Перейти к содержанию
corpmarter

TDL4 стал использовать 0-day уязвимость

Recommended Posts

corpmarter

В начале декабря экспертами Лаборатории Касперского были обнаружены экземпляры вредоносной программы TDL4 (обновление TDSS), которые используют 0-day уязвимость для повышения привилегий в системах Windows 7/2008 x86/x64 (Windows Task Scheduler Privilege Escalation, CVE: 2010-3888 ). Данная уязвимость первоначально была обнаружена Лабораторией Касперского во вредоносной программе Stuxnet.

Использование эксплоита к данной уязвимости позволяет руткиту TDL4 устанавливаться в системе без каких либо сообщений от защитных механизмов UAC, по умолчанию функционирующих во всех современных операционных системах Windows.

При запуске троянца в системе, например в Windows 7, процесс получает отфильтрованный маркер (работа UAC), с привилегиями обычного пользователя. В результате чего, попытка внедрится в процесс диспетчера очереди печати завершается с ошибкой (ERROR_ACCESS_DENIED).

Работы по внедрению в диспетчер очереди печати ведутся и в старых версиях этой вредоносной программы. В новых же модификациях после ошибки идет попытка использования 0-day эксплоита повышения привилегий до "LocalSystem"

Так же, что интересно, инсталлятор руткита имеет при себе специальный код для обхода некоторых проактивных защит. С целью препятствовать внедрению в spoolsv руткита TDL4, некоторые проактивные защиты перехватывают в SSDT функцию NtConnectPort и, если имя порта "\RPC Control\spoolss", выдают сообщение о попытке внедрения в диспетчер очереди печати. Разработчики вредоносной программы очень просто решили эту "проблему" - они в своем собственном процессе перехватили ntdll.ZwConnectPort, где в обработчике перехватчика сверяют значение переданного параметра ServerPortName в функцию (UNICODE строка), и, если это "\RPC Control\spoolss", заменяют ее на аналог с использованием символьной ссылки на корневой каталог пространства имен диспетчера объектов.

Таким образом троянец TDSS в очередной раз подтверждает статус одной из самых опасных и сложных вредоносных программ.

ПС. Огромное спасибо Василию Бердникову (Vaber) за подготовку данного материала.

http://www.securelist.com/ru/blog/20776087..._day_uyazvimost

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AM_Bot

Экспертами Лаборатории Касперского были обнаружены экземпляры вредоносной программы TDL4 (обновление TDSS), которые используют 0-day уязвимость для повышения привилегий в системах Windows 7/2008 x86/x64 (Windows Task Scheduler Privilege Escalation, CVE: 2010-3888 ). Данная уязвимость первоначально была обнаружена во вредоносной программе Stuxnet.Читать далее

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alex Gorgeous

Как может быть уязвимость ранее неизвестной (заголовок новости), если

Данная уязвимость первоначально была обнаружена во вредоносной программе Stuxnet
?

По крайней мере заголовок сразу настроил на то, что была обнаружена какая-то новая уязвимость.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Используется уязвимость, которая известна, но еще не исправлена. Да еще и "отсебятину" добавили со старых блогов и зачем-то "LoadIntegrityCheckPolicy" всунули. В общем - читайте оригиналы ;)

Один,а второй оригинал - скоро.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww

В общем - ждите оригинал, скоро выложим.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Кто сейчас детектит реально TDL4?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Burbulator

на сколько я знаю, Symantec не детектит.

Если ошибаюсь, знатоки поправят :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
В общем - ждите оригинал, скоро выложим.

А вот и оно :)

TDSS: TDL4

  • Upvote 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • alexD
    • alexD
      Ну тогда ставьте алюминиевые. Сугубо личное мнение. 
    • kamri
      У меня частный дом, система автономная. Изначально хотел стальные, так как они дешевле.Но сейчас больше склоняюсь к алюминиевым, вроде объективно эффективней + дизайн. 
       
    • alexD
      Все будет зависеть от того, что за система отопления у вас и какой теплоноситель там. Если центральная, то ставьте биметаллические, если автономная, то алюминий.
       
    • PR55.RP55
      1) Не устанавливайте алюминиевые >  высокая коррозия - быстро могут выйти из строя, есть риск прикипания резьбовых соединений и срыва резьбы при монтаже\демонтаже, быстро остывают. Алюминий химически активный металл = реакция с кислородом и т.д. 2) Есть хорошие отзывы по биметаллическим радиаторам: большой срок службы, небольшой вес, устойчивость к коррозии на уровне чугунных батарей ( по заявлениям производителей ) 3) Чугунные: если стены\крепления позволяют нести большой вес ( 30-40 кг батарея) и речь идёт о частном доме - рекомендую их. Так, как в случае отключения электро энергии они долго остывают продолжая отдавать тепло ( по моим прикидкам  + - 1 градус в минуту  т.е. батареи будет греть ещё около часа ) при начальной температуре в помещении порядка +20 ) Если дом загородный и вы там бываете наездами и в ваше отсутствие котёл работает на минимальной мощности - то потребуется время на нагрев чугунных батарей и только после того, как металл наберёт температуру - начнётся нагрев воздуха в помещении т.е. это ещё и вопрос комфорта. Из минусов - ржавчина и чугунные батареи не подойдут если у вас котёл настенного типа с теплообменником. Ржавчина + жёсткая вода ( накипь ) = выход элемента котла из строя. = замена дорогой детали и проблема с её поиском\заменой. ---------- При монтаже системы не стоит экономить - устанавливайте трубы большого диаметра. Если помещение небольшое можно добиться естественной циркуляции теплоносителя - без установки дополнительного электро двигателя. ( и без системы бесперебойного электро снабжения ) Соответственно не брать котёл с патрубками малого диаметра. Ориентироваться на диаметр порядка: 50.  Желательно не брать котёл с теплообменником если у вас жёсткая вода и образуется много накипи = быстрое засорение. Рекомендую устанавливать котёл в отдельном помещении - во избежание запаха газа, шума работающего двигателя, шумов от стабилизатора напряжения, сигналов от бесперебойный ( при работе от батареи ) Надёжнее всего напольный котёл. ( как правило у него нет платы контролера - значит она не выйдет из строя, не нужен стабилизатор напряжения, меньшая цена котла ,  меньшая цена обслуживания, простота обслуживания )    
×