовували нову версію state-sponsored шкідливого ПО Duqu (Duqu2, Duqu.B), а також про інші виявлення цієї шкідливої програми з боку наших AV продуктів. Вказаний драйвер має невеликий розмір (27 448 байт) і використовується атакуючими для маніпулювання мережевим трафіком на рівні NDIS скомпрометованої системі.


Рис. Назва об'єкта-пристрою, а також символічного посилання, які шкідливий драйвер створює в системі (індикатор зараження).

Вже за інформацією про импортах драйвера (ndis.sys) видно, що він спеціалізується на роботі з мережевим трафіком на рівні NDIS.


Рис. Частина імпортованих Win64/Duqu.AC функцій.


Рис. Дійсна цифровий підпис Win64/Duqu.AC. Скомпрометований сертифікат був ще дійсний.


Рис. Властивості шкідливого файлу.

Крадіжка цифрового сертифіката ріднить шкідливу кампанію по поширенню Duqu2 з іншої шкідливої компанією з розповсюдження відомого хробака Stuxnet, його драйвери також містили підпис, причому сертифікати також були викрадені у технологічних компаній: JMicron і Realtek. Постачання шкідливого драйвера цифровим підписом є стовідсотковим рішенням забезпечити завантаження такого драйвера в 64-бітної версії Windows.

Вказаний драйвер має такі відбитки:

MD5: 92e724291056a5e30eca038ee637a23f
SHA1: 478c076749bef74eaf9bed4af917aee228620b23
SHA256: bc4ae56434b45818f57724f4cd19354a13e5964fd097d1933a30e2e31c9bdfa5

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.