AM_Bot

Червь Stuxnet эксплуатирует четыре 0-day уязвимости

В этой теме 40 сообщений

Исследователи в области безопасности выяснили, что червь Stuxnet, нацеленный на инфицирование промышленных систем управления, осуществлял атаки на четыре уязвимости ОС Windows, относящиеся к типу "0-day". Хотя это вредоносное программное обеспечение было впервые обнаружено еще в июле, основное внимание на протяжении прошедших месяцев уделялось уязвимости в обработке ярлыков, на данный момент уже закрытой. Теперь же оказалось, что червь использует не одну, а несколько уязвимостей, причем две из них все еще не исправлены.

Читать далее

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Сложность, детальность и упаковка, а самое интересное - цель - не срубить денег а "сделать непонятное" и пугает, и настораживает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

"Более двух месяцев мы, совместно с специалистами Microsoft и других антивирусных компаний, исследовали Stuxnet".

2 месяца на изучение 1 вредоноса? Неужели после обнаружения каждой уязвимости аналитики с горя уходили в запой? :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
2 месяца на изучение 1 вредоноса? Неужели после обнаружения каждой уязвимости аналитики с горя уходили в запой? :-)

Умничать можно только в том случае, если сами проанализировали своими руками хоть что-нибудь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Такое впечатление, что это еще не все сюрпризы от создателей Stuxnet

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Когда только узнаешь, удивляешься: ну кому может быть не жалко ресурсов на разработку такого? Теперь вижу ответ)))

Спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Просто оставлю это здесь

Я плохо читал или доподлинно так и не известно без доступа к конкретной промышленной системе, что именно с ней делает Stuxnet?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
что именно с ней делает Stuxnet?

Что приказал хозяин, то и делает... хотя вполне очевидно что основная цель уже достигнута, ну а что конкретно он сделал или... не сделал пусть уже выдумывают аналитики это их хлеб :)

Вообще довольно добротная поделка, когда такое появляется становится очень приятно что настоящие программеры, коих к тому же осталось совсем мало, крайне редко пишут малварь.

Мне же лично больше всего понравилось, не то что там какие-то жалкие уязвимости используются, коих специалист может нарыть море при желании и сотв. финансировании, а то что не забыли встроить P2P клиента с возможность автообновления версий и соотв. управления всей сетью в условиях безвременно павшего центра управления, как бы хороший задел на будущее получился...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Что приказал хозяин, то и делает... хотя вполне очевидно что основная цель уже достигнута, ну а что конкретно он сделал или... не сделал пусть уже выдумывают аналитики это их хлеб :)

...не забыли встроить P2P клиента с возможность автообновления версий и соотв. управления всей сетью в условиях безвременно павшего центра управления...

Заручивание венды и сетевое взаимодействие лежат в совершенно разных областях и на уровнях безопасности. Нельзя надеяться, то пара скомпрометированных виндовых машин обеспечат доступ из lan во вне. Т.о. Stuxnet должен вроде как обеспечить выполнение задачи и без сетевого доступа, но аналитики так ещё и не придумали эту часть истории. Вот про это я спрашивал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Заручивание венды и сетевое взаимодействие лежат в совершенно разных областях и на уровнях безопасности. Нельзя надеяться, то пара скомпрометированных виндовых машин обеспечат доступ из lan во вне. Т.о. Stuxnet должен вроде как обеспечить выполнение задачи и без сетевого доступа, но аналитики так ещё и не придумали эту часть истории. Вот про это я спрашивал.

Ты плохо читал ?

http://www.langner.com/en/index.htm

ну или вот так из другого источника -

The behavioral pattern of Stuxnet suggests that the virus is apparently only activated in plants with a specific configuration. It deliberately searches for a certain technical constellation with certain modules and certain program patterns which apply to a specific production process. This pattern can, for example, be localized by one specific data block and two code blocks.

This means that Stuxnet is obviously targeting a specific process or a plant and not a particular brand or process technology and not the majority of industrial applications.

- The malware carries its own blocks (for example, DB890, FC1865,1874) and tries to load them into the CPU and integrate them into the program sequence. If the above-mentioned blocks are already present, the malware does not infiltrate the user program.

If the above-mentioned blocks were not present in the original program and are now detected, the virus has infected the system.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
...

Я про то, во что все эти манипуляции выливаются? Что происходит с промсистемой? Она останавливается, провоцируются критические нагрузки или просто оператору выводится "Skagi bebe"?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Я про то, во что все эти манипуляции выливаются? Что происходит с промсистемой? Она останавливается, провоцируются критические нагрузки или просто оператору выводится "Skagi bebe"?

Stuxnet manipulates a fast running process. Based on process conditions, the original code that controls this fast running process will no longer be executed. (Some people will now want to have their process engineers explain what the DEADF could mean.) After the original code is no longer executed, we can expect that something will blow up soon. Something big.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
something will blow up soon. Something big.

По мне так надумано. Желтизной отдаёт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
По мне так надумано. Желтизной отдаёт.

А по мне так любой из этих вариантов "Она останавливается, провоцируются критические нагрузки или просто оператору выводится "Skagi bebe"?" - отдает желтизной не меньшей :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS