Перейти к содержанию
AM_Bot

Обнаружен троян-разведчик для промышленных систем

Recommended Posts

Mr. Justice

То есть атаки носят таргетированный характер. Верно? Александр, а какова вероятность, что атаки с помощью Duqu станут массовыми? В статье говорится, что у ЛК нет большинства описанных файлов, есть только их хэши. Как продукты ЛК будут обеспечивать защиту пользователей? Можно ли защититься с помощью KSN?

Спасибо за статью.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

Все что описано в статье - мы детектируем. А это драйвера и (иногда) маленькие файлы-конфиги. Большие зашифрованные DLL остаются без детекта, но без драйвера они и так неработоспособны будут. KSN тут нам как раз очень помогает практически моментально находить все новое.

Да, таргетированные. Я так думаю что никакого дроппера мы уже никогда не найдем. Просто потому что при атаке через сеть, по портам - там может быть просто шеллкод, который сам все поставит в систему как надо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
spw

#1

Интересно, как коррелирует время отправки из Венгрии файлов на VirusTotal и сама страна Венгрия с единственной публичной информацией о данных файлах, доступной ранее. Мы говорим о записях некоего венгерского блоггера, особенно о записи от 8 сентября, в которой он опубликовал MD5 файлов троянца-шпиона и драйвера!
Looking for friends of foes of 9749d38ae9b9ddd81b50aad679ee87ec to speak about. You know what I mean. You know why. 0eecd17c6c215b358b7b872b74bfd800 is also interesting. b4ac366e24204d821376653279cbad86 ?

Мы провели небольшое расследование и пришли к выводу, что венгерский блоггер, вероятно, работает в компании Data Contact (http://www.dc.hu/), которая является интернет-провайдером и хостером в Будапеште. Возможно, эта компания — или кто-то из ее клиентов — обнаружила данные файлы на своих компьютерах.

Честно говоря, нам, как и ряду других антивирусных компаний, достоверно известна как минимум одна компания в Венгрии, которая стала жертвой Duqu, однако данная информация пока не может быть оглашена.

#2

> Кстати, вот тебе немного дополнительной информации о простом блоггере-рыбаке

Спасибо, я конечно в курсе, и даже намного больше. Но все не для публикации

#3

Однако, прежде чем сообщить о наших очередных находках, я должен выразить глубокое уважение к работе, проделанной венгерской исследовательской лабораторией Crysys. Именно они были первыми, кто исследовал компоненты Duqu и подготовил великолепный отчет, который затем был предоставлен им другим антивирусным компаниям и стал основой для дальнейших исследований. К сожалению, наша компания не была в числе первоначальный получателей этого отчета, но тем интересней эта задача для нас сейчас – выяснить про Duqu всё.

Скажи прямо -- вы ничего не знали об этой компании и что именно она делает. На момент написания статьи #1 информация у вас была на уровне квоты #1. Чего юлить-то.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Скажи прямо -- вы ничего не знали об этой компании и что именно она делает. На момент написания статьи #1 информация у вас была на уровне квоты #1. Чего юлить-то.

Спорав, чо ты такой дерзкий ?

Ты реально думаешь что ты единственный кто догадался сопоставить Boldi и Crysys.hu и уж 100% сделал это раньше нас, а мы лохи такие, опубликовали и ничего не проверили заранее ?

Угомонись, у нас с ними была договоренность - не называть их публично до тех пор пока они сами не объявят.

Как только они это сделали - именно я первым эту новость сообщил широкой публике.

В венгерской истории есть еще куча всего о чем никто (кто в теме) публично сейчас не говорит. Поэтому твои конспирологические потуги - смешны.

