Duqu2.0是現(xiàn)今為止最為復雜的蠕蟲，廣泛應用于各種APT攻擊事件中。全球知名網(wǎng)絡安全公司——卡巴斯基實驗室經(jīng)常會披露各機構遭APT攻擊，但是這次卻親身感受了下，且被攻擊長達數(shù)月未察覺。

[[136589]]

百科：Duqu

Duqu最早出現(xiàn)在2011年9月，是繼Stuxnet蠕蟲后最為惡性的一種可竊取信息的蠕蟲，大多數(shù)Duqu出現(xiàn)在工控系統(tǒng)中。它是一非常復雜的惡意程序，利用了大量的0day漏洞和惡意軟件。安全研究員發(fā)現(xiàn)Duqu2.0的目標主要是新近P5+1的伊朗核武器談判和IT安全公司，當然還不止這些，西方國家、亞洲國家、中東國家也在他們的攻擊范圍之內。

據(jù)卡巴斯基實驗室的研究員人員的調查發(fā)現(xiàn)Duqu2.0使用的0day主要有以下3種：

·CVE-2015-2360;

·CVE-2014-4148;

·CVE-2014-6324;

卡巴斯基實驗室被Duqu2.0入侵長達數(shù)月

卡巴斯基實驗室在檢測高級持續(xù)性攻擊(APT)新技術時，無意中發(fā)現(xiàn)了Duqu2.0的入侵行為，專家確定Duqu2.0應該已經(jīng)在公司的網(wǎng)絡中潛伏數(shù)月了，同時表示卡巴斯基的用戶或合作伙伴的信息沒有收到威脅。

此次攻擊應該是以釣魚攻擊(罪惡的源頭)開始的，攻擊者先從亞太地區(qū)一小公司職員入手的，通過釣魚攻擊層層地入侵，直至入侵卡巴斯基實驗室的內網(wǎng)。

檢測到Duqu2.0的入侵之后，卡巴斯基實驗室就開始了大規(guī)模的內部審計，并且一直還在持續(xù)審計中。之所以做出了規(guī)格如此高的審核，就是因為他們也認為Duqu2.0是極其復雜的惡意程序，稍有不慎就有可能被趁機而入了。

新型的Duqu和2011年出現(xiàn)的變種很像，還有一個比較有趣的現(xiàn)象是Duqu2.0的幕后黑手似乎只在周六的時候不工作，不信請看下面的時間戳：

Duqu2.0不會建立任何on-desk文件，也不會生成注冊表目錄，它是一種基于內存的應用程序，因此很難檢測到;另外它與控制服務器通信時所使用的系統(tǒng)也很復雜，它不會直接與C&C服務器進行通信，而是會先在網(wǎng)關和防火墻處安裝惡意驅動，然后將所有流經(jīng)內部網(wǎng)絡的流量發(fā)送到攻擊者C&C服務器上。這樣一經(jīng)混合，就很難被檢測到了。

為什么攻擊卡巴斯基實驗室?

1、可能是想竊取卡巴斯基實驗室的技術信息，旨在下次發(fā)動間諜攻擊的時候不被檢測到;

2、可能是對卡巴斯基的調查感興趣，因為公司中有很多有價值的數(shù)據(jù)。

卡巴斯基發(fā)文回應

為了安撫公司的客戶和合作伙伴，并找回一點面子，卡巴斯基實驗室創(chuàng)始人、執(zhí)行總裁Eugene Kaspersky本人在Forbes網(wǎng)站上專門寫了一篇文章《Why Hacking Kaspersky Lab Was A Silly Thing To Do》(為什么黑卡巴斯基的行為是愚蠢的)：

“這次攻擊很明顯是一次國家支持的工業(yè)間諜行動，因為對手用了“極為創(chuàng)新和先進”的惡意軟件，而其中的手法也很叫絕，并且代價高昂，需要很多時間和人力來琢磨和開發(fā)。

這種攻擊并不明智：你偷我的源代碼有意義大嗎?軟件總是在不斷進步的嘛，偷來的代碼很快就會過時。這么想了解我們公司內部怎么運作和技術機密?這里當然是有些機密的，但是并沒有什么速成寶典，一切都是我們的人艱苦努力的成果而已，如果有興趣可以多做技術交流，而且我們也一直在對外授權很多技術。”

完整報告點我!