Sicherheit

Unbekannte Programmiersprache in Duqu-Trojaner entdeckt

Donnerstag, 08.03.2012 | 14:38 von Hans-Christian Dirscherl
Unbekannte Programmiersprache in Duqu-Trojaner entdeckt
Vergrößern Unbekannte Programmiersprache in Duqu-Trojaner entdeckt
© Kaspersky Lab
Experten von Kaspersky Lab berichten, dass Teile des Trojaners Duqu in einer bislang unbekannten Programmiersprache geschrieben wurden. Der Trojaner Duqu stammt aus derselben Programmierfeder, wie der berühmt-berüchtigte Stuxnet-Wurm.
Duqus Hauptaufgabe besteht darin, eine Backdoor in ein System einzuschleusen und damit den Diebstahl sensibler Informationen zu ermöglichen. Duqu kommunizierte mit seinem Command-and-Control-Server (C&C), sobald er eine Opfermaschine infiziert hatte. Das für die Interaktion mit dem C&C verantwortliche Modul von Duqu ist Teil seiner Payload-DLL. Kaspersky-Experten konnten nun nach eingehender Analyse der Payload­-DLL feststellen, dass der Kommunikationsteil in einer bislang unbekannten Programmiersprache verfasst war. Sie nannten diesen unbekannten Bereich „Duqu Framework“.

Im Gegensatz zu allen anderen Bereichen ist das Duqu-Framework nicht in C++ geschrieben und nicht mit Visual C++ 2008 von Microsoft kompiliert worden. Es ist möglich, dass die Autoren ein selbst erstelltes Framework genutzt haben, um einen dazwischenliegenden C-Code zu generieren oder sie nutzten eine komplett andere Programmiersprache, wie Kaspersky berichtet. Die Kaspersky-Analysen hätten jedenfalls ergeben, dass die Sprache objektorientiert ist und mit einem eigenen Set an relevanten Aktivitäten arbeitet, die für Netzwerkapplikationen geeignet sind.

Die Sprache im Duqu-Framework sei hoch spezialisiert. Es ermöglicht der Payload-DLL, unabhängig von anderen Duqu-Modulen zu arbeiten und verbindet sich mit seinem C&C-Server über mehrere Wege inklusive Windows HTTP, Netzwerk und Proxy-Server. Darüber hinaus kann die DDL HTTP-Serveranfragen vom C&C und auch zusätzliche schädliche Payloads von anderen Maschinen im Netzwerk verbreiten, die eine kontrollierte und diskrete Form von Infektionen ermöglicht. So weit die technischen Ausführungen von Kaspersky Lab.

„Gemessen an der Größe des Duqu-Projekts könnte ein komplett eigenes Team für die Erstellung des Duqu-Frameworks sowie dedizierte Teams für die Erstellung der Treiber und der Systeminfektions-Exploits verantwortlich gewesen sein”, sagt Alexander Gostev, Chief Security Expert bei Kaspersky Lab. „Die außergewöhnlich hohe Anpassung und Exklusivität, mit der die Programmiersprache entwickelt wurde, deutet darauf hin, dass man nicht nur die Spionageoperationen und die Interaktion mit den C&Cs für Außenstehende verschleiern, sondern auch andere interne Duqu-Teams separieren wollte, die für das Schreiben von zusätzlichen Teilen des Schadprogramms verantwortlich waren.”

Laut Alexander Gostev zeigt die Erstellung einer eigenen Programmiersprache, wie professionell die Entwickler waren und dass signifikante finanzielle und labortechnische Ressourcen bei diesem Projekt zur Verfügung standen.

Donnerstag, 08.03.2012 | 14:38 von Hans-Christian Dirscherl
Kommentieren Kommentare zu diesem Artikel (0)
1385213