Но если хочется, то вот тебе такой кирпичик туда же, вдруг ты его не заметил

http://www.crysys.hu/recent-news.html

Discussions with Peter Szor malware expert

Monday, 19 September 2011 00:00

We had interesting brainstorming with Peter Szor (USA), a malware specialist who visited Budapest for Hacktivity 2011. We discussed topics in malware analysis, code analysis techniques and related topics.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AM_Bot

virus-20-06.jpgСпециалисты по компьютерной безопасности предупреждают, что новая версия сложного кибероружия, которая нанесла серьезный вред иранской ядерной программе, может стать предвестником новой волны компьютерных атак.Читать далее

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Российские специалисты ESET разработали метод определения точной даты заражения Duqu

Москва, 26 октября 2011 г. Компания ESET, международный разработчик антивирусного ПО и решений в области компьютерной безопасности, сообщает о том, что российские специалисты компании разработали метод определения точной даты проникновения вредоносных программ семейства Win32/Duqu в систему компьютера.

Duqu – троянская программа, которая может быть использована для целенаправленных атак на крупные компании и промышленные предприятия. Вирусные аналитики компании ESET провели исследование файлов, полученных с зараженных данным вредоносным ПО компьютеров. Это позволило установить, что технологическое устройство Duqu совпадает с концепциями, реализованными в Stuxnet, а функционал проанализированных драйверов, устанавливаемых Duqu, практически полностью повторяет код Stuxnet. То есть создателями данного вредоносного ПО является организация или группа людей, которая обладает доступом к исходным кодам уже некогда нашумевшего шпионского червя.

«После появления у нас образцов Win32/Duqu, наше исследовательское подразделение сразу же сконцентрировалось на детальном анализе этой угрозы, - комментирует Александр Матросов, директор Центра вирусных исследований и аналитики ESET. - Дополнительным стимулом к повышенному интересу с нашей стороны к Duqu было очень большое сходство в технической реализации этой угрозы с червем Stuxnet, который мы детально изучали осенью прошлого года. Однако пока еще рано делать какие-то выводы о точных целях Duqu, и мы активно продолжаем наше исследование».

Российские специалисты ESET также восстановили алгоритм шифрования конфигурационных файлов Duqu и его формат. При этом они разработали методику определения точной даты заражения системы данной троянской программой, что особенно важно при проведении криминалистической экспертизы при инцидентах, связанных с заражениями компьютеров на промышленных предприятиях. Кроме того, определение времени инфицирования системы также необходимо из-за особенностей распространения Duqu – срок его пребывания в системе компьютера ограничен.

«На исследуемых нами образцах нам удалось установить даты заражения: первый набор показал дату 11/08/2011 (07:50:01), а второй - 18/08/2011 (07:29:07), - продолжает Александр Матросов. - Интересно, что время заражения системы Duqu практически идентично, но с разницей в одну неделю. При этом извлеченные образцы были из разных мест, что может говорить о том, что была проведена группа целенаправленных атак, однако пока их точная мотивация неизвестна».

На сегодняшний день наиболее вероятной версией появления Duqu является сбор информации и дальнейшее координирование действий вредоносной программы из командного центра. При этом Duqu может скачивать и устанавливать дополнительный функционал в виде модулей, которые уже выполняют основные цели атаки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

Капитан Очевидность ?

Ох, клоуны, клоуны ... пытаться сделать новость из того что ВСЕМ давно известно:

(из моего текста)

@В данном инциденте зафиксирован не только новый драйвер, но и ранее неизвестный конфигурационный файл – ird182.pnf. Несомненно, он является аналогом уже известных файлов (совпадает размер 6750 байт), но отличается содержимым. Это вызвано тем, что данный файл и должен быть уникальным – в нем хранится информация о дате установки в систему для управления процессом последующего самоудаления.@

Там крипта простейшая как два пальца об асфальт, там даже сигнатурки наложить можно статичные.

и перепечатать то, что мы уже написали, причем так вскользь, а они из этого прям новость пытаются сделать, лол :)

(из моего текста)

@Информация о том, что Duqu работает только 36 дней в пораженной системе, не совсем верна. 36-дневный счетчик использует только вариант jminet7.sys/netp191.pnf. Вариант cmi4432 самоуничтожается через 30 дней.@

«На исследуемых нами образцах нам удалось установить даты заражения: первый набор показал дату 11/08/2011 (07:50:01), а второй - 18/08/2011 (07:29:07), - продолжает Александр Матросов. - Интересно, что время заражения системы Duqu практически идентично, но с разницей в одну неделю. При этом извлеченные образцы были из разных мест

Да что ты говоришь ? Правда из разных ? Уууу, как интересно ....

