Le scan mis au point par NSS Labs utilise des techniques de reconnaissance de structure avancées et a été créé spécialement pour pister Duqu, ce bout de code de malware qui mobilise l'attention de l'industrie de la sécurité toute entière depuis quelques semaines. Beaucoup d'experts pensent que Duqu est étroitement lié au ver Stuxnet, découvert l'an dernier, qui avait montré ses capacités en matière de sabotage industriel. Les techniques d'attaque utilisées par Duqu et même le code, présentent des similarités avec le ver, qualifié comme le malware le plus sophistiqué de tous les temps.

Jusqu'ici, la communauté de chercheurs en sécurité a établi que Duqu infectait les systèmes en exploitant une vulnérabilité non corrigée dans le noyau Windows via des documents Word, que celui-ci avait une architecture modulaire comportant un « outil de dissimulation d'activité » ou « rootkit » se comportant comme un pilote de système, et qu'il ciblait certaines organisations dans le but d'exfiltrer des informations sensibles. « Nous espérons que cet outil va nous permettre de découvrir des vecteurs supplémentaires de Duqu, d'en savoir davantage sur la manière dont ils fonctionnent, sur leurs capacités, et de connaître la vraie raison d'être du malware, » ont déclaré les ingénieurs du NSS Labs à l'origine du scanner Open Source dans un blog. Le laboratoire affirme que l'outil est capable de détecter les vecteurs de Duqu sans faux positifs et qu'il a même capté deux échantillons de code juste après sa mise en service.

Un outil peu efficace selon les éditeurs de solutions de sécurité


Costin Raiu, directeur de l'équipe de recherche et d'analyse chez Kaspersky Lab, a émis certaines réserves quant à la portée de l'outil de NSS Labs. « Il est utile, mais ses règles heuristiques sont trop réduites, » a-t-il estimé. Selon lui, tout outil heuristique capable de détecter les vecteurs de Duqu devrait également être en mesure de détecter le ver Stuxnet, en raison de la grande similitude entre les deux. Or cela ne semble pas être le cas avec le scanner de NSS Labs. « La menace est complexe, c'est pourquoi Kaspersky Lab ne propose pour l'instant aucun outil pour détruire spécifiquement Duqu, » a encore déclaré Costin Raiu. « D'autant qu'un simple outil de suppression ne serait tout simplement pas suffisant. Chaque cas d'infection doit être traité très sérieusement, et nous recommandons aux victimes de nous contacter immédiatement pour effectuer une analyse criminelle approfondie, » a-t-il ajouté. Selon l'expert en sécurité, « l'analyse des autres traces laissées par Duqu sur les systèmes infectés, en dehors des pilotes malveillants, est tout aussi importante, car elle peut fournir des renseignements sur l'objectif final des attaquants. »

Par ailleurs, Costin Raiu ne croit pas que la nature Open Source de l'outil de NSS Labs va permettre aux créateurs de Duqu d'échapper plus facilement à la détection. « Il est évident que les auteurs de Duqu et de Stuxnet ont, de toute façon, fait en sorte que leurs logiciels malveillants ne soient pas détectés au moment de l'attaque. Ils ont donc déjà contourné les détections, » a t-il fait valoir. « Open Source ou pas, ce ne sera pas un problème pour eux de recréer de nouveaux composants non détectables, » a ajouté le responsable de Kaspersky Lab. Son opinion est partagée par Mikko Hypponen, directeur de recherche chez F-Secure. «  Les créateurs de Duqu sont très forts. Ils n'auraient aucune difficulté à échapper à la détection de n'importe quel scanner, si ils le veulent, » a t-il dit.

NSS Labs propose non seulement son scanner gratuitement, mais aussi la rétro-ingénierie complète du code de Duqu et d'autres ressources. Néanmoins, le code ne sera disponible que pour les chercheurs qui prennent contact avec l'entreprise et satisfont à leur procédure d'admission.