Обнаружен троян-разведчик для промышленных систем

[Burbulator 146]

A.

круто, увлекательное чтиво

спасибо!

[AlexxSun 150]

Why did the attackers replace the stock OpenSSH 4.3 with version 5.8?

Так это правильная мысль - новую версию накатывали для того, чтобы замести следы вскрытия под старой версией? Или там ещё могут быть какие-то варианты?

[Dfg 36]

Так это правильная мысль - новую версию накатывали для того, чтобы замести следы вскрытия под старой версией? Или там ещё могут быть какие-то варианты?

Клиент-форвадинг, управление по ssh, через цепочку ssh серверов.

[AlexxSun 150]

Вопрос собственно был не об этом. Как я понял из текста статьи и комментов к этой статье - авторы, а именно Камлюк, подозревают наличие эксплойта для версии 4.3, хотя вроде бы считается, что такого эксплойта нет. Именно поэтому нападающие меняли версию на 5.8, т.е. боялись, что после их нападения управление будет перехвачено какой-нить третьей стороной. Хотя может просто я текст статьи не совсем правильно понял в связи с тем, что она на английском языке.

P.S. Фигассе там коментов добавилось, уже начинаю жалеть, что я не родился в Англии или штатах

[Dfg 36]

Мне вот интересно, разве какой нибуть аутпост не помог бы от этой напасти?

Ладно шелл код выполнился, это еще вопрос, как он выполнился (а как же хваленый ASLR или они xp пробили?), но ведь еще есть сетевая активность. Управление ботнетом, закачка компонентов. Фаеры это ведь ловить должны.

Возникает вопрос об уровне ит безопасности этой иранской конторы.

[A. 876]

Мне вот интересно, разве какой нибуть аутпост не помог бы от этой напасти?

Ладно шелл код выполнился, это еще вопрос, как он выполнился (а как же хваленый ASLR или они xp пробили?), но ведь еще есть сетевая активность. Управление ботнетом, закачка компонентов. Фаеры это ведь ловить должны.

Возникает вопрос об уровне ит безопасности этой иранской конторы.

Фаеры должны ловить коннекты на 80/443 порты из процессов браузера ?

Троян проинжекчен в Файрфокс, в трафике идет типа jpg картинка - тут не за что ловить же ...

[Dfg 36]

Ну конкретно таких подробностей я не увидел. Что используются инжекты, трафик как картинка.

Инжекты же должны ловить нахваливаемые здесь, аутпосты, антималваре и прочая прочая. Нападающие могут обойти все эти системы только в одном случае, когда четко знают, что нужно обойти. Нужен инсайдер который скажет, что стоит или оутпост, или симантек с такой вот проактивкой или пятое на десятое. А иначе придется клепать троянского гиганта, который должен знать все возможные системы ИТ безопасности и уметь их обойти. Эдак они еще бы лет 10 корпели.

Просто, возможно, что в этой конторе все проще было. Хакнул винду, больше извращатся не надо, трафик и так пойдет.

Ксати я поискал подробностей про CVE-2011-3402, но пока что-то не густо.

[Dfg 36]

Еще хотел уточнить

http://www.securelist.com/ru/blog/40880/Ta...u_chast_pyataya

Драйвер, ресурс 302, основной код тела - это все извлекается из doc? Не подкачивается с сети?

[A. 876]

Нет, все из дроппера ставится

[Dfg 36]

Нет, все из дроппера ставится

Драйвер загружает в процесс services.exe библиотеку, также находящуюся в теле эксплойта, — основной модуль дроппера — и запускает выполнение её кода.

Открываем doc, срабатывает експлоит, выполняется шелл код.

http://www.securelist.com/ru/images/pictur...g/207766930.png

Шелл код подгружает первоначальный драйвер из тела doc?

Драйвер грузит main dropper (дроппер) и инжектит его также из тела doc?

[Виталий Я. 859]

Возникает вопрос об уровне ит безопасности этой иранской конторы.

Обычно в Иране стоит Win XP не выше SP2. И часто хорошо, если SP1.

[Александр Соколов 35]

Возникает вопрос об уровне ит безопасности этой иранской конторы.

От запуска незнакомого документа на рабоче месте никто не застрахован. "Офисный планктон" любит всё открывать и запускать по возможности.

Отключить макросы админ наверное не имел права ибо не дома, в конторе они наверняка для работы нужны.

Настроить HIPS запретить ЦП кроме необходимых-это админ обязан был сделать, когда некоторые люди это даже на домашних пк делают. Тогда этот Duqu был бы заблокирован проактивкой и рано или поздно привлёк внимание админа, который наверняка присутствию такой штуки на машине удивился и провёл бы расследование со всеми вытекающими.

[A. 876]

Ох, пару недель спустя все-таки дошли руки перевести текст на русский

http://www.securelist.com/ru/blog/40936/Ta..._chast_shestaya

[strat 275]

Из четвертой части

http://www.securelist.com/ru/blog/40855/Ta..._Jason_i_Dexter

Драйвер, загружаемый эксплойтом в ядро системы, имеет дату компиляции 31 августа 2007. Аналогичный же драйвер, найденный в дроппере от Crysys, датирован 21 февраля 2008. Если эта информация верна, то авторы Duqu должны были работать над этим проектом более четырех лет!

Если проводить аналогии с традиционным оружием, то можно предположить возможную работу некоей гос организации, которая может быть сформирована в любой стране:

1) Организована структура разрабатывающая кибервооружение - завербованные хакеры (интересно, вербуют ли конкретных хакеров по наводке ранее завербованных, типа - нам нужен вот этот спец, пора с ним побеседовать) и обученные спецы

2) Исследует существующие атаки, разрабатывает новые, аналогично исследуются защиты

3) Далее, по завершении исследования готовый проект сдается под ключ и поступает "на вооружение" - реестр шпионско-диверсионного программного обеспечения

4) При необходимости выполнения задачи определяется вектор атаки, берется нужный (здесь прямо просится слово "боевой" эксплойт в своей обвязке, планируется операция по внедрению.

5) Атака, документы на блюдечке или диверсия и все хлопают в ладоши и по спинам рядом сидящих.

Какими признаками может обладать структура - закупка профессиональных редакций защитного ПО, программ для реверса и т.д. выход в сеть на форумы посвященные исследованию защит ПО, подписка на всевозможные бюллетени безопасности. Этим как бы могут обладать много людей.

Стакснет явно был разработан в сильно индивидуальном порядке, ведь дело далеко не только в эксплойте, а вот дуку, вероятно один из поточных типов вооружения.

это все так, размышления, еще можно много напридумать, на книгу хватит

[A. 876]

А сегодня новая глава будет. Как раз об этом.

Ждите

[A. 876]

Вот

http://www.securelist.com/ru/analysis/2080...tsiya_drayverov

[strat 275]

есть предложение получить все временные метки компиляции драйверов, логон типа как в лог файле сервера с duqu, время атак, в общем любые, которые есть. тогда на основе статистики быть может получится определить часовой пояс и как следствие страну, в которой все это компилировалось, и применялось.

ну что-то типа http://www.securelist.com/ru/images/pictur...lblog/40937.png

[A. 876]

да это мы давно сделали и часовой пояс примерно известен

[Dfg 36]

http://technet.microsoft.com/ru-ru/securit...lletin/MS11-087

Прочитал, опять куча вопросов.

Судя по описанию ипользуется обычное переполнение буфера. Почему тогда пробивается семерка и 2008? Как же хваленая комбинация DEP и ASLR?

[Илья Рабинович 521]

Судя по описанию ипользуется обычное переполнение буфера. Почему тогда пробивается семерка и 2008? Как же хваленая комбинация DEP и ASLR?

Потому что в ядре нет ни DEP, ни ASLR. DEP для ядерной памяти появится только с выходом Win8, если я правильно помню.

[SDA 750]

Потому что в ядре нет ни DEP, ни ASLR. DEP для ядерной памяти появится только с выходом Win8, если я правильно помню.

В Windows отключить DEP для 64-битных программ и драйверов нельзя, зато для 32-битных — без проблем. Это позволяет вызвать переполнение буфера.

Не забываем про атрибут NX ("No eXecute" - "без выполнения"), который может маркировать некоторые участки памяти как неисполняемые.

Ну и для 64-х битных системах на текущих объемах памяти в начале содержат два байта 0х00 0х00. При переполнении буффера «строки», строка должна кончаться байтом 0x00.

[Dfg 36]

Потому что в ядре нет ни DEP, ни ASLR. DEP для ядерной памяти появится только с выходом Win8, если я правильно помню.

Хорошо. Можно тогда разьяснить данные моменты относительно ядра.

http://technet.microsoft.com/en-us/library...483(WS.10).aspx Тут пишут что для драйверов ядра DEP применяется.

Для самого ядра получается нет? Что вкладывается в понятие ядерной памяти?

Где подробнее прочитать про эту особенность реализации DEP?

Теперь по ASLR, как понять, что в ядре нет рандомизации? Мы выполнили переполнение буфера, начали выполнять нужный нам код. Код должен вызвать функцию для закачки сплоита. Откуда функция вызывается?

В классических примерах для прикладных программ, функцию вызывают из user32.dll, но в семерке адрес этой либы раномизируется, обратится нельзя.

Что можно вызвать на ядерном уровне? Какой функцией с постоянным адресом для всех семерок воспользоваться?

В Windows отключить DEP для 64-битных программ и драйверов нельзя

По бюллетеню 64-битные винды тоже пробиваются.

[Dfg 36]

Чего то тут нельзя редактировать сообщения. Поправлюсь.

Код должен вызвать функцию для закачки сплоита.

Не сплоита, а кода (трояны и тд)

По бюллетеню 64-битные винды тоже пробиваются.

Это цитата sda

[Илья Рабинович 521]

Тут пишут что для драйверов ядра DEP применяется.

Перечитайте то, что там написано, ещё два раза. Медленно. Со словарём. Тогда и поговорим. И уберите неверный заголовок цитирования.

[Dfg 36]

Перечитайте то, что там написано, ещё два раза. Медленно. Со словарём. Тогда и поговорим. И уберите неверный заголовок цитирования.

DEP is also applied to drivers in kernel mode. DEP for memory regions in kernel mode cannot be selectively enabled or disabled. On 32-bit versions of Windows, DEP is applied to the stack by default. This differs from kernel-mode DEP on 64-bit versions of Windows, where the stack, paged pool, and session pool have DEP applied.

Это то что я нашел, там касательно ядра. Больше ничего невижу.

И уберите неверный заголовок цитирования.

Не могу редактировать сообщения. Может отключена функция на форуме.

По ASLR ответ будет?