Hi,<div><br></div><div>As many of you will know, Symantec has just published a report about W32.Duqu:</div><div><br></div><div><a href="http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_duqu_the_precursor_to_the_next_stuxnet.pdf">http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_duqu_the_precursor_to_the_next_stuxnet.pdf</a></div>
<div><br></div><div>They claim that it&#39;s the new Stuxnet because a lot of code has been shared between Stuxnet and W32.Duqu. Draw your own conclusions after reading the report.</div><div><br></div><div>Anyway, with the information we have it&#39;s difficult to write a rule, we have two different channels, 443 that uses a binary protocol and HTTP.</div>
<div><br></div><div>For HTTP, the report says that the following request is made to the C&amp;C:</div><div><br></div><div><div>POST / HTTP/1.1 </div><div>Cache-Control: no-cache </div><div>Connection: Keep-Alive </div><div>
Pragma: no-cache </div><div>Content-Type: multipart/form-data; boundary=---------------------------77eb5cc2cc0add </div><div>Cookie: PHPSESSID=&lt;some id removed here&gt; </div><div>User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.0; en-US; rv:1.9.2.9) Gecko/20100824 Firefox/3.6.9 (.NET </div>
<div>CLR 3.5.30729) </div><div>Content-Length: 891 </div><div>Host: 206.[REMOVED].97 </div><div>---------------------------&lt;some id&gt; </div><div>Content-Disposition: form-data; name=&quot;DSC00001.jpg&quot; </div><div>
Content-Type: image/jpeg </div><div>......JFIF.....`.`.....C......................................... </div><div>... </div><div>......... </div><div>.........C.......................................................................6.6..&quot;....................</div>
<div>.................. </div><div>.....................}........!1A..Qa.&quot;q.2....#B...R..$3br.. </div><div>.....%&amp;&#39;()*456789:CDEFGHIJSTUVWXYZcdefghijstuvwxyz.........................................................</div>
<div>............................................... </div><div>.....................w.......!1..AQ.aq.&quot;2...B.....#3R..br. </div><div>.$4.%.....&amp;&#39;()*56789:CDEFGHIJSTUVWXYZcdefghijstuvwx</div><div><br></div><div>
The report also says that the user-agent us hardcoded as well as the name of the &quot;file&quot; being transmitted (&quot;DSC00001.jpg&quot;).</div><div><br></div><div>With this information I think we can write the following rule and wait to see if we have a match or we can obtain a binary/pcap to improve it:</div>
<div><br></div><div><div>alert tcp $HOME_NET any -&gt; $EXTERNAL_NET $HTTP_PORTS (msg:&quot;ET MALWARE W32.DUQU detected&quot;; flow: to_server,established; content:&quot;User-Agent|3a| Mozilla/5.0 (Windows|3b| U|3b| Windows NT 6.0|3b| en-US|3b| rv:1.9.2.9) Gecko/20100824 Firefox/3.6.9 (.NET CLR 3.5.30729)&quot;; nocase; http_header; content:&quot;Content-Disposition|3A| form-data|3b| name=|22|DSC00001.jpg|22|&quot;; nocase; http_header; reference:url,<a href="http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_duqu_the_precursor_to_the_next_stuxnet.pdf">www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_duqu_the_precursor_to_the_next_stuxnet.pdf</a>; classtype:policy-violation; sid:111111; rev:1;)</div>
</div><div><br></div><div><br></div><div>Best Regards</div><div><br></div><div><br></div>-- <br>_______________________________<br><br>Jaime Blasco<br><br><a href="http://www.ossim.com" target="_blank">www.ossim.com</a><br>
<a href="http://www.alienvault.com" target="_blank">www.alienvault.com</a><br>Email: <a href="mailto:jaime.blasco@alienvault.com" target="_blank">jaime.blasco@alienvault.com</a><br><br><a href="http://twitter.com/jaimeblascob" target="_blank">http://twitter.com/jaimeblascob</a><br>
<br>
</div>