Duqu

Pada tulisan ini  saya akan coba bahas tentang salah satu malware yang sempat bikin heboh, namanya Duqu. Malware ini sebenarnya kumpulan dari beberapa malware yang ditemukan oleh Laboratorium Cryptography and System Security (CrySyS Lab) dari  Budapest University of Technology and Economics di Hungaria. Malware ini ditemukan bulan september 2011.  Malware ini membuat beberapa file dengan prefix  “~DQ” sehingga malware ini dinamakan Duqu.

Malware ini diduga memiliki kemiripan dengan Stuxnet. Malware ini mampu untuk mengumpulkan informasi penting user, proses pengumpulan ini dijalankan dalam background proses, kernel drivers , sehingga user tidak menyadari ada proses penyadapan. Selain itu malware juga memiliki beberapa alat injeksi. Bagian malware ini diduga ditulis dalam bahasa pemograman tingkat tinggi yang belum dikenal, kemudian dinakan Duqu Framework. Bahasa ini berbeda dengan  C++, Python, Ada dan Lua. Ada juga yang menduga malware ditulis dalam bahasa Object Oriented C (OO C) dan di compile dengan Microsoft Visual Studio 2008.

Malware memanfaatkan celah keamanan pada Windows, diantaranya permasalahan zero-day exploit TTF parsing engine  yang terkait dengan win32k.sys. Malware ini memiliki kemampuan berkomunikasi dengan sebuah server C&C (Command and Control). Hasil analisa lanjutan dari symantec menyimpulkan bahwa pembuat malware ini diduga sama dengan pembuat Stuxnet, atau paling tidak memiliki akses terhadap source code Stuxnet. Server C&C yang digunakan dideteksi berada di Jerman, Belgia, Filipin India dan Cina. Server C&C  yang digunakan berbasis CentOS

duqu
duqu – from trendmicro

Beberapa bahan bacaan lanjutan bisa dilihat disini:

http://www.crysys.hu/in-the-press.html

http://securelist.com/blog/incidents/31863/the-mystery-of-duqu-part-six-the-command-and-control-servers-36/

http://www.crysys.hu/publications/files/bencsathPBF11duqu.pdf

http://spectrum.ieee.org/podcast/telecom/security/sons-of-stuxnet

http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_duqu_the_precursor_to_the_next_stuxnet_research.pdf

One thought on “Duqu”

Silahkan tuliskan tanggapan, kritik maupun saran

This site uses Akismet to reduce spam. Learn how your comment data is processed.