Перейти к содержанию
AM_Bot

Червь Stuxnet эксплуатирует четыре 0-day уязвимости

Recommended Posts

AM_Bot

Исследователи в области безопасности выяснили, что червь Stuxnet, нацеленный на инфицирование промышленных систем управления, осуществлял атаки на четыре уязвимости ОС Windows, относящиеся к типу "0-day". Хотя это вредоносное программное обеспечение было впервые обнаружено еще в июле, основное внимание на протяжении прошедших месяцев уделялось уязвимости в обработке ярлыков, на данный момент уже закрытой. Теперь же оказалось, что червь использует не одну, а несколько уязвимостей, причем две из них все еще не исправлены.

Читать далее

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sergey ulasen

Здорово сработали! ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Офигеть...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegAndr

Сложность, детальность и упаковка, а самое интересное - цель - не срубить денег а "сделать непонятное" и пугает, и настораживает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Lemmit

"Более двух месяцев мы, совместно с специалистами Microsoft и других антивирусных компаний, исследовали Stuxnet".

2 месяца на изучение 1 вредоноса? Неужели после обнаружения каждой уязвимости аналитики с горя уходили в запой? :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
2 месяца на изучение 1 вредоноса? Неужели после обнаружения каждой уязвимости аналитики с горя уходили в запой? :-)

Умничать можно только в том случае, если сами проанализировали своими руками хоть что-нибудь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Username

Такое впечатление, что это еще не все сюрпризы от создателей Stuxnet

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Username
Просто оставлю это здесь

http://www.langner.com/en/index.htm

Я давно догадывался, что без правительственного спецзаказа не обошлось ;-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Username

Можно фильм по мотивам снимать :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Jluca

Когда только узнаешь, удивляешься: ну кому может быть не жалко ресурсов на разработку такого? Теперь вижу ответ)))

Спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Остается вопрос - что с сертификатами?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Просто оставлю это здесь

Я плохо читал или доподлинно так и не известно без доступа к конкретной промышленной системе, что именно с ней делает Stuxnet?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
что именно с ней делает Stuxnet?

Что приказал хозяин, то и делает... хотя вполне очевидно что основная цель уже достигнута, ну а что конкретно он сделал или... не сделал пусть уже выдумывают аналитики это их хлеб :)

Вообще довольно добротная поделка, когда такое появляется становится очень приятно что настоящие программеры, коих к тому же осталось совсем мало, крайне редко пишут малварь.

Мне же лично больше всего понравилось, не то что там какие-то жалкие уязвимости используются, коих специалист может нарыть море при желании и сотв. финансировании, а то что не забыли встроить P2P клиента с возможность автообновления версий и соотв. управления всей сетью в условиях безвременно павшего центра управления, как бы хороший задел на будущее получился...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Что приказал хозяин, то и делает... хотя вполне очевидно что основная цель уже достигнута, ну а что конкретно он сделал или... не сделал пусть уже выдумывают аналитики это их хлеб :)

...не забыли встроить P2P клиента с возможность автообновления версий и соотв. управления всей сетью в условиях безвременно павшего центра управления...

Заручивание венды и сетевое взаимодействие лежат в совершенно разных областях и на уровнях безопасности. Нельзя надеяться, то пара скомпрометированных виндовых машин обеспечат доступ из lan во вне. Т.о. Stuxnet должен вроде как обеспечить выполнение задачи и без сетевого доступа, но аналитики так ещё и не придумали эту часть истории. Вот про это я спрашивал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Заручивание венды и сетевое взаимодействие лежат в совершенно разных областях и на уровнях безопасности. Нельзя надеяться, то пара скомпрометированных виндовых машин обеспечат доступ из lan во вне. Т.о. Stuxnet должен вроде как обеспечить выполнение задачи и без сетевого доступа, но аналитики так ещё и не придумали эту часть истории. Вот про это я спрашивал.

Ты плохо читал ?

http://www.langner.com/en/index.htm

ну или вот так из другого источника -

The behavioral pattern of Stuxnet suggests that the virus is apparently only activated in plants with a specific configuration. It deliberately searches for a certain technical constellation with certain modules and certain program patterns which apply to a specific production process. This pattern can, for example, be localized by one specific data block and two code blocks.

This means that Stuxnet is obviously targeting a specific process or a plant and not a particular brand or process technology and not the majority of industrial applications.

- The malware carries its own blocks (for example, DB890, FC1865,1874) and tries to load them into the CPU and integrate them into the program sequence. If the above-mentioned blocks are already present, the malware does not infiltrate the user program.

If the above-mentioned blocks were not present in the original program and are now detected, the virus has infected the system.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
...

Я про то, во что все эти манипуляции выливаются? Что происходит с промсистемой? Она останавливается, провоцируются критические нагрузки или просто оператору выводится "Skagi bebe"?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Я про то, во что все эти манипуляции выливаются? Что происходит с промсистемой? Она останавливается, провоцируются критические нагрузки или просто оператору выводится "Skagi bebe"?

Stuxnet manipulates a fast running process. Based on process conditions, the original code that controls this fast running process will no longer be executed. (Some people will now want to have their process engineers explain what the DEADF could mean.) After the original code is no longer executed, we can expect that something will blow up soon. Something big.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
something will blow up soon. Something big.

По мне так надумано. Желтизной отдаёт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
По мне так надумано. Желтизной отдаёт.

А по мне так любой из этих вариантов "Она останавливается, провоцируются критические нагрузки или просто оператору выводится "Skagi bebe"?" - отдает желтизной не меньшей :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

вот в украинской прессе -

http://news.zn.ua/news/35571

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×