Duqu installatör mer än bara zero day i Windows

De senaste dagarna har nyhetsflödet kring Duqu fått en nytändning i och med att även installationsprogrammet hittats. Duqu levererades via ett Word-dokument som var tydligt skräddarsytt för exakt den organisationen som drabbades, och använde sig av en 0-day sårbarhet i Windowskärnans TrueType fontparsning.Symantec levererade ett blogginlägg som mer ingående beskrev hur installationen gick till.

Bäst rapportering i övrigt har F-Secure i sin Duqu Q&A, men jag upplever att man ändå har missat en aspekt som jag själv tycker är väldigt intressant. Visst, användandet av en 0-day sårbarhet i Windowskärnan är klart anmärkningsvärd, och sammantaget med det väldigt fåtalet organisationer som har bekräftats drabbade gör att det inte finns något rimligt tvivel om att en nation ligger bakom Duqu. Men det är några andra saker som Symantec skrev om som jag anser förtjänar lite extra uppmärksamhet.

1. Exploiten skulle bara installera Duqu under en 8-dagars period. Skulle man därefter försöka analysera dokumentet med diverse metoder (Virtuella maskiner, Minnesallokeringar, etc.) skulle man inte hitta ett smack! Det är i min bok mycket anmärkningsvärt och det första publika exemplet av sitt slag.
2. Duqu skulle inte nödvändigtvis kommunicera med en C&C server ute på Internet. Flera installationer konfigurerades att kommunicera med en servern intern på nätverket. Även detta är mig veterligen ett första publikt exempel.
3. Duqu skulle avinstallera sig själv efter 30 dagar, såvida inte C&C servern sa till den något annat. Om mitt minne servar mig korrekt så var Stuxnet uppsatt likadan.

Sammantaget visar det på att Duqu designades för att vara "stealth" utöver det vanliga. Man skulle in, samla informationen, sedan ut igen, och det var väsentligt att ingen upptäckte det. Ändå upptäcktes den, och exakt hur det gick till lär det dröja innan vi får veta. Tummen upp för ännu ett klockrent exempel på vad statsaktörer håller på med på området!