s0038-duqu - RunkIntel

# Duqu > [!info] Identidade do Malware > **Tipo:** plataforma de espionagem modular · **MITRE:** [S0038](https://attack.mitre.org/software/S0038) · **Atribuicao:** Unit 8200 / Equation Group (Israel) > **Plataformas:** Windows · **Ativo:** 2010-2012 (Duqu 1.0), 2014-2015 (Duqu 2.0) · **Status:** inativo > **Predecessores:** [[s0603-stuxnet|Stuxnet]] - mesmo codebase; projetado para preparar ataques futuros de sabotagem industrial ## Visão Geral [[s0038-duqu|Duqu]] e uma plataforma de malware modular descoberta em setembro de 2011 pelo CrySyS Lab de Budapeste, atribuida ao mesmo grupo responsavel pelo [[s0603-stuxnet|Stuxnet]] - possívelmente a Unit 8200 israelense. O nome vem do prefixo "~DQ" que o malware atribui aos arquivos que cria. Descrito como "filho do Stuxnet", o [[s0038-duqu|Duqu]] nao foi projetado para sabotagem industrial como seu predecessor, mas sim para espionagem e reconhecimento - coletando informações de fabricantes de sistemas de controle industrial e infraestrutura critica para preparar ataques futuros de estilo Stuxnet. O [[s0038-duqu|Duqu]] reutilizou o código-base do [[s0603-stuxnet|Stuxnet]], incluindo o mesmo driver para injecao do módulo principal. Uma das caracteristicas mais notorias e o mecanismo de autodestruicao: o malware se remove automaticamente após 36 dias por padrao. Em 2015, o Duqu 2.0 foi descoberto comprometendo os proprios computadores da Kaspersky Lab e sistemas usados nas negociacoes do Acordo Nuclear do Ira (P5+1) - demonstrando nivel de sofisticacao sem precedentes. ## Como Funciona A infecção inicial ocorre via documentos Word com exploit de zero-day no kernel Windows (CVE-2011-3402 - vulnerabilidade em font TrueType): 1. **Zero-day entrega** - documento Word com font TrueType maliciosa explora CVE-2011-3402 no kernel Windows, executando código em modo kernel 2. **Driver assinado** - dropper instala driver assinado com certificado digital roubado da empresa taiwanesa C-Media Electronics ([[t1553-code-signing|T1553]]) para bypassar verificacoes de integridade 3. **Plataforma modular** - framework extensivel carrega módulos especializados (keylogger, infostealer, C2) dinâmicamente 4. **C2 P2P entre vitimas** - computadores infectados na mesma rede se comúnicam entre si antes de transmitir dados para exterior ([[t1090-001-internal-proxy|T1090.001]]), permitindo acesso a sistemas sem internet direta 5. **Exfiltração esteganografica** - dados encapsulados em imagens JPEG de 54x54 pixels como C2 covert channel 6. **Auto-remoção em 36 dias** - malware se deleta automaticamente ([[t1070-004-file-deletion|T1070.004]]) a menos que receba instrução para continuar 7. **Roubo de certificados** - rouba certificados digitais das maquinas comprometidas para uso futuro em novos ataques ## Attack Flow ```mermaid graph TB A["Spear-phishing Documento Word com exploit CVE-2011-3402 kernel zero-day"] --> B["Dropper inicial Driver assinado C-Media roubado Injecao em modo kernel"] B --> C["Plataforma modular Duqu Arquitetura Stuxnet reutilizada Auto-remoção em 36 dias"] C --> D["Reconhecimento de alvos ICS Keylogging T1056.001 Roubo de certificados digitais"] D --> E["C2 P2P entre vitimas Proxy interno T1090.001 Imagens JPEG como covert channel"] E --> F["Exfiltração e preparação Inteligencia para futuros ataques tipo Stuxnet"] classDef delivery fill:#e74c3c,color:#fff classDef dropper fill:#e67e22,color:#fff classDef platform fill:#3498db,color:#fff classDef recon fill:#27ae60,color:#fff classDef c2 fill:#9b59b6,color:#fff classDef impact fill:#2c3e50,color:#fff class A delivery class B dropper class C platform class D recon class E c2 class F impact ``` **Legenda:** [[s0603-stuxnet|Stuxnet]] - [[t1090-001-internal-proxy|T1090.001]] - [[t1056-001-keylogging|T1056.001]] ## Timeline ```mermaid timeline title Duqu - Historico de Descobertas 2010 : Duqu compilado (data nos binarios) : Preparação pre-descoberta Set 2011 : CrySyS Lab descobre Duqu : Relatorio inicial publicado Nov 2011 : Symantec e Kaspersky publicam análises : Relacao com Stuxnet estabelecida : CVE-2011-3402 documentado 2012 : Infeccoes em 8 paises confirmadas : India, Ira, Sudao, Franca, Holanda 2014 : Duqu 2.0 comprometimento : Kaspersky Lab infectada 2015 : Duqu 2.0 nas