Хакери взяли на озброєння невідому мову програмування

admin Новини ІТ-безпеки

Хакери взяли на озброєння невідому мову програмуванняЕксперти «Лабораторії Касперського», які аналізували код небезпечного трояна Duqu, прийшли до дуже несподіваних висновків.

Duqu, повідомлення про підвищену активність якого з'явилися в жовтні 2011-го, має разючу подібність з гучною хробаком Stuxnet.

Головне завдання Duqu - збір конфіденційних даних про наявне на підприємстві обладнанні та системи, використовувані для управління виробничим циклом. Це може бути будь-яка інформація, яка стане в нагоді при організації нападу: скріншоти, логи з клавіатури, список запущених процесів, дані облікових записів користувачів і пр.

Одне з найважливіших невирішених питань, пов'язаних з Duqu, полягає в тому, як ця троянська програма обмінюється інформацією зі своїми командними серверами після зараження комп'ютера-жертви. Експерти прийшли до висновку, що модуль Duqu, що відповідає за комунікацію, є частиною його бібліотеки з основним кодом (Payload DLL).

На перший погляд, відзначає «Лабораторія Касперського», Payload DLL виглядає як звичайна завантажувана бібліотека формату Windows PE, скомпільована Microsoft Visual Studio 2008 (версія компонувальника - 9.0). Однак при детальному вивченні бібліотеки фахівці виявили, що частина її коду, що відповідає за взаємодію з командним сервером, написана на невідомій мові програмування.

Дивна ділянка названа дослідниками «фреймворком Duqu». Фахівці прийшли до висновку, що застосована вірусомейкерами мова є об'єктно орієнтованою і оптимально підходить для створення мережевих додатків. Можливо, автори використовували власні засоби розробки для генерації проміжного коду на C - або застосовували зовсім іншу мову програмування.

«Мова, використана в «Фреймворк Duqu», високоспеціалізована, - пише «Лабораторія Касперського». - Вона дозволяє Payload DLL працювати незалежно від інших модулів Duqu і забезпечує підключення до виділеного командному серверу кількома способами, в тому числі через Windows HTTP, мережеві сокети і проксі-сервери. Крім того, вона дозволяє бібліотеці обробляти прямі HTTP-запити від командного сервера, непомітно пересилає копії украдених даних із зараженої машини на командний сервер і навіть може доставляти додаткові шкідливі модулі на інші комп'ютери в складі мережі, тобто створює можливість контрольовано і таємно поширювати зараження на інші комп'ютери ».

Застосування власної мови програмування говорить про високий рівень кваліфікації розробників трояна. «Лабораторія Касперського» звертається до спільноти програмістів з проханням про допомогу у вивченні цієї гранично складної шкідливої ​​розробки.