前面我們已經描述過的Duqu2.0實現原理，但是并沒有介紹它具有的”可持續性”機制——這可能讓用戶得出結論：在所有被感染的機器除去惡意軟件就像重啟那樣簡單。然而，事情的真相其實更為復雜。

技術剖析

攻擊者創建了一個不尋常的持續性模塊(他們將其部署在‘已淪陷’的網絡服務器上)。它服務一double函數—支持一種C&C通信方案。該organization-level 的持續性是由一驅動程序(被作為一正常的系統服務安裝)實現的。在64位系統上，需要嚴格的Authenticode電子簽名。我們已經了解到兩種類似的可持續性驅動被部署于該攻擊過程中。

在防火墻，網關，或任意其它服務器(在一端直接接入網絡，并在其它端接入公共網絡)上安裝這些惡意驅動程序。通過使用它們，它們可以在某個時刻實現多個目的：訪問內部網絡基礎設施，避開日志記錄并保持一種持續存在的形式。

在本質上，驅動重定向網絡流量并從網關機(運行它)中進行該操作。為了轉發連接，攻擊者首先不得不通過使用一種秘密關鍵字來傳遞基于網絡的“knocking”。到目前為止我們已經從收集的樣本中看到兩個不同的秘密關鍵字：“romanian.antihacker” 和“ugly.gorilla”。

我們已在我們的Whitepaper中描述過這些關于Duqu2.0的驅動 (見 “The ”portserv.sys” driver analysis” 部分).接下來回顧一些重要細節。驅動程序監聽網絡并尋找特殊的秘密關鍵字(在那個案例中是“romanian.antihacker” )。在那之后，它保存主機(已傳遞正確秘密關鍵字)的IP，并開始將所有報文從443端口重定向到那臺服務器的445(SMB)或3389(Remote Desktop)。

這方法有效地讓攻擊者可以打開SMB隧道(遠程訪問文件系統)并通過網關服務器使用Remote Desktop，雖然它看起來像是HTTPS流量(端口443)。

我們已探索到“romanian.antihacker”驅動所做的另一類似工作，這里使用更一般的方法建立的更多的連接：

1.    如果驅動識別到秘密關鍵字是“ugly.gorilla1”那么所有來自攻擊者的IP流量將從433（HTTPS）被重定向到445（SMB）。
2.    如果驅動識別到秘密關鍵字是“ugly.gorilla2” 那么所有來自攻擊者的IP流量將從433（HTTPS）被重定向到3389 (RDP)。
3.    如果驅動識別到秘密關鍵字是“ugly.gorilla3” 那么所有來自攻擊者的IP流量將從433（HTTPS）被重定向到135 (RPC)。
4.    如果驅動識別到秘密關鍵字是“ugly.gorilla4” 那么所有來自攻擊者的IP流量將從433（HTTPS）被重定向到139 (NETBIOS)。
5.    如果驅動識別到秘密關鍵字是“ugly.gorilla5” 那么所有來自攻擊者的IP流量將從1723 （PPTP）被重定向到445 (SMB)。
6.    如果驅動識別到秘密關鍵字是“ugly.gorilla6” 那么所有來自攻擊者的IP流量將從433（HTTPS）被重定向到47012 (currently unknown)。

我們想指出一個看起來相當可疑的端口：47012。到目前為止，我們并沒有看到過任何其他的Duqu2.0組件使用該端口，也沒有發現過任意其它的一般惡意軟件，后門，或合法軟件使用該端口(根據SANS的報告顯示)。然而，考慮到該端口號是被硬編碼進惡意軟件的，這對于Duqu2.0來說可能是一個很棒的指示標記，用該指示標記指出‘被攻陷’的目標。

惡意軟件部分帶有秘密關鍵字

該64位驅動含有位于其內部的DLL，名為“termport.sys”,雖然該文件名在文件系統中被稱為“portserv.sys”。

這似乎意味著攻擊者會因不同的操作而改變文件名并且如果只是檢測該攻擊也并不能單獨依賴于文件名。編譯時間戳是偽造的：“Jul 23 18:14:28 2004”。

所有已發現的驅動文件位于“C:\Windows\System32\drivers\”。

也許在該攻擊策略中最重要的部分是用于64位驅動的電子簽名。因為在64位Windows系統上，強制要求驅動應持有一有效的電子簽名。

已標注為“HON HAI PRECISION INDUSTRY CO. LTD.” (即是眾所周知的“Foxconn Technology Group”, 世界上最大的電子制造商之一)。

攻擊者使用的驅動的電子簽名

根據驅動信息可看出它在 2015年2月19日20:31完成簽名。以下是由SysInternal的sigcheck 公用程序提供的細節：

Verified:              Signed
 Signing date:   20:31 19.02.2015
 Publisher:            HON HAI PRECISION INDUSTRY CO. LTD.
 Description:        Port Optimizer for Terminal Server
 Product:               Microsoft Windows Operating System
 Prod version:   6.1.7601
 File version:   6.1.7601 built by: WinDDK
 MachineType:   64-bit
 MD5:     92E724291056A5E30ECA038EE637A23F
 SHA1:   478C076749BEF74EAF9BED4AF917AEE228620B23
 PESHA1: F8457AFBD6967FFAE71A72AA44BC3C3A134103D8
 PE256:  2891059613156734067A1EF52C01731A1BCFB9C50E817F3CA813C19114BFA556
 SHA256:  BC4AE56434B45818F57724F4CD19354A13E5964FD097D1933A30E2E31C9BDFA5

根據Wikipedia上的說法, “Foxconn Technology Group”是世界上最大的電子承包商，其總部位于臺灣新北市土城區。

Foxconn的主要顧客包括或已包括一些世界上最大的企業：

·         Acer Inc.
·         Amazon.com
·         Apple Inc.
·         BlackBerry Ltd.
·         Cisco
·         Dell
·         Google
·         Hewlett-Packard
·         Huawei
·         Microsoft
·         Motorola Mobility
·         Nintendo
·         Nokia
·         Sony
·         Toshiba
·         Xiaomi
·         Vizio

富士康制造了多個流行的產品，包括 BlackBerry, iPad, iPhone, Kindle, PlayStation 4, Xbox One and Wii U。

在2013年二月，制造商使用同一證書對多數用于Dell laptops的WatchDog Timer Kernel drivers (WDTKernel.sys)進行簽名。

總結

之前，在我們對Stuxnet和Duqu的研究期間，已觀察到惡意軟件(使用Jmicron和Realtek證書)被簽名的現象。竊取電子證書并對惡意軟件簽名似乎是Duqu攻擊者慣用的技巧。我們沒有確認這些供應商哪些已被受害，但是我們已指出Duqu攻擊者感興趣的是硬件制造商如Foxconn, Realtek和 Jmicron。我們也觀察到感染現象與硬件制造商(如APAC，包括ICS和SCADA計算機設備制造商)相關聯，這已在2014年/2015年的攻擊案例中得到了證實。

除了這些Duqu驅動之外，另一個有趣的現象是我們并沒有發現用相同證書簽名的任意其他惡意軟件。

這排除了證書被泄露的可能性且它已被多個小組使用。看起來似乎指明了Duqu攻擊者們只是一個群體(有這些證書的訪問權)，從而證實了他們黑掉硬件制造商的目的是得到這些證書。

最后，有趣的事是，Duqu攻擊者并沒有在兩次的攻擊中使用同一證書。這是我們從2011年和2015年中了解到的關于Duqu的情報。如果確實如此，則意味著攻擊者可能從其它制造商中竊取電子證書以在針對下一攻擊目標時使用。這將是一個極需要注意的問題，因為該問題可能讓我們不再輕易相信電子證書的安全性。

Verisign 和 HON HAI都已報告了關于Duqu2.0惡意軟件中使用的證書信息。

IOC

樣本MD5 (portserv.sys):