:facepalm:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Плотненько рассылочки пошли :)

Duqu: обнаружены таргетированные атаки на объекты в Иране и Судане

Эксперты «Лаборатории Касперского» продолжают исследование новой вредоносной программы Duqu, имеющей общие черты с печально известным «промышленным» червем Stuxnet. Хотя реальную цель создателей новой киберугрозы еще только предстоит выяснить, уже сейчас эксперты сходятся во мнении, что Duqu является универсальным инструментом для проведения целевой атаки на ограниченное число объектов, причем в каждом случае он может быть модифицирован в зависимости от задачи.

На первом этапе исследования специалисты «Лаборатории Касперского» выявили несколько особенностей Duqu. Во-первых, в каждой модификации вредоносной программы использовался видоизмененный драйвер, необходимый для заражения системы. В одном из случаев он задействовал поддельную цифровую подпись, в других – не был подписан. Во-вторых, стала очевидной высокая вероятность наличия и других элементов Duqu, которые пока не найдены. Все это позволило сделать вывод о том, что возможности данной вредоносной программы могут быть изменены в зависимости от того, какая именно цель является объектом атаки.

Малое количество заражений (всего одно на момент публикации первой части исследования «Лаборатории Касперского») серьезно отличает Duqu от Stuxnet, с которым у нового зловреда есть явные сходства. За время, прошедшее с момента обнаружения вредоносной программы, с помощью облачной системы безопасности Kaspersky Security Network удалось выявить новые случаи заражения. Одно из них было зафиксировано у пользователя в Судане, еще три – в Иране.

В каждом из случаев использовалась уникальная модификация драйвера, необходимого для заражения системы. Более того, на компьютере пользователя из Ирана, были также зафиксированы две попытки сетевых атак через уязвимость, которая ранее использовалась и Stuxnet, и вредоносной программой Kido. Инциденты произошли 4 и 16 октября, и в обоих случаях атака проводилась с одного IP-адреса, формально принадлежащего американскому интернет-провайдеру. Если одиночную атаку можно было бы «списать» на обычную активность Kido, по-прежнему широко распространенного в Сети вируса, то факт ее повторения говорит о том, что речь идет именно о таргетированной атаке на объект в Иране. Возможно, в ходе атаки были задействованы и другие уязвимости в программном обеспечении.

«Несмотря на то, что ряд пострадавших от Duqu систем находятся в Иране, пока нет доказательств их принадлежности к промышленным объектам, тем более ядерным, – комментирует Александр Гостев, главный антивирусный эксперт «Лаборатории Касперского. – Соответственно, нельзя утверждать, что цель новой вредоносной программы – та же, что и у Stuxnet. Тем не менее, очевидно, что каждый случай заражения Duqu уникален. Собранная нами информация позволяет с уверенностью говорить о том, что Duqu используется для целевой атаки на заранее определенные объекты».

**********************************

Может я пропустил инфу, но чья подпись то была у первого образца? И каково ее происхождение может быть?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Может я пропустил инфу, но чья подпись то была у первого образца? И каково ее происхождение может быть?

Тайваньской компании C-Media. Отозвана верисайном 14 октября.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun

Может кто-то подскажет - о чём оттвиттерилась Маккафе? Моих познаний в английском не очень хватает :huh: Ссылаются на статью в журнале Smart Grid Today, но до самой статьи я добраться не смог.

translate004.jpg

post-3858-1319653780_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

Да ничего там интересного (нового для меня) нет

основано вот на этой презе

http://t.co/p16QBjGe

ну или совсем кратко - тут

http://smartgridsecurity.blogspot.com/2011...lowing-its.html

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sergey ulasen

Саша, я правильно понял, что об обнаружении этой заразы в UK и USA, заявляет McAfee ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Саша, я правильно понял, что об обнаружении этой заразы в UK и USA, заявляет McAfee ?

Да, правильно.

Об этом вчера писали уже.

http://anti-malware.ru/news/2011-10-26/4820

Там даже есть про некоторый "автомобильный завод в Иране". no comments :)

и можно найти инфу про некий зараженный Hotel chain, подозреваю что именно он в UK.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
igor wypetytb

Hi,

I am french. I thought that 2011 does not reserve more surprises viral. I am wrong.

This year will stay a great year. Stuxnet and now DuQu. They not infected a lot of system/computer, but its advanced and complex virus, created by one or more big organisation : like gouvernemtal organisation. It is a digital cold war between states/countries. I hope, it will be never a real war.

- Reverse engineering is it possible for to obtain DuQu with Stuxnet ?

- Why the same unit would use the same code, same viral base ?

- May be just a test by an another unit.

- When i saw the few countries, I think that not the same units, in regard of the countries attacked, lets you use a cover for the test by pretending to be the same controllers that Stuxnet. But this would require necessarily reverse engineering

In any case I think this is akin to a digital arms race/course. It is very dangerous. Now we speak about real/industrial system whose used in courant life : nuclear system, network water, drone, satellite, hospital, industrial components, control system of network of courant life.

A cyberwar of this kind/type will have real impact on humans, on their physical integrity. It will be a lethal war.

Cordially

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun
It will be a lethal war.

Мы все умрём? Шансов выжить нет? :P

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
igor wypetytb

AlexxSun, I am perhaps gone a bit much. ;). I know it.

It's a bit exaggerated but I'm sure that some armies are preparing

May be russian army, lol

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun

Думаю, если вирусы начнут управлять пусковыми установками межконтинентальных баллистических ракет, то нам уже не понадобится армия, ни российская, ни американская :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun

В статье собственно нет ничего нового, ещё одно признание в том, что механизм распространения этого вируса пока обнаружить не удалось.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice

Последние интересные "вести с полей":

Our lab, the Laboratory of Cryptography and System Security (CrySyS) pursued the analysis of the Duqu malware and as a result of our investigation, we identified a dropper file with an MS 0-day kernel exploit inside. We immediately provided competent organizations with the necessary information such that they can take appropriate steps for the protection of the users.

http://www.crysys.hu/

The group that initially discovered the original Duqu binaries, CrySyS, has since located an installer for the Duqu threat. Thus far, no-one had been able to recover the installer for the threat and therefore no-one had any idea how Duqu was initially infecting systems. Fortunately, an installer has recently been recovered due to the great work done by the team at CrySyS.

The installer file is a Microsoft Word document (.doc) that exploits a previously unknown kernel vulnerability that allows code execution.

http://www.symantec.com/connect/w32-duqu_s...ero-day-exploit

Кстати, новость узнал из твиттера Александра Гостева, а он что-то молчит. Александр, может поделишься какой-нибудь полуконфиденциальной информацией? Например, насколько распространен в дикой природе дропперр или атаки по прежнему носят узкотаргетированный характер?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Например, насколько распространен в дикой природе дропперр или атаки по прежнему носят узкотаргетированный характер?

А этого никто не знает. Найден только один дроппер из одной атаки. Все той же - оригинальной, в Венгрии. Как заразились все другие компании, которых видим мы или другие - все еще вопрос. Может так же, может нет.

Но счет жертвам пожалуй идет на несколько десятков по всему миру.

Мы в работе и у нас есть не менее интересная инфа, чем та что прошла сегодня, но пока не публикуем. Но все будет :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter

Более того, говорят появились новые драйверы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Более того, говорят появились новые драйверы.

Новых драйверов вообще-то - как собак нерезанных. Нам например два десятка известно. И не только драйверы - дрова сами по себе фигня, ничего такого. Есть более интересное, говорю же :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×