W32.Duqu. Ya da diğer bilinen isimleri ile TROJ_SHADOW.AF, TROJ_DUQU.ENC, TROJ_DUQU.DEC, Mal/Duqu-A, RTKT_DUQU.A virüsü. Bu virüsün kaynak kodu incelendiğinde ve dinamik analizi yapıldığında herkesin hem fikir olduğu konu şu: “Duqu’nun yazarları, ya StuxNet virüsün yazarları ile aynı ya da Stuxnet virüsünün kaynak kodunu inceleme imkanı bulmuşlar”[1]. Verdiği zarar göz önüne alındığında Stuxnet kadar tehlikeli olmayan bu virüs, hedefleri açısından değerlendirildiğinde Stuxnet virüsünden çok daha büyük tehdit içermektedir. Stuxnet ile büyük benzerlikler içeren Duqu virüsünün hedefi Stuxnet de olduğu gibi sistemlere zarar vermek değil, endüstriyel kontrol sistemleri hakkında bilgi toplamak. Diğer bir deyişle, Stuxnet silahını yalnızlıktan kurtarmak ve benzerlerinin oluşturulması için keşif çalışması yapmak.

İlk olarak, 14 Ekim 2011 tarihinde, Budapeşte Teknoloji ve Ekonomi Üniversitesi, Kriptografi ve Sistem Güvenliği Laboratuvarı(CrySyS) tarafından tespit edilen virüse, bu ismin verilmesinin nedeni; virüse ait tuş kaydedicinin “~DQ...” ile başlayan geçici bir dosya oluşturmasıdır. Duqu virüsünün amacı ise gelecekteki atakları daha rahat yapabilme adına endüstriyel kontrol sistemleri ve çalışma mekanizmaları hakkında bilgi toplamak gibi gözükmektedir. Yani Duqu virüsünün kaynak kodu endüstriyel sistemlere yönelik herhangi bir kod parçacığı içermiyor. Şu an için elde edilen örnekler, teknik detaylarından genel olarak bahsedeceğimiz bu virüsün, temelde bir truva atı RAT(Remote Access Trojan)- olduğunu göstermektedir.

Virüsün şu an için bilinen bulaşma yöntemi, çok klasik bir saldırı yöntemi: elektronik posta oltalama saldırısı. Fakat incelenen bir örnekte, gönderilen elektronik posta’ya eklenmiş olan Microsoft Office Word dosyasının Duqu virüsünü yükleyebilmek için kullandığı açıklık ise daha önce bilinmeyen kod çalıştırmaya izin veren bir sıfırıncı gün çekirdek açıklığı. Bu açıklık ile ilgili Microsoft tarafından ilk açıklama 3 Kasım 2011 tarihinde, yani geçen hafta yayınlanmıştır. CVE numarası 2011-3402 olarak yayınlanan açıklık bilgisinde, “Win32k TrueType font parsing” motorunda aşağıdaki tabloda listesi verilen işletim sistemlerinin çekirdeklerinde, kod çalıştırmaya izin verebilecek bir açıklığın bulunduğu belirtilmiştir.

Konunun çok dağılmaması için bu açıklığa ait teknik detayı bir başka yazımıza bırakıyoruz. Neticede Duqu virüsü yayılmak için Microsoft’un, CrySys’nin Ağustos ayındaki uyarısı üzerine farkettiği ve 3 Kasım 2011 tarihinde insanları bilgilendirdiği bir açıklığı kullanmaktadır.

Tehlikenin boyutunu tekrardan hatırlatan diğer bir önemli nokta ise şudur: Stuxnet’de olduğu gibi Duqu örneklerinde de sürücü dosyanın, merkezi Taipei, Taiwan’da bulunan bir şirkete ait olan, dijital bir sertifika ile imzalanmış olması. Söz konusu sertifika 2 Ağustos 2012 tarihinde geçerliliğini kaybedecekti fakat virüs ile ilgili açıklamalardan sonra 14 Ekim 2011 tarihinde sertifika iptal edildi.

Şekilde e-posta yolu ile gönderilen ve söz konusu açıklığı kullanan Word dosyasının Duqu virüsünü nasıl yüklediği gösterilmiştir.

Kısaca, yukarıdaki şekli açıklayalım: Duqu virüsü, 3 ana bileşenden oluşmaktadır: Sürücü Dosya(Driver File), DLL (İçerisine birçok dosyanın yerleştirildiği) ve yapılandırma dosyası(Configuration File). Bu dosyaların yüklenebilmesi için ayrı bir exe dosyası yükleyici olarak kullanılmaktadır. Yükleyici dosya, sürücü dosyayı servis olarak kaydetmektedir. Bu işlem, sistem çalışması başlatıldığı anda, virüsün çalışmaya başlaması için gerekli olan bir işlemdir.  Daha sonra sürücü dosya, ana DLL’i services.exe’ye enjekte etmektedir. Bu noktadan sonra DLL, diğer bileşenleri çıkarır ve bu bileşenler diğer işlemlere enjekte olurlar. Böylelikle Duqu virüsünün aktiviteleri gizlenmiş olur.