92e724291056a5e30eca038ee637a23f

Duqu攻擊者使用的Foxconn證書的序列號：

‎25 65 41 e2 04 61 90 33 f8 b0 9f 9e b7 c8 8e f8

惡意驅動使用的完整證書憑據：

—–BEGIN CERTIFICATE—– 
 MIIFmTCCBIGgAwIBAgIQJWVB4gRhkDP4sJ+et8iO+DANBgkqhkiG9w0BAQUFADCB 
 tDELMAkGA1UEBhMCVVMxFzAVBgNVBAoTDlZlcmlTaWduLCBJbmMuMR8wHQYDVQQL 
 ExZWZXJpU2lnbiBUcnVzdCBOZXR3b3JrMTswOQYDVQQLEzJUZXJtcyBvZiB1c2Ug 
 YXQgaHR0cHM6Ly93d3cudmVyaXNpZ24uY29tL3JwYSAoYykxMDEuMCwGA1UEAxMl 
 VmVyaVNpZ24gQ2xhc3MgMyBDb2RlIFNpZ25pbmcgMjAxMCBDQTAeFw0xMjA4MjUw 
 MDAwMDBaFw0xNTA4MjUyMzU5NTlaMIHcMQswCQYDVQQGEwJUVzEPMA0GA1UECBMG 
 VEFJV0FOMREwDwYDVQQHEwhUVS1DSEVORzEsMCoGA1UEChQjSE9OIEhBSSBQUkVD 
 SVNJT04gSU5EVVNUUlkgQ08uIExURC4xPjA8BgNVBAsTNURpZ2l0YWwgSUQgQ2xh 
 c3MgMyAtIE1pY3Jvc29mdCBTb2Z0d2FyZSBWYWxpZGF0aW9uIHYyMQ0wCwYDVQQL 
 FARQQ0VHMSwwKgYDVQQDFCNIT04gSEFJIFBSRUNJU0lPTiBJTkRVU1RSWSBDTy4g 
 TFRELjCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBALzM40T355R4ov9F 
 OcwiBpBwRk5047T5PxoabBPGyhqjqVyTJ3vxYWunUsGJpq2myS7uPmDkPXc+qExE 
 SRBIgruiGpazeqXsP7EfEr8BRU4iVvKmD//m5uZvqEAsz6FzJ/PMlfiZponm5PLa 
 hcIM9AtqdhqDek7taoAaPUbYjY2wgan8+jaNWo0BzmvimN74AC5N0aZgTFBvIRux 
 Ev2EO1x4Ypz3UqFwMTHHdexJqM19W20mmbpjGfoxkfl4yUuUg5O4tdgTbZVF9mui 
 rWpVCuGcB1iUpUxTCoidGfx1ROkzYgLV7XLt50Iir0btqM4tshG4GJUhAX+rEy+r 
 sr5gFnUCAwEAAaOCAXswggF3MAkGA1UdEwQCMAAwDgYDVR0PAQH/BAQDAgeAMEAG 
 A1UdHwQ5MDcwNaAzoDGGL2h0dHA6Ly9jc2MzLTIwMTAtY3JsLnZlcmlzaWduLmNv 
 bS9DU0MzLTIwMTAuY3JsMEQGA1UdIAQ9MDswOQYLYIZIAYb4RQEHFwMwKjAoBggr 
 BgEFBQcCARYcaHR0cHM6Ly93d3cudmVyaXNpZ24uY29tL3JwYTATBgNVHSUEDDAK 
 BggrBgEFBQcDAzBxBggrBgEFBQcBAQRlMGMwJAYIKwYBBQUHMAGGGGh0dHA6Ly9v 
 Y3NwLnZlcmlzaWduLmNvbTA7BggrBgEFBQcwAoYvaHR0cDovL2NzYzMtMjAxMC1h 
 aWEudmVyaXNpZ24uY29tL0NTQzMtMjAxMC5jZXIwHwYDVR0jBBgwFoAUz5mp6nsm 
 9EvJjo/X8AUm7+PSp50wEQYJYIZIAYb4QgEBBAQDAgQQMBYGCisGAQQBgjcCARsE 
 CDAGAQEAAQH/MA0GCSqGSIb3DQEBBQUAA4IBAQA9niTkOi3raLWjtQBJK3br8RDS 
 X+6NtHj/OhSuFzVsJcmhvaf4DIhJ00ghScXcZZycod/7kYN9NBIrTMqlB5GsOuWI 
 /TPk9HoIvEoVEoliuEBwDiHbIidaLKcS3sPqgV0WNx46JYmCI/++KMCZ7zfDSlZb 
 213OpauHuQj7tUIKGlEKq7qIvGaR+EUcxpgVR/AxuxTtjUWaSItCM2vMGKUMDNXH 
 rN+2IYeHsnMqe68RoIRLlq3BPQkA+JcpjjV2Td5Q4Y2xj7E558EQ4utYduwCv+kq 
 OQgeV4KumDaoN9Y7+e79jWzoIkKM4IxQ8u1jfxGuG35l9k7seksYOwdM1dN5 
 —–END CERTIFICATE—–