AM_Bot

Червь Stuxnet эксплуатирует четыре 0-day уязвимости

В этой теме 40 сообщений

Исследователи в области безопасности выяснили, что червь Stuxnet, нацеленный на инфицирование промышленных систем управления, осуществлял атаки на четыре уязвимости ОС Windows, относящиеся к типу "0-day". Хотя это вредоносное программное обеспечение было впервые обнаружено еще в июле, основное внимание на протяжении прошедших месяцев уделялось уязвимости в обработке ярлыков, на данный момент уже закрытой. Теперь же оказалось, что червь использует не одну, а несколько уязвимостей, причем две из них все еще не исправлены.

Читать далее

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Сложность, детальность и упаковка, а самое интересное - цель - не срубить денег а "сделать непонятное" и пугает, и настораживает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

"Более двух месяцев мы, совместно с специалистами Microsoft и других антивирусных компаний, исследовали Stuxnet".

2 месяца на изучение 1 вредоноса? Неужели после обнаружения каждой уязвимости аналитики с горя уходили в запой? :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
2 месяца на изучение 1 вредоноса? Неужели после обнаружения каждой уязвимости аналитики с горя уходили в запой? :-)

Умничать можно только в том случае, если сами проанализировали своими руками хоть что-нибудь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Такое впечатление, что это еще не все сюрпризы от создателей Stuxnet

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Когда только узнаешь, удивляешься: ну кому может быть не жалко ресурсов на разработку такого? Теперь вижу ответ)))

Спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Просто оставлю это здесь

Я плохо читал или доподлинно так и не известно без доступа к конкретной промышленной системе, что именно с ней делает Stuxnet?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
что именно с ней делает Stuxnet?

Что приказал хозяин, то и делает... хотя вполне очевидно что основная цель уже достигнута, ну а что конкретно он сделал или... не сделал пусть уже выдумывают аналитики это их хлеб :)

Вообще довольно добротная поделка, когда такое появляется становится очень приятно что настоящие программеры, коих к тому же осталось совсем мало, крайне редко пишут малварь.

Мне же лично больше всего понравилось, не то что там какие-то жалкие уязвимости используются, коих специалист может нарыть море при желании и сотв. финансировании, а то что не забыли встроить P2P клиента с возможность автообновления версий и соотв. управления всей сетью в условиях безвременно павшего центра управления, как бы хороший задел на будущее получился...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Что приказал хозяин, то и делает... хотя вполне очевидно что основная цель уже достигнута, ну а что конкретно он сделал или... не сделал пусть уже выдумывают аналитики это их хлеб :)

...не забыли встроить P2P клиента с возможность автообновления версий и соотв. управления всей сетью в условиях безвременно павшего центра управления...

Заручивание венды и сетевое взаимодействие лежат в совершенно разных областях и на уровнях безопасности. Нельзя надеяться, то пара скомпрометированных виндовых машин обеспечат доступ из lan во вне. Т.о. Stuxnet должен вроде как обеспечить выполнение задачи и без сетевого доступа, но аналитики так ещё и не придумали эту часть истории. Вот про это я спрашивал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Заручивание венды и сетевое взаимодействие лежат в совершенно разных областях и на уровнях безопасности. Нельзя надеяться, то пара скомпрометированных виндовых машин обеспечат доступ из lan во вне. Т.о. Stuxnet должен вроде как обеспечить выполнение задачи и без сетевого доступа, но аналитики так ещё и не придумали эту часть истории. Вот про это я спрашивал.

Ты плохо читал ?

http://www.langner.com/en/index.htm

ну или вот так из другого источника -

The behavioral pattern of Stuxnet suggests that the virus is apparently only activated in plants with a specific configuration. It deliberately searches for a certain technical constellation with certain modules and certain program patterns which apply to a specific production process. This pattern can, for example, be localized by one specific data block and two code blocks.

This means that Stuxnet is obviously targeting a specific process or a plant and not a particular brand or process technology and not the majority of industrial applications.

- The malware carries its own blocks (for example, DB890, FC1865,1874) and tries to load them into the CPU and integrate them into the program sequence. If the above-mentioned blocks are already present, the malware does not infiltrate the user program.

If the above-mentioned blocks were not present in the original program and are now detected, the virus has infected the system.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
...

Я про то, во что все эти манипуляции выливаются? Что происходит с промсистемой? Она останавливается, провоцируются критические нагрузки или просто оператору выводится "Skagi bebe"?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Я про то, во что все эти манипуляции выливаются? Что происходит с промсистемой? Она останавливается, провоцируются критические нагрузки или просто оператору выводится "Skagi bebe"?

Stuxnet manipulates a fast running process. Based on process conditions, the original code that controls this fast running process will no longer be executed. (Some people will now want to have their process engineers explain what the DEADF could mean.) After the original code is no longer executed, we can expect that something will blow up soon. Something big.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
something will blow up soon. Something big.

По мне так надумано. Желтизной отдаёт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
По мне так надумано. Желтизной отдаёт.

А по мне так любой из этих вариантов "Она останавливается, провоцируются критические нагрузки или просто оператору выводится "Skagi bebe"?" - отдает желтизной не меньшей :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • Lexluthor87
       Из своего личного опыта  могу поделиться следующей информацией. Кто-нибудь знаком с порядком получения микрокредитов в интернете? Я сам множество раз встречал в сети рекламу, типа, мгновенно любую сумму на ваш счет, без поручителей и залога, нужен только паспорт и ИНН...На днях срочно понадобились 3300 дол США  на 5-6 дней, и я начал искать варианты, типа быстроденьги и т.д. Я долго искал именно такой вариант, чтобы минимально переплачивать на процентах. Как я понял, в среднем процентные ставки микрокредитов в 2018 году составляют около 1-3% в день, это в основном зависит от суммы кредита. Но есть и варианты кредитов со ставкой менее 1%!!! Ставки 0,5-0,17% в день!!! Я нашел сам когда залез на https://fin32.com/ua , там куча предложений, пришлось перечитать массу вариантов, но оно того стоило. кому надо - пробуйте)
    • seomasterpro
      Если Ваш сайт работает на WordPress, то рекомендую установить плагин "Anti-Malware Security and Brute-Force Firewall".  Данный плагин является одним из немногих, что способны не только обнаруживать вредоносный код, но и умеют  удалять его. Функции и возможности. Автоматическое устранение известных угроз. Возможность загрузки определений новых угроз по мере их обнаружения. Автоматическое обновление версий TimThumb для устранения уязвимостей. Автоматическая установка обновления WP-login.php, чтобы блокировать атаку brute force. Возможность настроек сканирования. Запуск быстрого сканирования из админ. панели или полное сканирование из настроек плагина. Если Вам нужны рекомендации как пользоваться данным плагином для выявления вредоносных кодов на Вашем сайте, то можете обратиться к спецам от веб-студии на https://seo-master.pro Без регистрации плагин работает только в режиме сканирования. Регистрация плагина позволяет получить доступ к новым определениям «известных угроз» и другим функциям таким, как автоматическое удаление, а также патчи для конкретных уязвимостей , таких как старые версии TimThumb. Обновленные файлы определения могут быть загружены автоматически после того, как только Ваш ключ зарегистрирован. В противном случае, этот плагин просто сканирует на наличие потенциальных угроз и предоставляет Вам самостоятельно определять и удалять вредоносный код.
    • PR55.RP55
      Я с какой целью вам дал ссылку ? Откройте. И, если уж пишите про PC то стоит привести его характеристики. Asus k50c 2008 год; Windows 7; Одноядерный - Celeron 220 с тактовой частотой 1200 МГц; Память: DDR2 - 2ГБ. встроенная видеокарта: SiS Mirage 3+; HDD на 250 ГБ  
    • kostepanych
      А комодо без проблем работает без инета? Можно ли обновлять базы без инета, скачав обновления с официального сайта на другом компе?
      И не будет ли он сильно грузить старый ноут Asus k50c?
    • PR55.RP55
      + Info Software
      Media Lid
      Megabit
      Megabit, OOO
      'LLC' Dort
      "LLC" Dort