近日,信息安全厂商卡巴斯基实验室经过长期跟踪和研究,发现去年引起业界地震的Duqu木马正在使用未知编程语言,并向广大用户发布预警信号。
Duqu是一种复杂的木马,最早于2011年9月被发现,其主要功能是充当系统后门,窃取隐私,它的编写者也创造了臭名昭著的Stuxnet蠕虫。但是,根据卡巴斯基实验室数据,第一款同Duqu有关的恶意软件早在2007年8月就已经出现。此外,卡巴斯基实验室专家还记录到超过十多次同Duqu相关的安全事件,其中大部分受害者都位于伊朗。针对这些受害者所属的组织以及Duqu木马所窃取的信息进行分析,可以很清楚的看到该木马的攻击目的主要是窃取某些应用于特定领域的工业控制系统的相关信息,此外还收集大量伊朗所属组织的商业关系情报。
目前,业界针对Duqu木马最大的疑团是该恶意程序感染计算机后,是如何同命令控制中心(C&C)进行通讯的。Duqu木马用于同C&C通讯的模块是其有效负荷DLL的一部分。对该有效负荷DLL进行全面的分析后,卡巴斯基实验室的研究者发现该DLL中存在一段特定采用一种未知编程语言编写的代码,其唯一功能就是同C&C进行通讯。卡巴斯基实验室的研究人员将这一段未知代码命名为"Duqu架构"。
同Duqu木马的其它组件不同,Duqu架构并不是采用C++编写,也没有使用微软的Visual C++ 2008进行编译,很可能其编写者使用了一种内部架构,生成了媒介C代码,或者他们使用了一种完全不同的编程语言。此外,卡巴斯基实验室研究人员已经确认该语言为面向对象式语言,并且能够自行执行其相关行为,而且适合网络应用的开发。
Duqu架构所使用的语言高度专业化,能够让有效负荷DLL同其它Duqu模块独立,通过多种途径包括Windows HTTP、网络端口和代理服务器同C&C建立连接。还能够让有效负荷DLL直接处理来自C&C的HTTP服务器请求,甚至可以在网络中的其它计算机上传播辅助恶意代码,实现可控制并且隐蔽的感染手段,殃及其它计算机。
卡巴斯基实验室首席安全专家Alexander Gostev分析说:"考虑到Duqu项目的规模,很可能Duqu架构是由一个完全不同的团队负责编写的,这一团队同编写驱动程序和系统漏洞利用程序的团队不同。该恶意软件具有极高的可定制性,并且采用了特有的编程语言编写。很可能这样做的目的是防止其他外部第三方人员了解其网络间谍行为以及同命令控制中心的交互,还能够确保编写Duqu其它组件的团队同样无法了解该恶意软件的详情。"Alexander Gostev认为,这一恶意软件采用了专门的编程语言,充分说明从事这一项目开发的人员所掌握的技术非常卓越。而且要顺利实施开发这一项目,必然需要大量金融和人力资源的支持。
卡巴斯基实验室呼吁广大编程社区加入到分析这一恶意软件的行动中来,如果有人能够识别出这一架构,或者其中所使用的工具或能够生成类似代码结构的编程语言,可联系卡巴斯基实验室的专家。