Pada tulisan ini saya akan coba bahas tentang salah satu malware yang sempat bikin heboh, namanya Duqu. Malware ini sebenarnya kumpulan dari beberapa malware yang ditemukan oleh Laboratorium Cryptography and System Security (CrySyS Lab) dari Budapest University of Technology and Economics di Hungaria. Malware ini ditemukan bulan september 2011. Malware ini membuat beberapa file dengan prefix “~DQ” sehingga malware ini dinamakan Duqu.
Malware ini diduga memiliki kemiripan dengan Stuxnet. Malware ini mampu untuk mengumpulkan informasi penting user, proses pengumpulan ini dijalankan dalam background proses, kernel drivers , sehingga user tidak menyadari ada proses penyadapan. Selain itu malware juga memiliki beberapa alat injeksi. Bagian malware ini diduga ditulis dalam bahasa pemograman tingkat tinggi yang belum dikenal, kemudian dinakan Duqu Framework. Bahasa ini berbeda dengan C++, Python, Ada dan Lua. Ada juga yang menduga malware ditulis dalam bahasa Object Oriented C (OO C) dan di compile dengan Microsoft Visual Studio 2008.
Malware memanfaatkan celah keamanan pada Windows, diantaranya permasalahan zero-day exploit TTF parsing engine yang terkait dengan win32k.sys. Malware ini memiliki kemampuan berkomunikasi dengan sebuah server C&C (Command and Control). Hasil analisa lanjutan dari symantec menyimpulkan bahwa pembuat malware ini diduga sama dengan pembuat Stuxnet, atau paling tidak memiliki akses terhadap source code Stuxnet. Server C&C yang digunakan dideteksi berada di Jerman, Belgia, Filipin India dan Cina. Server C&C yang digunakan berbasis CentOS
Beberapa bahan bacaan lanjutan bisa dilihat disini:
http://www.crysys.hu/in-the-press.html
http://www.crysys.hu/publications/files/bencsathPBF11duqu.pdf
http://spectrum.ieee.org/podcast/telecom/security/sons-of-stuxnet
Satu tanggapan untuk “Duqu”
[…] Peneliti malware dari Symantec baru saja mengumumkan hasil analisa terhadap sebuah malware yang canggih, yang dinamakan Regin. Malware ini sebenarnya telah terdeteksi sejak tahun 2008, tapi memiliki sistem perlindungan yang handal sehingga baru dapat dipahami saat ini cara kerjanya. Diantaranya malware ini memiliki sistem enkripsi berlapis . Malware yang sangat complex ini, diduga digunakan untuk proses intelijen diantaranya mengumpulkan data dalam jumlah besar. Kompleksitas malware ini dapat dibandingkan dengan malware Stuxnet dan Duqu […]