Kaspersky baru saja melaporkan penemuan varian baru dari Malware Duqu. Malware Duqu merupakan salah satu legenda dalam dunia APT. Malware yang dikenal tahun 2011 ini sangat canggih, diduga dikembangkan oleh sebuah kelompok intelligen dan digunakan untuk spionase. Hanya saja sejak 2012 aktifitas malware Duqu menghilang. Nah lucunya ketika awal tahun ini Kaspersky melakukan pemeriksaan rutin terhadap sistem internal mereka, mereka menemukan sistem mereka terinfeksi sebuah malware baru. Setelah diteliti ternyata malware ini memiliki kesamaan dengan Duqu, sehingga dinamakan malware Duqu 2.0 .
Hasil analisa Kaspersky menemukan malware ini mengeksploitasi celah keamanan zero-day CVE-2015-2360 pada windows kernel. Selain itu ada 2 celah keamanan zero-day lainnya yang belum dipastikan. Asal infeksi malware ini diduga dari spear-phishing email. Temuan lainnya adalah adanya kemampuan mengeksploitasi celah keamanan zero-day pada Kerberos.
Malware ini mampu mendeteksi adanya aplikasi antivirus, seperti Kaspersky dll. Tidak hanya mendeteksi malware mampu bersembunyi dari deteksi antivirus tersebut. Kemampuan lainnya adalah malware memiliki sistem anti-sniffer dan kode untuk melakukan injeksi paket. Untuk mempersulit proses deteksi malware dirancang untuk bersembunyi di dalam RAM. Malware ini berusaha untuk tidak membuat perubahan pada Harddisk. Untuk menyembunyikan komunikasinya dengan server C&C malware memasukkan kode dalam pixel sebuah gambar.
Malware Duqu 2.0 merupakan pengembangan yang canggih dari malware Duqu. Beberapa bagian inti malware ini masih sama, bagian kode C&C-nya juga sama, dan ditemukan juga beberapa bagian yang menggunakan bahasa pemrograman Object Oriented C. Walaupun begitu ditemukan juga beberapa bagian yang menggunakan bahasa C++. Kompiler yang digunakan pada Duqu 2.0 menggunakan versi yang terbaru. Penggunaan kompiler versi terbaru ini menghasilkan penggunaan fungsi code optimizer yang berbeda dibanding versi sebelumnya.
Menurut Kaspersky, pembuat malware Duqu versi 2.0 adalah kelompok yang sama dengan malware Duqu. Pengembang malware ini pastilah mempunyai source code asli Duqu. Diduga pembuat malware akan terus memodifikasi malware ini untuk melakukan penyerangan secara spesifik pada target-target tertentu. Belum diketahui kenapa malware menyerang lab Kaspersky.
Referensi
http://media.kaspersky.com/en/Duqu-2-0-Frequently-Asked-Questions.pdf