Тайна неизвестного языка программирования в троянце Duqu раскрыта

Тайна неизвестного языка программирования в троянце Duqu раскрыта

В блоге Securelist появилось сообщение о том, что экспертам "Лаборатории Касперского" удалось разгадать загадку неведомого языка программирования, который они обнаружили ранее в известном троянском коне Duqu. Просьба о содействии в решении этой проблемы нашла широкий отклик среди специалистов, и их подсказки в конце концов навели вирусных аналитиков на верный путь.

Эксперт компании Игорь Суменков пишет, что сообщения о таинственном "фреймворке Duqu" собрали более 200 комментариев и 60 электронных писем - результат, превысивший все ожидания. Наиболее популярными у участников обсуждения были такие варианты, как LISP, Forth, Erlang, Google Go, Delphi, OO C; кроме того, высказывались предположения, что специфика проблемного кода связана с использованием устаревших компиляторов С++ и других языков. Автор отмечает также несколько комментариев и писем, которые оказались наиболее полезны специалистам "Лаборатории Касперского".

"Помощь зала" позволила точно установить, что злоумышленники использовали компилятор из поставки Microsoft Visual Studio. Проведя ряд экспериментов с различными модификациями и настройками, эксперт сумел воспроизвести код функции конструктора и получить из него бинарный код, аналогичный обнаруженному в Duqu. В итоге было сделано заключение, что т.н. "фреймворк Duqu" является результатом компиляции исходного текста на языке С посредством Visual Studio 2008 с параметрами /O1 /Ob1. Автор блог-записи поясняет, что возможны два варианта развития событий: либо при написании кода использовалась объектно ориентированная надстройка С, либо над ним работал программист, применявший соответствующие методы для "чистого" С. Более вероятным эксперту представляется первый вариант, поскольку количество однотипного кода в тексте предполагает наличие препроцессора.

По мнению аналитика, использование объектно ориентированного расширения языка С могло быть продиктовано либо недоверием к компиляторам С++, либо потребностью в широкой переносимости / совместимости. Оба варианта с высокой степенью вероятности указывают на то, что разработка "фреймворка Duqu" велась профессиональными программистами "старой школы", имеющими многолетний опыт работы. Подход, примененный создателями Duqu, задействуется обычно в крупных коммерческих программных проектах, в то время как во вредоносных программах он практически не встречается.

Securelist

Письмо автору

" />

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

InfoWatch зарегистрировала технологию визуализации рабочего дня сотрудника

Группа компаний InfoWatch получила свидетельство о регистрации авторского произведения на технологию «Картина дня сотрудника», подтверждающее её уникальность. Разработка позволяет собирать и визуализировать данные о действиях сотрудников за рабочим компьютером, формируя целостное представление об их активности в течение дня.

Технология создана для использования в DLP-системах и помогает не только предотвращать инциденты информационной безопасности, но и анализировать поведение сотрудников в корпоративной среде.

«Картина дня сотрудника» является частью системы InfoWatch Activity Monitor и использует методы компьютерного зрения и искусственного интеллекта. Сервис преобразует информацию о действиях пользователя — открытых приложениях, документах, сайтах, переходах между ними — в структурированный и наглядный отчёт. Это позволяет находить закономерности и аномалии, которые сложно заметить при ручном анализе.

По словам директора юридического департамента компании Леонида Гусева, технология может быть полезна не только специалистам по информационной безопасности:

«Её можно применять и в кадровых целях — для оценки эффективности работы сотрудников или в качестве доказательной базы при рассмотрении трудовых споров».

Руководитель направления «Центр расследований» Сергей Кузьмин добавил, что система способна анализировать происходящее на экране в динамике:

«Мы научили защитную платформу не просто фиксировать действия, а понимать контекст. Это позволяет видеть картину рабочего дня целиком и упрощает расследование инцидентов».

Технология зарегистрирована в Российском центре оборота прав на результаты творческой деятельности (РЦИС) под названием «InfoWatch Младший аналитик. Сервис „Картина дня сотрудника“».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru