Güvenli içerik ve tehdit yönetimi çözümleri lideri Kaspersky Lab, Duqu Trojan ile ilgili en büyük gizemlerden birini çözmek için programlama komitesinin desteğini istedi ve Duqu Trojan’in içerisinde Paload DLL’deki kötü amaçlı programa yerleştirilmiş bilinmeyen bir koda rastlandığı ortaya çıktı. Bu bilinmeyen kod bölümü “Duqu Framework” olarak adlandırıldı. Kurban olarak seçilmiş bir kullanıcının bilgisayarına bulaşan Trojan Duqu Framework, Payload DDL’nin Emir&Kontrol (C&C) sunucularıyla iletişim kuran kısmı.
Programlama komitesinden büyük oranda aldığı geri dönüşler sayesinde Kaspersky Lab uzmanları, Duqu Framework’un Microsoft Visual Studio 2008, optimize kod ve satıriçi genişletme için özel seçenekler derleyen “C” kaynak kodunu içerdiğini kesin olarak tespit etti. Kodun aynı zamanda nesneye dayalı programlamayı C ile ifade eden, genellikle de “OO C” yapısıyla kullanılan özelleştirilmiş bir eklenti ile yazıldığı ortaya çıkt
Bu tür kurum içi programlama oldukça karmaşık olduğundan genellikle güncel kötü amaçlı yazılımlara oranla karmaşık “sivil” yazılım projelerinde yer alıyor
Duqu Framework için C++ yerine neden OO C kullanıldığı ile ilgili belirli bir açıklama olmamasına rağmen iki sebep konuyu açıklıyor:
- Kod üzerinde daha fazla kontrol: C++ yayınlandığında, birçok eski programcı bellek ataması ve kodun işletilmesinde sorun yaratabilecek anlaşılması güç dilinden dolayı uzak durmayı tercih etmişti. OO C ise beklenmeyen durumları yaratma konusunda daha düşük bir orana sahip güvenilir bir yapı sunuyordu.
- Kolayca taşınabilme özelliği: Bundan 10-12 yıl kadar önce, C++ tamamen standart bir hale sokulamamıştı ve C++ kodunun her derleyici ile işlem görebilir olduğunu söylemek doğru olmazdı. C kodu, C++ kodunda karşılaşılan sınırlamalar olmadan her platformda kullanılabildiği için programcılara kolayca taşınabilir özelliğini sunuyor.
Kötü Amaçlı Yazılım Uzmanı Igor Soumenkov; “Bu iki sebep, kodun hayli esnek ve adapte olunabilir bir saldırı platformunu desteklemek adına özelleştirilmiş bir yapı yaratmak isteyen deneyimli bir grup “eski” geliştirici tarafından yazıldığını gösteriyor. Kod, önceki siber operasyonlarda yeniden kullanılmış ve Duqu Trojan’a entegre edilmesi için düzenlenmiş olabilir. Ancak bu gibi teknikler normalde seçkin yazılım geliştiricilerde görülüyor ve günümüzün kötü amaçlı yazılım sektöründe neredeyse hiç karşılaşılmıyor” dedi.
Igor Soumenkov tarafından yazılan analizin tamamına ulaşmak için Securelist ziyaret edilebilir. Analiz aynı zamanda yapının teknik detaylarını, tanımlama metotlarını ve Kaspersky Lab’in Duqu bilmecesini çözmesine yardım eden önemli yorumları içeriyor.