negociacoes do Acordo Nuclear : P5+1 - Hotel Corinne, Lausanne : Kaspersky publica descoberta 2015 : Kaspersky denuncia publicamente : Maior ataque a empresa de segurança ``` ## Técnicas Utilizadas (MITRE ATT&CK) | Técnica | ID | Descrição | |---------|-----|-----------| | Keylogging | [[t1056-001-keylogging\|T1056.001]] | Coleta credenciais e comúnicacoes | | Internal Proxy | [[t1090-001-internal-proxy\|T1090.001]] | C2 P2P entre vitimas comprometidas | | DLL Injection | [[t1055-001-dynamic-link-library-injection\|T1055.001]] | Injecao de módulos em processos | | Windows Service | [[t1543-003-windows-service\|T1543.003]] | Persistência como servico | | Protocol Tunneling | [[t1572-protocol-tunneling\|T1572]] | Comúnicação encapsulada em JPEG | | SMB Admin Shares | [[t1021-002-smbwindows-admin-shares\|T1021.002]] | Movimentação lateral | | Data Staging | [[t1074-001-local-data-staging\|T1074.001]] | Preparação de dados para exfiltração | | Archive Custom | [[t1560-003-archive-via-custom-method\|T1560.003]] | Empacotamento específico dos dados | | Valid Accounts | [[t1078-valid-accounts\|T1078]] | Uso de credenciais roubadas | | Symmetric Crypto | [[t1573-001-symmetric-cryptography\|T1573.001]] | Criptografia de dados C2 | ## Relevância LATAM/Brasil O [[s0038-duqu|Duqu]] foi projetado para coletar inteligência sobre fabricantes de sistemas de controle industrial (ICS/SCADA) como preparação para ataques futuros. Para o Brasil: - **Infraestrutura critica ICS** - o setor de energia hidrológica (Itaipu, Belo Monte), petroleo (Petrobras), defesa (Embraer, industria naval) e mineracao sao analogos exatos aos alvos industriais do Duqu - **P2P C2 bypassa segmentacao de rede** - a técnica de usar vitimas comprometidas como proxies para alcançar sistemas isolados e diretamente relevante para ambientes OT/ICS brasileiros onde sistemas de controle operam em redes segregadas mas conectadas a redes corporativas - **Certificados roubados como vetor** - fabricantes de hardware industrial com presenca no Brasil (Siemens, ABB, Schneider) sao alvos potenciais de comprometimento para roubo de certificados digitais, replicando o modelo C-Media do Duqu - **Duqu 2.0 como modelo para diplomacia** - o comprometimento das negociacoes do Acordo Nuclear demonstra que acordos diplomaticos de alto valor (incluindo negociacoes comerciais estratégicas em que o Brasil participa) sao alvos plausíveis para operações similares ## Detecção A detecao do [[s0038-duqu|Duqu]] em sistemas modernos e principalmente historica, mas suas técnicas permanecem relevantes: - **Driver signing válidation:** verificar assinaturas de drivers instalados contra certificados revogados - especialmente certificados de vendors taiwaneses de hardware comprometidos - **Kernel driver monitoring (Event 7045):** novos drivers Windows carregados de diretorios incomuns ou sem assinatura digital válida - **Protocol tunneling detection:** comunicação entre hosts internos em portas nao padrao, especialmente com payload contendo headers JPEG - covert channel esteganografico - **JPEG analysis:** imagens JPEG geradas por processos do sistema (sem contexto de usuario) com dimensoes fixas (54x54 pixels) - caracteristica específica do Duqu **Regras historicas (ainda relevantes para modelos de ameaça):** - **YARA:** assinaturas do Duqu públicadas pela Kaspersky e Symantec - uteis para threat hunting em environments legados - **Sigma:** drivers Windows carregados com certificados expirados ou de fabricantes de hardware nao-relacionados ao sistema (ex: driver de audio em servidor ICS) ## Referências - [1](https://attack.mitre.org/software/S0038) MITRE ATT&CK - S0038 Duqu (2024) - [2](https://securelist.com/the-mystery-of-duqu-2-0-a-sophisticated-cyberespionage-actor-returns/70504/) Kaspersky Securelist - The Mystery of Duqu 2.0 (2015) - [3](https://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_duqu_the_precursor_to_the_next_stuxnet.pdf) Symantec - W32.Duqu: The Precursor to the Next Stuxnet (2011) - [4](https://www.usenix.org/system/files/conference/leet12/leet12-final11.pdf) CrySyS Lab - Duqu: A Stuxnet-like malware found in the wild (USENIX 2012) - [5](https://www.enisa.europa.eu/sites/default/files/all_files/DuQu_new.pdf) ENISA - DuQu Briefing Note