Kaspersky Labs ontrafelt geheime code in Duqu
Duqu wordt wel beschouwd als een opvolger van Stuxnet. Na enkele maanden speuren en het analyseren van grote aantallen tips is het antwoord nu bekend: de zogeheten payload van Duqu is geschreven in een speciale versie van de taal C.
Shutterstock
Shutterstock
Object-geörienteerde versie van C
In concreto gaat het om C in combinatie met OO C, de object-georiënteerde versie van C. De code is gecompileerd met Microsoft Visual Studio 2008 en bevat speciale opties voor het optimaliseren van de codeomvang en inline uitbreiding. De code werd daarnaast geschreven met een aangepaste extensie die in de meeste gevallen "OO C" wordt genoemd en het mogelijk maakt om objectgeoriënteerd programmeren te combineren met C.
Het gedeelte met onbekende code, dat het "Duqu Framework" wordt genoemd, vormde een onderdeel van de payload-DLL die verantwoordelijk was voor de communicatie met de Command & Control (C&C)-servers nadat het Trojaanse paard de computer van een slachtoffer had geïnfecteerd. Dit type intern ontwikkelde programmatuur is uiterst geavanceerd en wordt normaliter aangetroffen binnen complexe 'civiele' softwareprojecten in plaats van moderne malware.
Twee mogelijke scenario's
Hoewel er geen eenvoudige verklaring is voor het feit dat het Duqu Framework gebruikmaakte van OO in plaats van C++, zijn er twee mogelijke redenen aan te wijzen:
- Meer controle over de code: Toen C++ werd gepubliceerd, besloten veel 'old school' programmeurs om deze taal te mijden vanwege twijfels over de geheugentoewijzing en andere obscure functies die ervoor zorgen dat code op indirecte wijze wordt uitgevoerd. OO C zou een betrouwbaarder framework bieden.
- Hoge overdraagbaarheid: Zo'n 10 tot 12 jaar geleden was C++ nog niet volledig gestandaardiseerd, waardoor de kans bestond dat de code van deze taal niet compatibel was met elke compiler. Het gebruik van C biedt programmeurs een uiterst hoge mate van overdraagbaarheid, omdat deze taal op elk gewenst moment ondersteuning biedt voor elk bestaand platform, zonder gebukt te gaan onder de beperkingen van C++.
Hierdoor wordt het vermoeden steeds sterker dat de malware is gemaakt door een groep "old school" programmeurs. "Zij zijn hier beslist al veel langer mee bezig geweest. De kans bestaat dat deze code voor eerdere cyberaanvallen is gebruikt en vervolgens is aangepast voor integratie in de Duqu Trojan," aldus malware-expert Igor Soumenkov van Kaspersky.
Gerelateerde artikelen
Gerelateerde artikelen
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee