Duqu2.0是現今為止最為復雜的蠕蟲，廣泛應用于各種APT攻擊事件中。全球知名網絡安全公司——卡巴斯基實驗室經常會披露各機構遭APT攻擊，但是這次卻親身感受了下，且被攻擊長達數月未察覺。

　　百科：Duqu

Duqu最早出現在2011年9月，是繼Stuxnet蠕蟲后最為惡性的一種可竊取信息的蠕蟲，大多數Duqu出現在工控系統中。它是一非常復雜的惡意程序，利用了大量的0day漏洞和惡意軟件。安全研究員發現Duqu2.0的目標主要是新近P5+1的伊朗核武器談判和IT安全公司，當然還不止這些，西方國家、亞洲國家、中東國家也在他們的攻擊范圍之內。

據卡巴斯基實驗室的研究員人員的調查發現Duqu2.0使用的0day主要有以下3種：

·CVE-2015-2360;

·CVE-2014-4148;

·CVE-2014-6324;

卡巴斯基實驗室被Duqu2.0入侵長達數月

卡巴斯基實驗室在檢測高級持續性攻擊(APT)新技術時，無意中發現了Duqu2.0的入侵行為，專家確定Duqu2.0應該已經在公司的網絡中潛伏數月了，同時表示卡巴斯基的用戶或合作伙伴的信息沒有收到威脅。

此次攻擊應該是以釣魚攻擊(罪惡的源頭)開始的，攻擊者先從亞太地區一小公司職員入手的，通過釣魚攻擊層層地入侵，直至入侵卡巴斯基實驗室的內網。

檢測到Duqu2.0的入侵之后，卡巴斯基實驗室就開始了大規模的內部審計，并且一直還在持續審計中。之所以做出了規格如此高的審核，就是因為他們也認為Duqu2.0是極其復雜的惡意程序，稍有不慎就有可能被趁機而入了。

新型的Duqu和2011年出現的變種很像，還有一個比較有趣的現象是Duqu2.0的幕后黑手似乎只在周六的時候不工作，不信請看下面的時間戳：

Duqu2.0不會建立任何on-desk文件，也不會生成注冊表目錄，它是一種基于內存的應用程序，因此很難檢測到;另外它與控制服務器通信時所使用的系統也很復雜，它不會直接與C&C服務器進行通信，而是會先在網關和防火墻處安裝惡意驅動，然后將所有流經內部網絡的流量發送到攻擊者C&C服務器上。這樣一經混合，就很難被檢測到了。

為什么攻擊卡巴斯基實驗室?

1、可能是想竊取卡巴斯基實驗室的技術信息，旨在下次發動間諜攻擊的時候不被檢測到;

2、可能是對卡巴斯基的調查感興趣，因為公司中有很多有價值的數據。

卡巴斯基發文回應

為了安撫公司的客戶和合作伙伴，并找回一點面子，卡巴斯基實驗室創始人、執行總裁Eugene Kaspersky本人在Forbes網站上專門寫了一篇文章《Why Hacking Kaspersky Lab Was A Silly Thing To Do》(為什么黑卡巴斯基的行為是愚蠢的)：

“這次攻擊很明顯是一次國家支持的工業間諜行動，因為對手用了“極為創新和先進”的惡意軟件，而其中的手法也很叫絕，并且代價高昂，需要很多時間和人力來琢磨和開發。

這種攻擊并不明智：你偷我的源代碼有意義大嗎?軟件總是在不斷進步的嘛，偷來的代碼很快就會過時。這么想了解我們公司內部怎么運作和技術機密?這里當然是有些機密的，但是并沒有什么速成寶典，一切都是我們的人艱苦努力的成果而已，如果有興趣可以多做技術交流，而且我們也一直在對外授權很多技術。”