Flame statement

STATEMENT

Our Laboratory of Cryptography and System Security (CrySyS Lab.) participated in an international collaboration aiming at the analysis of an as yet unknown malware, which we call sKyWIper. We had indications that pieces of the malware was probably identified and uploaded from European parties onto binary analysis sites in the past. Hence, our participation in the investigation efforts was justified by the possibility that one or more European countries may be affected by the threat. Later, we received information that, indeed, sKyWIper is active in some European countries, including Hungary, our home country. This made it clear for us that our analysis results must be disclosed by publishing a detailed technical report on the malware.

Given the limited amount of time and other resources that were available for us, the goal of our analysis was to get a quick understanding of the malware's purpose, and to identify its main modules, storage formats, encryption algorithms, injection mechanisms and activity in general. Our analysis results should help other parties with more resources to get started and continue the analysis producing more detailed results, as well as detection and clean-up mechanisms. The technical report that contains the results of our analysis of sKyWIper is available at:
http://www.crysys.hu/skywiper/skywiper.pdf

Before publishing our report, we alerted the most prominent anti-virus vendors, the Hungarian CERT, and other relevant authorities to the threat. In addition, we shared our samples within the anti-virus industry at the time of the publication. We are ready for further cooperation in the technical analysis of sKyWIper, and for information
sharing with other competent parties.

Update: It appears that the sKyWIper malware is the same as “Flame” discovered by Kaspersky (Kaspersky report) and the malware that Iran National CERT (MAHER) calls “Flamer” (MAHER CERT news).

NYILATKOZAT

Laborunk, a CrySyS Adat- és Rendszerbiztonság Laboratórium (CrySyS Lab), egy nemzetközi együttműködés keretében részt vett egy eddig ismeretlen malware elemzésében. Csapatunk a malware-t sKyWIper-nek nevezte el az általa használt ideiglenes fájlok elnevezése (KWI) után. Információink szerint a malware egyes komponenseit már korábban feltöltötték malware analízissel foglalkozó weboldalakra európai IP címekről. Részvételünket elsődlegesen az európai fenyegetettség lehetősége motiválta. Később bizonyítékok igazolták Európa, azon belül is Magyarország fenyegetettségét. Az új információk világossá tették számunkra, hogy a sKyWIper elemzésünket tartalmazó riportot azonnal meg kell osztani a védekezésben illetékes szervekkel és cégekkel.

A rendelkezésre álló idő és erőforrások szűkössége miatt az elemzésünk a malware átfogó működésére koncentrál, így a fókuszban a malware moduláris felépítése, az adattárolási formátumok, titkosító algoritmusok, és a használt injekciós módszerek állnak. Nem volt célunk, és nem állt elegendő erőforrás rendelkezésünkre, hogy az egyes modulokat részletesen elemezzük, célunk inkább a további részletes
elemzés megalapozása volt. Az analízisünk eredményét a következő linken található dokumentumban foglaltuk össze:
http://www.crysys.hu/skywiper/skywiper.pdf

Az elemzésünk publikálása előtt értesítettük a főbb antivírusgyártó cégeket, a magyar CERT-et, és más illetékes szervezeteket. Emellett, a publikációval egyidőben megosztottuk a rendelkezésünkre álló malware mintákat az antivírusgyártó cégekkel, hogy a megfelelő detekciók azonnal belekerülhessenek a termékeikbe. A továbbiakban is készek vagyunk az együttműködésre a sKyWIper malware technikai analízisében, illetve a releváns információk megosztásában az erre illetékes szervezetekkel.

Update: A legújabb hírek szerint úgy tűnik, hogy a sKyWIper malware megegyezik a Kaspersky Labs által felfedezett “Flame”-el (Kaspersky report) és az iráni nemzeti CERT (MAHER) által “Flamer”-nek (MAHER CERT news) nevezett malware-el.

Duqu in the press

• Kaspersky Lab
• Symantec info, Symantec zero-day update
• New York Times
• Washington Post
• Reuters
• Forbes 1, Forbes 2
• BBC
• ZDNet, ZDNet Duqu detector 
• Ars Technica zero-day
• The Register zero-day
• Le Monde, Le Monde zero-day
• Focus Online
• Heise
• Computerwoche
• Suddeutsche Zeitung
• Computerworld
• Infoworld
• Eweek
• Origo 1, Origo 2
• HVG
• HWSW
• CERT Hungary

Duqu statement and Duqu detector

CrySyS Duqu Detector Toolkit released

We released a new open-source toolkit to detect Duqu traces and running Duqu instances. Details and the tool are available using the URL below.

http://www.crysys.hu/duqudetector.html

STATEMENT - ZERO-DAY

Our lab, the Laboratory of Cryptography and System Security (CrySyS) pursued the analysis of the Duqu malware and as a result of our investigation, we identified a dropper file with an MS 0-day kernel exploit inside. We immediately provided competent organizations with the necessary information such that they can take appropriate steps for the protection of the users.

