CrySyS Duqu Detector Toolkit released

We released a new open-source toolkit to detect Duqu traces and running Duqu instances. Details and the tool are available using the URL below.

http://www.crysys.hu/duqudetector

=========================================

STATEMENT

Our lab, the Laboratory of Cryptography and System Security (CrySyS) pursued the analysis of the Duqu malware and as a result of our investigation, we identified a dropper file with an MS 0-day kernel exploit inside. We immediately provided competent organizations with the necessary information such that they can take appropriate steps for the protection of the users.

NYILATKOZAT

Laborunk, a CrySyS Adat- és Rendszerbiztonság Laboratórium tovább folytatta a Duqu trójai elemzését, és a kutatás eredményeként azonosítottunk egy dropper fájlt, mely egy MS 0-day kernel hibát használ fel. A szükséges információkat azonnal továbbítottuk az illetékes szakmai szervezeteknek, akik gondoskodni tudnak a felhasználók megfelelő védelméről.

Symantec status updates, Nov 2

=========================================

STATEMENT

Our lab, the Laboratory of Cryptography and System Security (CrySyS) participated in the discovery of Duqu malware within an international collaboration. While gathering deeper knowledge about its functionality, we have confirmed Duqu is a threat nearly identical to Stuxnet. After the thorough analysis of samples we prepared a detailed report about Duqu, named by us. We immediately provided competent organizations with the initial report in order to jointly step up in a professionally prepared way. Our research lab will provide the professional community and the public with all relevant details in the future as well. But we can not reveal further information about the ongoing case. Instead of speculating we encourage all professional organizations to enhance the joint process of finding a solution, since strong international collaboration will remain to play a key role.

NYILATKOZAT

Laborunk, a CrySyS Adat- és Rendszerbiztonság Laboratórium egy nemzetközi összefogás keretében részt vett a Duqu trójai program felfedezésében. Mûködésének részletesebb megismerése során bizonyosodtunk meg arról, hogy a Duqu közel azonos a korábbról ismert Stuxnettel. A minták alapos elemzését követõen, részletes riportot készítettünk az általunk elnevezett Duqu trójai programról. Az elõzetes riportot azonnal eljuttattuk az illetékes szervezetekhez annak érdekében, hogy együttes erõvel, megalapozottan tudjunk fellépni. Kutatólaborunk, a jövõben is minden releváns részletet eljuttat a szakmai közösséghez és segítségükkel a közvéleményhez. A folyamatban lévõ ügyrõl azonban további információt nem hozhatunk nyilvánosságra. A spekulációk helyett a megoldást elõsegítõ közös munkára bíztatunk minden szakmai szervezetet, hiszen a szoros nemzetközi szakmai összefogásra továbbra is nagy szükség van.

Symantec report, Oct 18
Symantec status update, Oct 21

We collaborated with our colleagues at UCSD and ICSI, Berkeley to do an analysis that quantifies the full set of resources employed to monetize spam email — including naming, hosting, payment and fulfillment — using extensive measurements of three months of diverse spam data, broad crawling of naming and hosting infrastructures, and over 100 purchases from spam-advertised sites. We relate these resources to the organizations who administer them and then use this data to characterize the relative prospects for defensive interventions at each link in the spam value chain.

STUDY

K. Levchenko, N. Chachra, B. Enright, M. Félegyházi, C. Grier, T. Halvorson, C. Kanich, C. Kreibich, H. Liu, D. McCoy, A. Pitsillidis, N. Weaver, V. Paxson, G. M. Voelker, and S. Savage,
Click Trajectories: End-to-End Analysis of the Spam Value Chain,
in Proceedings of IEEE Symposium on Security & Privacy 2011, Oakland, CA, USA, May 22-25, 2011.

PRESS

• Study Sees Credit Cards as a "Choke Point" for Spam, New York Times, 19 May 2011.
• Anatomy of a Spam Viagra Purchase, Technology Review, 20 May 2011.
• Researchers: Kill spam e-mails by choking off scammers' cash, Consumer Reports, 20 May 2011.
• Forscher wollen Händlern das Spam-Geschäft vermiesen, Spiegel Online, 21 May 2011.
• Spam-Bekämpfung soll bei Banken ansetzen, Heise Online, 22 May 2011.
• Secret to Stopping Spam: Follow the Money, Scientific American, 23 May 2011.
• Spammers and Their Bankers, New York Times, Editorial, 28 May 2011.
• Spam as a Business, Bruce Schneier, 9 June 2011.
• What's the Harm If I Get What I Pay For?, Messaging News, 16 June 2011.
• Ars Technica, BoingBoing, F-Secure, Slashdot, The Register.

The implementation of the defense against Kaminsky DNS attack in Hungary concerns a high number of organizations. The bug is known since July 08, 2008, and since the same date the updated software version are also available. In our analysis we checked whether the authors of the Hungarian DNS servers installed the new software versions, which are indispensable for the protection today.

The results show that about two thirds of the servers are vulnerable. Most of the large service providers have already implemented the suggested defense, but it is not enough for the protection of the users.

STUDY

Boldizsar Bencsath, Levente Buttyan
Kaminsky DNS Vulnerability - The big companies made a step already, the small ones are slower
(in Hungarian)

PRESS

• index.hu
  
• Hungarian Unix Portál
  
• IT café
  
• HWSW Informatikai Hírmagazin
  
• domainabc.hu
  
• C.enter Információtechnológiai Kft.
  
• Blog of Dr. István Zsolt Berta
  
• Blog of IT café