İncelenen Duqu örneğinde bulaşma yöntemi olarak söz konusu açıklık ve e-posta oltalama saldırısı kullanılmaktadır fakat saldırganların Duqu virüsünü bulaştırmak için kullandığı başka yöntemlerin olup olmadığı bilinmemektedir. Duqu(Downadup), Kido(Conficker) virüsünü tehlikeli diğer virüslerden farklı kılan bir diğer özelliği şu an için elde edilen virüslerin kendi kendisini kopyalamıyor olması. “Kopyalayamıyor” olması değil “kopyalamıyor” olması. Yani Duqu virüsü kendisinin bir kopyasının üretmemektedir. Diğer bir deyişle bir solucan değildir. Fakat C&C(Command and Control) sunucusu tarafından yönlendirilerek, ağ paylaşımları üzerinden diğer bilgisayarlara bulaştırılmaktadır. Duqu virüsünün C&C sunucuları ile haberleşmesinde direkt olarak bağlantıların sunucuya açılması yöntemi değil, noktadan noktaya C&C modeli ile haberleşme yöntemi kullanılmaktadır. Yani, yeni ele geçirilen bilgisayar, bir önceki bilgisayar üzerinden haberleşmektedir. Böylelikle Duqu, olası bir anormal ağ trafiğinin tespit edilmesi tehlikesini de atlatmaktadır. Duqu aynı zamanda vekil sunucu atlatmak için de farklı rutinler kullanmaktadır. Fakat bu varsayılan yapılandırmada yoktur.

Duqu virüsünün iletişime geçtiği C&C sunucularının IP adresleri 206.183.111.97 ve 77.241.93.160 olarak tespit edilmiştir. Bu IP adreslerine sahip sunucu bilgisayarlar sırasıyla Hindistan ve Belçika’da bulunmaktadır. Duqu bu sunucularla beklendiği üzere HTTP ve HTTPS bağlantıları üzerinden irtibata geçiyor. Şu anda bu IP adreslerine sahip sunucu bilgisayarlar aktif değil fakat elde edilen örneklerde bu bilgisayarlardan başka C&C sunucularına da rastlanmış değil.[2]

Son olarak varsayılan ayarlarda, Duqu bulaştığı bir sistemde kendisini 30 gün boyunca saklıyor. Daha sonra kendisini siliyor. Yani C&C sunucusu ile irtibat noktasında problemlerle karşılaşıldığında veya başka sıkıntılarla karşlışıldığında Duqu tespit edilmemek için kendi kendini imha ediyor.

Bu soruyu cevaplandırmadan önce dünya üzerinde enfekte olmuş organizasyonlardan bahsedelim. Symantec Firmasının, 1 Kasım 2011 tarihinde güncellediği, Duqu için hazırlamış olduğu “Security Response” raporuna göre, 8 ülkede 6 kuruluş Duqu virüsünün bulaştığını doğrulamaktadır. Bu 6 kuruluşun ismini vermeden A,B,C,D,E,F kuruluşları dersek, bu kuruluşların ülkeler göre dağılımı şu şekildedir:

• A Kuruluşu: Fransa,Hollanda,İsviçre,Ukrayna

• B Kuruluşu: Hindistan

• C Kuruluşu: İran

• D Kuruluşu: İran

• E Kuruluşu: Sudan

• F Kuruluşu: Vietnam

Diğer güvenlik firmaları ise Avusturya, Macaristan, Endonezya, Büyük Britanya ülkelerindeki bazı kuruluşların ve İran’da D ve C kuruluşlarından başka kuruluşların da etkilendiği raporunu vermişlerdir.  

Sonuç olarak, Stuxnet gibi en çok İran’daki kuruluşlar etkilenmiş fakat henüz Türkiye’den bir kuruluşun etkilenip etkilenmediği doğrulanmamıştır. Henüz tespit edilmesinin üzerinden bir ay geçmiş olan bir zararlı yazılımın, Türkiye’de henüz var olup olmadığının bilinmemesi gayet normaldir. Diğer ülkeler için olduğu gibi bizim için de büyük bir tehlike arz etmektedir. Hatta var olan tehlikeyi farketmemiş olma durumumuzda söz konusu olabilir.  

Bilgisayarlarımızın enfekte olup olmadığını nasıl anlayacağız sorusuna dönersek: yukarıda bahsettiğimiz dosyaların oluşturulup oluşturulmadığını kontrol etmek ve ilgili register değişikliklerini kontrol etmek mantıklı olabilir. Fakat yukarıda teknik detaylarına bir miktar değindimiz Duqu virüsünün, sadece bir çeşidi üzerinden ve varsayılan ayarlar göz önünde bulundurularak bu bilgiler verilmiştir. Yani söz konusu değişikliklerin yapılmamış olması bilgisayarımızın kesin olarak enfekte olmadığı anlamına gelmemektedir. Kesin olarak enfekte olmadığı bilgisine ulaşmak mümkün olmamakla beraber, Budapeşte Teknoloji ve Ekonomi Üniversitesi, Kriptografi ve Sistem Güvenliği Laboratuvarı(CrySyS) tarafından geliştirilmiş olan ağ ve kişisel bilgisayarlara yönelik tarama yapan Duqu tespit aracı(*) kullanılabilir. Tabii ki böyle dosyalar bulunduğu zaman panik yapmaya gerek yok. Ama şunu unutmamak lazım: sadece ilgili dosyaları silmek yeterli olmayabilir, hatta bu dosyaları silmeden önce iyi bir analiz yapabilme ve tehlikenin boyutlarını görebilme adına uzmanlarla irtibata geçmek daha iyi bir çözüm olacaktır.

Nasıl Önlem Alırız ve Nasıl Temizleriz? diyorsanız yazının tamamı ve detaylı bilgi için: http://www.bilgiguvenligi.gov.tr/zararli-yazilimlar/yeni-nesil-kesif-ucagi-duqu-virusu.html