NYILATKOZAT - ZERO-DAY

Laborunk, a CrySyS Adat- és Rendszerbiztonság Laboratórium tovább folytatta a Duqu trójai elemzését, és a kutatás eredményeként azonosítottunk egy dropper fájlt, mely egy MS 0-day kernel hibát használ fel. A szükséges információkat azonnal továbbítottuk az illetékes szakmai szervezeteknek, akik gondoskodni tudnak a felhasználók megfelelő védelméről.

Symantec status updates, Nov 2

STATEMENT

Our lab, the Laboratory of Cryptography and System Security (CrySyS) participated in the discovery of Duqu malware within an international collaboration. While gathering deeper knowledge about its functionality, we have confirmed Duqu is a threat nearly identical to Stuxnet. After the thorough analysis of samples we prepared a detailed report about Duqu, named by us. We immediately provided competent organizations with the initial report in order to jointly step up in a professionally prepared way. Our research lab will provide the professional community and the public with all relevant details in the future as well. But we can not reveal further information about the ongoing case. Instead of speculating we encourage all professional organizations to enhance the joint process of finding a solution, since strong international collaboration will remain to play a key role.

NYILATKOZAT

Laborunk, a CrySyS Adat- és Rendszerbiztonság Laboratórium egy nemzetközi összefogás keretében részt vett a Duqu trójai program felfedezésében. Mûködésének részletesebb megismerése során bizonyosodtunk meg arról, hogy a Duqu közel azonos a korábbról ismert Stuxnettel. A minták alapos elemzését követõen, részletes riportot készítettünk az általunk elnevezett Duqu trójai programról. Az elõzetes riportot azonnal eljuttattuk az illetékes szervezetekhez annak érdekében, hogy együttes erõvel, megalapozottan tudjunk fellépni. Kutatólaborunk, a jövõben is minden releváns részletet eljuttat a szakmai közösséghez és segítségükkel a közvéleményhez. A folyamatban lévõ ügyrõl azonban további információt nem hozhatunk nyilvánosságra. A spekulációk helyett a megoldást elõsegítõ közös munkára bíztatunk minden szakmai szervezetet, hiszen a szoros nemzetközi szakmai összefogásra továbbra is nagy szükség van.

Symantec report, Oct 18
Symantec status update, Oct 21

Click Trajectories

We collaborated with our colleagues at UCSD and ICSI, Berkeley to do an analysis that quantifies the full set of resources employed to monetize spam email — including naming, hosting, payment and fulfillment — using extensive measurements of three months of diverse spam data, broad crawling of naming and hosting infrastructures, and over 100 purchases from spam-advertised sites. We relate these resources to the organizations who administer them and then use this data to characterize the relative prospects for defensive interventions at each link in the spam value chain.

STUDY

K. Levchenko, N. Chachra, B. Enright, M. Félegyházi, C. Grier, T. Halvorson, C. Kanich, C. Kreibich, H. Liu, D. McCoy, A. Pitsillidis, N. Weaver, V. Paxson, G. M. Voelker, and S. Savage,
Click Trajectories: End-to-End Analysis of the Spam Value Chain,
in Proceedings of IEEE Symposium on Security & Privacy 2011, Oakland, CA, USA, May 22-25, 2011.

PRESS

• Study Sees Credit Cards as a "Choke Point" for Spam, New York Times, 19 May 2011.
• Anatomy of a Spam Viagra Purchase, Technology Review, 20 May 2011.
• Researchers: Kill spam e-mails by choking off scammers' cash, Consumer Reports, 20 May 2011.
• Forscher wollen Händlern das Spam-Geschäft vermiesen, Spiegel Online, 21 May 2011.
• Spam-Bekämpfung soll bei Banken ansetzen, Heise Online, 22 May 2011.
• Secret to Stopping Spam: Follow the Money, Scientific American, 23 May 2011.
• Spammers and Their Bankers, New York Times, Editorial, 28 May 2011.
• Spam as a Business, Bruce Schneier, 9 June 2011.
• What's the Harm If I Get What I Pay For?, Messaging News, 16 June 2011.
• Ars Technica, BoingBoing, F-Secure, Slashdot, The Register.

Dan Kaminsky DNS vulnerability study

The implementation of the defense against Kaminsky DNS attack in Hungary concerns a high number of organizations. The bug is known since July 08, 2008, and since the same date the updated software version are also available. In our analysis we checked whether the authors of the Hungarian DNS servers installed the new software versions, which are indispensable for the protection today.

The results show that about two thirds of the servers are vulnerable. Most of the large service providers have already implemented the suggested defense, but it is not enough for the protection of the users.

STUDY

Boldizsar Bencsath, Levente Buttyan
Kaminsky DNS Vulnerability - The big companies made a step already, the small ones are slower
(in Hungarian)

PRESS

• index.hu
• Hungarian Unix Portál
• IT café
• HWSW Informatikai Hírmagazin
• domainabc.hu
• C.enter Információtechnológiai Kft.
• Blog of Dr. István Zsolt Berta
• Blog of IT café