Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Le mystère du "Framework Duqu" est résolu
Le malware aurait été écrit avec une extension C orientée objet créée sur mesure

Le , par MiaowZedong

60PARTAGES

15  1 
Mise à Jour du 20/03/2012 par MiaowZedong

Les chercheurs de Kaspersky ont annoncé hier (19/03/2012) qu’ils avaient résolu « avec un niveau de certitude très élevé » le mystère Duqu.

L’expert Igor Soumenkov commence par remercier les nombreux développeurs qui ont suggéré des pistes d’investigation : il annonce avoir reçu plus de 200 commentaires sur son blog et 60+ emails. Il dit donc « un grand merci » à tous ces participants. Parmi les différentes suggestions, le LISP, le Forth, Google Go, l’Erlang, Delphi, les compilateurs exotiques du C++ ainsi que la possibilité de programmer orienté objet directement en C sont tous revenus plusieurs fois.

C’est finalement cette dernière possibilité qui a été retenue. Suite à un commentaire, Soumenkov a expérimenté avec le compilateur pour C de Microsoft Visual Studio. Il a finalement trouvé une combinaison d’options qui permet, avec MSVC 2008, de reproduire à l’identique un segment de code machine de Duqu à partir d’un segment de code source C orienté objet. Avec d’autres compilateurs testés, y comprit MSVC 2005, il obtient un code machine légèrement différent.


Code de Duqu décompilé à la main en C

Étant données les similarités entre les différents constructeurs et les membres des classes, il semble très peu probable que le module communication de Duqu ait été codé entièrement à la main. Par contre, il n’existait pas, au moment où le trojan a été créé, de framework C orienté objet qui produise un code machine semblable à celui de Duqu. Soumenkov en conclut que les développeurs de Duqu utilisent un framework « maison ».

Pour les chercheurs de Kaspersky, la préférence du C par rapport au C++ reflète des programmeurs expérimentés, qui souhaitent un contrôle plus direct sur le code machine produit ainsi qu’une « extrême portabilité ».

Ils sont désormais certains que ce module de Duqu a été compilé avec MSVC 2008 et ses options /O1 et /Ob1. Il a « sans doute » été écrit avec une extension C orientée objet, créée sur mesure. L’architecture événementielle a été créée avec le Framework Duqu ou son extension OO du C. Il n’est pas impossible que le module communication de Duqu ait servi dans d’autres applications, puis ait été réutilisé pour le trojan.

Kaspersky souligne la très haute qualité du code de Duqu (et Stuxnet), selon eux absolument exceptionnelle par rapport aux malwares contemporains.

Il leur semble que ces programmes ont été créés par des équipes « plutôt professionnelles » qui utilisent du code produit par des « top » développeurs expérimentés. Ils n’hésitent pas à parler de « gemmes » au milieu d’ « une masse de malwares stupides ».

Source: Kaspersky

Le trojan Duqu utilise un langage de programmation inconnu
D'après Symantec, qui va jusqu'à parler d'un "Framework Duqu" et qui fait appel à la communauté pour le déchiffrer

Fin 2011, les chercheurs de Symantec avaient identifié un trojan baptisé "Duqu" qui cible les systèmes de type SCADA (Supervisory Control and Data Acquisition), utilisés dans l'industrie pour contrôler des machines-outils. Duqu aurait infecté principalement des organisations en Europe et au Moyen-Orient.

Les chercheurs Russes de Kaspersky avaient alors réussi à identifier des grandes similarités entre certaines parties du code source de Duqu et celui du ver Stuxnet, qui en 2010 avait saboté les centrifugeuses de cinq usines d'enrichissement d'uranium en Iran.

Contrairement à Stuxnet, Duqu ne sabote pas le fonctionnement du système SCADA. Il s'agit d'un outil d'espionnage, qui se connecte sur des serveurs distants pour leur remonter clandestinement des données collectées sur la machine hôte.

Mais ce qui interpelle aujourd'hui le plus les chercheurs du laboratoire Kaspersky, c'est qu'un des modules de Duqu a été écrit dans un language de programmation qu'ils n'ont pas pu identifier.

Duqu est composé de plusieurs modules, dont la plupart ont été écrits en C++ et compilés avec Microsoft Visual C++.

En revanche, le code qui permet à la charge utile de communiquer avec les serveurs distants n'est certainement pas écrit en C++ ou compilé avec MSVC++. Il s'agit d'un language ou d'un framework C orienté objet, que les chercheurs de Kaspersky n'ont jamais vu auparavant. Ils ont baptisé ce language/framework le "Framework Duqu".

Ce language présente les caracteristiques d'être orienté objet, évènementiel, et optimisé pour la programmation asynchrone et le réseau. Il y aurait des ressemblances avec l'Objective-C, mais pour Kaspersky "ce code ne ressemble pas à du code compilé à partir d'Objective-C".


Le modèle évènementiel du "Framework Duqu" d’après Igor Soumenkov de Symantec

Il est possible que le "Framework Duqu" ait été créé sur mesure.

Il pourrait y avoir plusieurs raisons pour cela. La plus évidente serait l'obfuscation, car le "Framework Duqu" rend la retro-ingéniérie de leur malware plus difficile que s'il n'utilisait que des languages connus. Mais il pourrait aussi avoir facilité le cloisonement des équipes qui ont travaillé sur le trojan : peut-être les intégrateurs n'ont-ils pas été techniquement capables de comprendre les sources du module de connexion, grâce à ce "Framework Duqu".

Les chercheurs de Kaspersky ont donc lancé un appel à tout developpeur qui reconnaîtrait des éléments familiers, dans l'espoir de résoudre le mystère Duqu et de son origine.

Comme Stuxnet, et vu son niveau de sophistication, Duqu est fortement suspecté d'avoir été developpé par une organisation disposant de moyens très importants, un service d'État par exemple.

Source : Kaspersky Labs

PS : au moment où j'écris, les derniers commentaires de Kaspersky disent qu'ils s'intéressent aux compilateurs pour LISP, suggérés par plusieurs commentateurs.

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de psykokarl
Membre confirmé https://www.developpez.com
Le 09/03/2012 à 17:54
Citation Envoyé par MiaowZedong Voir le message
Comme Stuxnet, et vu son niveau de sophistication, Duqu est fortement suspecté d'avoir été developpé par une organisation disposant de moyens très importants, un service d'État par exemple.
Ou par des passionnés avec un niveau correct qui n'ont pas à respecter de contraintes de type "à livrer pour avant hier !"
10  0 
Avatar de phaetone
Nouveau membre du Club https://www.developpez.com
Le 14/03/2012 à 0:06
Pour moi, ce nouveau Trojan/Framework caractérise en tout cas un gros trou de sécurité. Je propose que son appellation soit éponyme : le trou "Duqu"

9  1 
Avatar de phaetone
Nouveau membre du Club https://www.developpez.com
Le 14/03/2012 à 0:09
À coup sûr, après le Trojan, ils vont bientôt nous pondre un worm.

Je propose une appellation, là encore, éponyme : le ver Duqu.



j'admets, j'ai franchi les limites admissibles dans l'approximatif du calembour, mais ç'a été plus fort que moi, ce doublé de bartavelle...
7  1 
Avatar de MiaowZedong
Membre extrêmement actif https://www.developpez.com
Le 20/03/2012 à 12:11
Le mystère du "Framework Duqu" est résolu
Le malware aurait été écrit avec une extension C orientée objet créée sur mesure

Mise à Jour du 2012/03/20 par MiaowZedong

Les chercheurs de Kaspersky ont annoncé hier (2012/03/19) qu’ils ont résolu « avec un niveau de certitude très élevé » le mystère Duqu.

L’expert Igor Soumenkov commence par remercier les nombreux développeurs qui ont suggéré des pistes d’investigation : il annonce avoir reçu plus de 200 commentaires sur son blog et 60+ emails. Il dit donc « un grand merci » à tous ces participants. Parmi les différentes suggestions, le LISP, le Forth, Google Go, l’Erlang, Delphi, les compilateurs exotiques du C++ ainsi que la possibilité de programmer orienté objet directement en C sont tous revenus plusieurs fois.

C’est finalement cette dernière possibilité qui a été retenue. Suite à un commentaire, Soumenkov a expérimenté avec le compilateur pour C de Microsoft Visual Studio. Il a finalement trouvé une combinaison d’options qui permet, avec MSVC 2008, de reproduire à l’identique un segment de code machine de Duqu à partir d’un segment de code source C orienté objet. Avec d’autres compilateurs testés, y comprit MSVC 2005, il obtient un code machine légèrement différent.


Code de Duqu décompilé à la main en C

Étant donné les similarités entre les différents constructeurs et les membres des classes, il semble très peu probable que le module communications de Duqu a été codé entièrement à la main. Par contre, il n’existait pas, au moment où le trojan a été créé, de framework C orienté objet qui produise un code machine semblable à celui de Duqu. Soumenkov en conclue que les développeurs de Duqu utilisent un framework « maison ».

Pour les chercheurs de Kaspersky, la préférence du C par rapport au C++ reflète des programmeurs expérimentés, qui souhaitent un contrôle plus direct sur le code machine produit ainsi qu’une « extrême portabilité ».

Ils sont désormais certains que ce module de Duqu a été compilé avec MSVC 2008 et ses options /O1 et /Ob1. Il a « sans doute » été écrit avec une extension C orientée objet, créée sur mesure. L’architecture événementielle a été crée avec le Framework Duqu ou son extension OO du C. Il n’est pas impossible que le module communications de Duqu ait servi dans d’autres applications, puis réutilisé pour le trojan.

Kaspersky soulignent la très haute qualité du code de Duqu (et Stuxnet), selon eux absolument exceptionnelle par rapport aux malwares contemporains.

Il leur semble que ces programmes ont été créés par des équipes « plutôt professionnelles » qui utilisent du code produit par des « top » développeurs expérimentés. Ils n’hésitent pas à parler de « gemmes » au milieu d’ « une masse de malwares stupides ».

Source: Kaspersky
4  0 
Avatar de Gouyon
Membre éprouvé https://www.developpez.com
Le 14/03/2012 à 7:48
Moi non plus je peux pas résister:
le Framework Duqu a certainement été développé en langage X
(Ok je sors mouarf2
2  1 
Avatar de GruntZ
Membre régulier https://www.developpez.com
Le 14/03/2012 à 8:18
Citation Envoyé par MiaowZedong Voir le message

Ce langage présente les caractéristiques d'être orienté objet, évènementiel, et optimisé pour la programmation asynchrone et le réseau. Il y aurait des ressemblances avec l'Objective-C, mais pour Kaspersky "ce code ne ressemble pas à du code compilé à partir d'Objective-C".
Il est possible que le "Framework Duqu" ait été créé sur mesure.
Plutôt d'accord avec psykokarl; c'est oublier un peu vite qu'il existe encore des codeurs qui savent manipuler pointeurs programme et pile d'adresses en assembleur et savent s'adresser directement à la machine sans l'intermédiaire d'une couche d'abstraction.
1  0 
Avatar de MiaowZedong
Membre extrêmement actif https://www.developpez.com
Le 14/03/2012 à 10:11
Citation Envoyé par GruntZ Voir le message
Plutôt d'accord avec psykokarl; c'est oublier un peu vite qu'il existe encore des codeurs qui savent manipuler pointeurs programme et pile d'adresses en assembleur et savent s'adresser directement à la machine sans l'intermédiaire d'une couche d'abstraction.
Sans vouloir t'offenser, les chercheurs en sécurité qui font de la rétro-ingénierie à partir des binaires (donc de l'assembleur, puisqu'il est une représentation bijective du language machine) sont justement des spécialistes de ce genre de chose. J'aurais donc davantage tendance à les croire.

P.S. d'après les derniers posts sur le site de Kaspersky, il apparait de plus en plus probable qu'il s'agisse bien d'un framework idiosyncratique.
1  0 
Avatar de psykokarl
Membre confirmé https://www.developpez.com
Le 14/03/2012 à 15:35
L'un n'oppose pas l'autre.
Les chercheurs en questions se basent probablement sur un ensemble de signatures explicite ou implicite que laisse un compilateur dans le binaire. Rien que le fait de pouvoir intégrer des lignes d'assembleur dans le code brouille méchamment les piste.
Ça a tendance à exclure le privé . Les développeurs qui ont ces compétences existent mais ils n'auront pas forcément le temps en milieu professionnel.
1  0 
Avatar de galyathee
Membre du Club https://www.developpez.com
Le 14/03/2012 à 21:43
J'imagine que les mordus d'Erlang ou de ooRexx auront quelques idées. Si ces chercheurs pensent à un nouveau langage, il peut très bien s'agir d'un langage - pourquoi pas codé en assembleur, clair - dont on aurait modifié les sources. On ne compte plus le nombre de langages tombés en désuétude et dont les sources sont libres ... avec un peu de motivation, tout un chacun est amené un jour à leur faire reprendre du service.
1  0 
Avatar de GLDavid
Membre expert https://www.developpez.com
Le 20/03/2012 à 15:52
En tout cas, c'est bien que Kaspersky puisse stopper ce trojan.
L'arrêt Duqu, on l'attend tous
2  1