Kaspersky Lab a identificat limbajul de programare din troianul Duqu

Kaspersky Lab a făcut un apel la comunitatea programatorilor din întreaga lume, cu scopul de a ajuta la rezolvarea unuia dintre cele mai mari mistere care înconjurau troianul Duqu: identificarea unui sector de cod necunoscut din structura componentei Payload DLL. Secţiunea de cod necunoscută, numită „Infrastructura Duqu”, reprezenta o parte din Payload DLL, responsabilă cu procesul de comunicare dintre troian şi serverele de comandă şi control (C&C) ale infractorilor, iniţiat imediat ce acesta infecta un sistem.

În urma unui feedback consistent din partea comunităţii de programatori, experţii Kaspersky Lab au concluzionat că infrastructura Duqu este compilată în limbajul de programare „C”, cu ajutorul Microsoft Visual Studio 2008 şi a unor opţiuni speciale pentru optimizarea mărimii codului şi a dimensiunii liniilor. De asemenea, codul a fost scris folosind o extensie personalizată pentru combinarea programării de tip „object-oriented” cu limbajul C, denumită adesea „OO C”.

Acest tip de programare „in-house” este foarte sofisticată şi cel mai adesea se regăseşte în proiecte software complexe, dezvoltate în scop personal, şi mai puţin în malware-ul contemporan.

Deşi nu există o explicaţie simplă pentru care limbajul OO C a fost utilizat în locul C++ în infrastructura Duqu, au fost identificate două cauze care ar putea sta la baza acestei decizii:

• Mai mult control asupra codului: când limbajul C++ a fost lansat, mulţi programatori de modă veche au ales să nu îl folosească, datorită neîncrederii date de utilizarea memoriei sistemului, precum şi din cauza unor opţiuni care cauzau execuţia indirectă de cod. OO C oferă o infrastructură mai sigură, fără semne de comportament neaşteptat
• Portabilitate foarte mare: în urmă cu 10 – 12 ani, C++ nu era complet standardizat, fiind dificilă compilarea lui pe mai multe platforme de operare (Windows, Linux, Mac). Folosind limbajul C, programatorii beneficiază de portabilitate foarte mare, având posibilitatea de a ataca orice platformă existentă, oricând, fără limitele impuse de C++.

„Aceste două motive indică faptul că acest cod a fost scris de o echipă de programatori de modă veche, care au vrut să creeze o infrastructură personalizată, pentru a susţine o platformă de atac flexibilă şi adaptabilă”, spune Igor Soumenkov, Malware Expert la Kaspersky Lab. „Codul ar fi putut fi refolosit în urma unor operaţiuni cibernetice şi personalizat pentru a se integra în troianul Duqu. Cu toate aceste, un lucru este sigur: astfel de tehnici sunt întâlnite numai în rândul elitei dezvoltatorilor de software şi aproape nicăieri în peisajul malware al zilelor noastre”, încheie acesta.

Kaspersky Lab doreşte să mulţumească tuturor celor care au contribuit la descoperirile făcute în analiza troianului Duqu. Pentru a citi întreaga analiză realizată de Igor Soumenkov, vă rugăm să accesaţi:

http://www.securelist.com/en/blog/677/The_mystery_of_Duqu_Framework_solved.

Analiza include detaliile tehnice ale infrastructurii, metodele de identificare, precum şi comentariile primite de Kaspersky Lab, care au contribuit la rezolvarea puzzle-ului.