大东话安全之“核”——Duqu2.0

2018 年 3 月 12 日 中科院之声 大东

编者按：网络空间安全近年来日渐成为公众关注的焦点，中科院之声特意邀请业内专家“大东”开设“大东话安全”专栏，以《安天威胁通缉令2016扑克牌》为线索，一张扑克牌对应一个网络病毒，讲述54个不同的网络病毒和网络安全故事，以及如何进行针对性防御的建议。

一、开场小剧场

杜牧曰：江东子弟多才俊，卷土重来未可知。

大东说：来一次打一次，看你还敢来，哼~~

小白：哈哈，打得好~~

二、病毒通缉令

小白：牌上的这玩意儿长得好像《怪兽大学》里独眼怪的亲戚，浑身触角，爱耍杂技，就是水平不高，搞坏几个显示器了都。

大东：这东西恐怕没有独眼怪可爱，它是 Duqu2.0。

小白：还是英文名，欺负我读书少哼，大东东还是你来讲讲。

大东：Duqu2.0是2011年 Duqu 恶意代码的升级版，被用于攻击卡巴斯基实验室的内部系统，旨在窃取该公司知识产权、捕获和分析 APT 时间的专有技术和数据等。此外，该恶意软件还被用在2014年伊核六方会谈的攻击行动中。

小白：没想到这小东西本事还挺大！

大东：别急，还远不止这些呢。

三、究极进化

小白：Duqu2.0是个什么东东呀，又是个很厉害的病毒吗？

大东：别急，别急嘛，听我给你娓娓道来哈。你知道俄罗斯卡巴斯基实验室吗？

小白：开玩笑，这个我怎么可能不知道，就是做各种杀病毒软件牛哄哄的那个公司。

卡巴斯基实验室

大东：Bingo！卡巴斯基发布消息承认在今年早些时候的安全检查中，一款新的原型反 APT（高级持续性威胁）系统发现公司内部系统被非常高明的攻击入侵，有多高明？据卡巴斯基称此次攻击的开发成本估计高达5000万美元（哇，5000万呢，还都是美刀，我要是有这么多钱才不要去研究什么病毒呢，真是脑壳上长了个包有木有~~）。

小白：就是说嘛，要我就去环游世界，世界那么大我想去看看，哈哈哈哈~~

大东：咳咳~~扎心了，我们还是回到正题上。在详细的技术报告与 FAQ 里，卡巴斯基称这一攻击的理念与思路比之前的 APT（包括2月份发现的 Equation）要领先一代，并明确指认幕后黑手就是2011年名噪一时的 Duqu 背后组织。因此，卡巴斯基将此次攻击命名为 Duqu2.0。Duqu2.0是现今为止最为复杂的蠕虫，广泛应用于各种 APT 攻击事件中。技术分析显示，攻击的目标是卡巴斯基的知识产权（技术、研究和内部流程），而不是其用户数据，也没有盈利企图。

小白：哇，真的是不怕坏人有脑子，就怕有脑子的都去当坏人了，蓝瘦o(╥﹏╥)o。那这个这么厉害的病毒是怎么发起他的攻击的呢？

大东：针对卡巴斯基实验室的初始攻击，以亚太区的一个较小规模分支机构的某个员工为目标。Duqu 2.0的初始感染向量目前未知，但是我们怀疑基于电子邮件的鱼叉式钓鱼攻击手段发挥了重要作用。这是因为其中一个“零号病人”（第一批感染源）的邮箱和网络浏览器的记录被清除了，推测其目的是隐藏攻击痕迹。鉴于相关的各台机器都打了完整的安全补丁，我们相信攻击者使用了一个0 day漏洞完成初始攻击。嘿嘿，是不是听着有点晕呀，给你看一张框架性概念图，看看能不能帮助你理解呢~~

框架性概念图

小白：哎呀，现在的这个世界上病毒多得要死，这个 Duqu2.0病毒有没有什么他自己的特点呀？

大东：Duqu2.0最大的特点是恶意代码只驻留在被感染机器的内存里，硬盘里不留痕迹，某台机器重启时恶意代码会被短暂清洗，但只要它还会连上内部网络，恶意代码就会从另一台感染机器传过来，进而造成一连串的连锁反应，从而盗取目标系统中的信息。

小白：天呐，那都有哪些可怜的受害者遭受到了攻击？

大东：因吹斯挺(*^▽^*)，问的好呀！Duqu 2.0的受害者遍布世界各地，包括西方国家、中东和亚洲地区。攻击作业者出于提高网络能力的目的，不仅攻击了直接针对的最终目标对象，还攻击了对实现其目的有价值的“功利目标对象”。最值得注意的是，在2014年至2015年的时间段内，恶意代码的一部分新感染对象涉及伊核六方会谈，以及伊核六方会谈的一些场所。

小白：如此流B！

大东：Duqu 背后的威胁源似乎倾向于对涉及此类高层次会谈的场所发动攻击。除了伊核六方会谈，Duqu 2.0组织还针对奥斯维辛-比克瑙集中营解放70周年的纪念活动发动了类似攻击。此外， Duqu 2.0还对工业领域发动了攻击，感染了工业控制系统和工业计算机系统行业的若干公司。