Difference between revisions of "Duqu"

From Botnets.fr
Jump to navigation Jump to search
m (1 revision imported)
m (Text replacement - "=Unknown" to "=")
 
Line 15: Line 15:
Certains serveurs de commande ont pu être analysés par Kaspersky. Malheureusement ils semblent avoir été nettoyés le '''20 octobre 2011'''. Ils étaient toujours équipés du systèmes d'exploitation Linux CentOS 5.2, 5.4, 5.5, semblant indiquer la maîtrise d'une vulnérabilité 0-day qui pourrait concerner la version 4.3 d'OpenSSH sur cet OS. Leur contrôle remonterait jusqu'à novembre 2009, reculant encore la date du début de l'attaque. Les découvertes de Kaspersky confirment qu'ils servaient de proxy.
Certains serveurs de commande ont pu être analysés par Kaspersky. Malheureusement ils semblent avoir été nettoyés le '''20 octobre 2011'''. Ils étaient toujours équipés du systèmes d'exploitation Linux CentOS 5.2, 5.4, 5.5, semblant indiquer la maîtrise d'une vulnérabilité 0-day qui pourrait concerner la version 4.3 d'OpenSSH sur cet OS. Leur contrôle remonterait jusqu'à novembre 2009, reculant encore la date du début de l'attaque. Les découvertes de Kaspersky confirment qu'ils servaient de proxy.
|Commercialisation=
|Commercialisation=
|UserAgent=Unknown
|UserAgent=
|UserAgent2=
|UserAgent2=
|UserAgent3=
|UserAgent3=
Line 30: Line 30:
|OS3=
|OS3=
|OS4=
|OS4=
|Status=Unknown
|Status=
|BeginYear=2009
|BeginYear=2009
|EndYear=Unknown
|EndYear=
|Group=Spying
|Group=Spying
|Groupe2=
|Groupe2=

Latest revision as of 15:45, 8 August 2015

(Botnet) Link to the old Wiki page : [1] / Google search: [2]

Duqu
Alias
Group Spying
Parent
Sibling
Family
Relations Variants:

Sibling of:
Parent of:
Distribution of:
Campaigns:

Target Microsoft Windows
Origin
Distribution vector
UserAgent
CCProtocol HTTP (Centralized)
Activity 2009 /
Status
Language
Programming language
Operation/Working group

Introduction

Le nom de ce botnet provient de celui de fichiers créés par un des composants malveillants qui sont à la base de fonctionnements, celui chargé de collecter des données personnelles (ou infostealer). Certains fichiers créés sont de la forme '~DQx.tmp'. L'analyse du comportement du logiciel malveillant utilisé (voir Duqu (bot)) conduit les spécialistes à estimer que Duqu est exclusivement utilisé pour réaliser des attaques ciblées.


Symantec affirme qu'il s'agirait d'obtenir des informations nécessaires à de futures attaques contre des infrastructures industrielles. Toujours selon cette société, les premières attaques liées à Duqu auraient pu avoir lieu aussi tôt que novembre 2010, si l'on en croit les dates de compilation de certains fichiers découverts.

Features

Associated images

Checksums / AV databases

Publications

 AuthorEditorYear
Actually, my name is Duqu - Stuxnet is my middle nameSergei ShevchenkoBAE Systems stratsec2012
Analyse statique de Duqu stage 1Paul RascagnèresMalware.lu2012
Analyse statique de Duqu stage 2RootBSDMalware.lu2012
Duqu FAQRyan NaraineKaspersky lab2011
Flame, Duqu and Stuxnet: in-depth code analysis of mssecmgr.ocxAleksandr Matrosov
Eugene Rodionov		ESET2012
Interconnection of Gauss with Stuxnet, Duqu & FlameEugene RodionovESET2012
New Duqu sample found in the wildSymantec2012
Stealthy peer-to-peer C&C over SMB pipesRaphael MudgeStrategic Cyber LLC2013
The mystery of Duqu framework solvedIgor SoumenkovKaspersky lab2012
The mystery of Duqu: part fiveIgor SoumenkovKaspersky lab2011
The mystery of Duqu: part oneAlexander GostevKaspersky lab2011
The mystery of Duqu: part six (the command and control servers)Vitaly KamlukKaspersky lab2011
The mystery of Duqu: part tenAlexander GostevKaspersky lab2012
The mystery of Duqu: part threeAlexander GostevKaspersky lab2011
The mystery of Duqu: part twoAlexander GostevKaspersky lab2011
The mystery of the Duqu frameworkIgor SoumenkovKaspersky lab2012
W32.Duqu, the precursor to the next StuxnetCollectifSymantec2011
Retrieved from "https://www.botnets.fr/index.php?title=Duqu&oldid=12311"