Duqu kam mit Word

Im Prinzip wieder ein schlagender Beweis dafür, wie „einfach“ es doch ist, sich an allen Sicherheitsmechanismen vorbei, Zugang zu sensiblen System zu verschaffen.
Mit Duqu findet sich ein reiner Vertreter der Klasse Spionagesoftware, der in seiner rohen Fassung keine Schadfunktionen besitzt. Zum Einsatz kommt der Wurm vorwiegend zum Ausspionieren von Betriebsgeheimnissen, so wurde er auf den Systemen von Industrieanlagenherstellern gefunden.

 Wenn ich ganz oben das Wort „einfach“ verwendet habe, dann ist das nicht wörtlich zu verstehen. Hier wird echtes Können unter Beweis gestellt. Wäre es keine Schadsoftware, würde ich mich vor dem Programmierer verbeugen. Ich gehe aber davon aus, dass es sich bei den Entwicklern um ein Team von Experten gehandelt hat.

Folgende Eigenschaften der Spionagesoftware deuten darauf hin:

  • Zum Einschleusen wird eine s.g. Zero-Day-Lücke im Windows-Kernel ausgenutzt. Ein Fehler im Betriebssystem, der nicht öffentlich bekannt ist.
  • Duqu kommuniziert verschlüsselt mit einem Server, von dem er Kommandos erhält und an den er gesammelte Daten abliefert.
  • Der Schädling kann weitere Programm Module nachladen und ist damit beliebig in seiner Funktion erweiterbar.
  • Der Spion wartet nach dem Start erst einmal eine Weile (ca. 15 Minuten) ab und beginnt erst dann mit seinen Spionageaktivitäten.
  • Nach etwa 35 Tagen oder einem entsprechenden Kommando, deaktiviert sich Duqu und entfernt sich rückstandsfrei vom System.
  • Duqu ist digital signiert und zwar mit einem gültigen Zertifikat aus Taiwan. Anscheinend wurde der private Schlüssel des Zertifikates bei einem in Taipeh ansässigen Unternehmen gestohlen.
  • Über eine Funktion, die sich an Netzwerkfreigaben hängt, kann Duqu auch Rechner infizieren, die nicht direkt an das Internet angeschlossen sind.
  • Der Treiber hat eine verschlüsselte DLL an Bord, die er erst entschlüsselt und dann in verschiedene Prozesse injiziert.
  • WOW und Pfui…

Der Wurm kam mit Word *

Einen Fehler in Word ausnutzend, gelangte Duqu im Schlepptau manipulierter Word-Dateien auf die Rechner. Immer wieder gelingt es Schädlingen, sich über Fehler in Anwendungsprogrammen Zugang zu einem Rechner zu verschaffen. Hier geht es nicht darum, mit dem Finger auf andere zu zeigen, sondern darum, einfach darzustellen, dass es im Prinzip keinen 100% Schutz vor einem Schädling gibt. Anwendungen sind derart komplex, dass sie immer Fehler enthalten werden, die man entsprechen ausnutzen kann. Microsoft ist hier auf keinen Fall schlechter als andere. Andere sind jedoch meist etwas uninteressanter für die Schädlingsautoren. Je verbreiteter ein Programm bzw. ein System ist, desto mehr werden sich solche Spionageaktivitäten auch dagegen richten. Ich kann mich noch gut daran erinnern, wie sehr Firefox am Anfang wegen seiner Sicherheit gepriesen wurde. Toller Browser, keine Frage! Aber auch sicherer als sein Microsoft Mitbewerber? Und wie denken Sie, funktioniert ein Jailbreak auf Ihrem iPhone oder iPad? Richtig…

<IRONIE>
Oder versucht Firefox inzwischen seinem Schicksal durch stündlichen Wechsel seiner Versionsnummer die Schreiber von Trojanern und Viren in den Wahnsinn zu treiben? 😉

Und noch etwas – Was Ihnen als Leser des Blogs sicher auch in den Sinn kommt. Vielleicht sollten unsere Ermittlungsbehörden ja mal in diese Richtung Ihre Fühler ausstrecken um für weniger Geld einen besseren Bundestrojaner zu bekommen…</IRONIE>

Quelle: heise online – Duqu nutzt bislang unbekannte Lücke im Windows-Kernel.

Das könnte Dich auch interessieren...

2 Antworten

  1. Awesome Olaf sagt:

    Gibt es da inzwischen entsprechende Gegenmittel, oder hilft nur noch Stöpsel ziehen?

    • blog sagt:

      Hallo Awesom Olaf! Soweit mir bekannt, haben die Hersteller von AV-Software reagiert. Es ist wie so oft: Gefahr erkannt, Gefahr gebannt!
      Als Privatnutzer braucht man vor diesem Trojaner aber keine Angst zu haben. Hier war nur die Industrie Ziel.
      Im Prinzip hilft aber generell nur „Stöpsel ziehen“. Aber zu welchem Preis? Sie verzichten ja auch nicht auf’s Autofahren, nur weil Sie potentiell bei jeder Fahrt einen Unfall haben könnten. Drum merke: 100%ige gibt es nicht und 99%ige Sicherheit hat einen zu hohen Preis 😉

      Gruß

      Amazing Patric :-))

Zum Angang...