Перейти к содержанию
AM_Bot

Обнаружен троян-разведчик для промышленных систем

Recommended Posts

Burbulator

A.

круто, увлекательное чтиво

спасибо!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun
Why did the attackers replace the stock OpenSSH 4.3 with version 5.8?

Так это правильная мысль - новую версию накатывали для того, чтобы замести следы вскрытия под старой версией? Или там ещё могут быть какие-то варианты?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dfg
Так это правильная мысль - новую версию накатывали для того, чтобы замести следы вскрытия под старой версией? Или там ещё могут быть какие-то варианты?

Клиент-форвадинг, управление по ssh, через цепочку ssh серверов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun

Вопрос собственно был не об этом. Как я понял из текста статьи и комментов к этой статье - авторы, а именно Камлюк, подозревают наличие эксплойта для версии 4.3, хотя вроде бы считается, что такого эксплойта нет. Именно поэтому нападающие меняли версию на 5.8, т.е. боялись, что после их нападения управление будет перехвачено какой-нить третьей стороной. Хотя может просто я текст статьи не совсем правильно понял в связи с тем, что она на английском языке.

P.S. Фигассе там коментов добавилось, уже начинаю жалеть, что я не родился в Англии или штатах :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dfg

Мне вот интересно, разве какой нибуть аутпост не помог бы от этой напасти?

Ладно шелл код выполнился, это еще вопрос, как он выполнился (а как же хваленый ASLR или они xp пробили?), но ведь еще есть сетевая активность. Управление ботнетом, закачка компонентов. Фаеры это ведь ловить должны.

Возникает вопрос об уровне ит безопасности этой иранской конторы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Мне вот интересно, разве какой нибуть аутпост не помог бы от этой напасти?

Ладно шелл код выполнился, это еще вопрос, как он выполнился (а как же хваленый ASLR или они xp пробили?), но ведь еще есть сетевая активность. Управление ботнетом, закачка компонентов. Фаеры это ведь ловить должны.

Возникает вопрос об уровне ит безопасности этой иранской конторы.

Фаеры должны ловить коннекты на 80/443 порты из процессов браузера ? :rolleyes:

Троян проинжекчен в Файрфокс, в трафике идет типа jpg картинка - тут не за что ловить же ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dfg

Ну конкретно таких подробностей я не увидел. Что используются инжекты, трафик как картинка.

Инжекты же должны ловить нахваливаемые здесь, аутпосты, антималваре и прочая прочая. Нападающие могут обойти все эти системы только в одном случае, когда четко знают, что нужно обойти. Нужен инсайдер который скажет, что стоит или оутпост, или симантек с такой вот проактивкой или пятое на десятое. А иначе придется клепать троянского гиганта, который должен знать все возможные системы ИТ безопасности и уметь их обойти. Эдак они еще бы лет 10 корпели.

Просто, возможно, что в этой конторе все проще было. Хакнул винду, больше извращатся не надо, трафик и так пойдет.

Ксати я поискал подробностей про CVE-2011-3402, но пока что-то не густо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dfg

Еще хотел уточнить

http://www.securelist.com/ru/blog/40880/Ta...u_chast_pyataya

Драйвер, ресурс 302, основной код тела - это все извлекается из doc? Не подкачивается с сети?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

Нет, все из дроппера ставится

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dfg
Нет, все из дроппера ставится

Драйвер загружает в процесс services.exe библиотеку, также находящуюся в теле эксплойта, — основной модуль дроппера — и запускает выполнение её кода.

Открываем doc, срабатывает експлоит, выполняется шелл код.

http://www.securelist.com/ru/images/pictur...g/207766930.png

Шелл код подгружает первоначальный драйвер из тела doc?

Драйвер грузит main dropper (дроппер) и инжектит его также из тела doc?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.
Возникает вопрос об уровне ит безопасности этой иранской конторы.

Обычно в Иране стоит Win XP не выше SP2. И часто хорошо, если SP1.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Александр Соколов
Возникает вопрос об уровне ит безопасности этой иранской конторы.

От запуска незнакомого документа на рабоче месте никто не застрахован. "Офисный планктон" любит всё открывать и запускать по возможности.

Отключить макросы админ наверное не имел права ибо не дома, в конторе они наверняка для работы нужны.

Настроить HIPS запретить ЦП кроме необходимых-это админ обязан был сделать, когда некоторые люди это даже на домашних пк делают. Тогда этот Duqu был бы заблокирован проактивкой и рано или поздно привлёк внимание админа, который наверняка присутствию такой штуки на машине удивился и провёл бы расследование со всеми вытекающими.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
strat

Из четвертой части

http://www.securelist.com/ru/blog/40855/Ta..._Jason_i_Dexter

Драйвер, загружаемый эксплойтом в ядро системы, имеет дату компиляции 31 августа 2007. Аналогичный же драйвер, найденный в дроппере от Crysys, датирован 21 февраля 2008. Если эта информация верна, то авторы Duqu должны были работать над этим проектом более четырех лет!

Если проводить аналогии с традиционным оружием, то можно предположить возможную работу некоей гос организации, которая может быть сформирована в любой стране:

1) Организована структура разрабатывающая кибервооружение - завербованные хакеры (интересно, вербуют ли конкретных хакеров по наводке ранее завербованных, типа - нам нужен вот этот спец, пора с ним побеседовать) и обученные спецы

2) Исследует существующие атаки, разрабатывает новые, аналогично исследуются защиты

3) Далее, по завершении исследования готовый проект сдается под ключ и поступает "на вооружение" - реестр шпионско-диверсионного программного обеспечения

4) При необходимости выполнения задачи определяется вектор атаки, берется нужный (здесь прямо просится слово "боевой" :) эксплойт в своей обвязке, планируется операция по внедрению.

5) Атака, документы на блюдечке или диверсия и все хлопают в ладоши и по спинам рядом сидящих.

Какими признаками может обладать структура - закупка профессиональных редакций защитного ПО, программ для реверса и т.д. выход в сеть на форумы посвященные исследованию защит ПО, подписка на всевозможные бюллетени безопасности. Этим как бы могут обладать много людей.

Стакснет явно был разработан в сильно индивидуальном порядке, ведь дело далеко не только в эксплойте, а вот дуку, вероятно один из поточных типов вооружения.

это все так, размышления, еще можно много напридумать, на книгу хватит :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

А сегодня новая глава будет. Как раз об этом.

Ждите :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
strat

есть предложение получить все временные метки компиляции драйверов, логон типа как в лог файле сервера с duqu, время атак, в общем любые, которые есть. тогда на основе статистики быть может получится определить часовой пояс и как следствие страну, в которой все это компилировалось, и применялось.

ну что-то типа http://www.securelist.com/ru/images/pictur...lblog/40937.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

да это мы давно сделали и часовой пояс примерно известен :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dfg

http://technet.microsoft.com/ru-ru/securit...lletin/MS11-087

Прочитал, опять куча вопросов.

Судя по описанию ипользуется обычное переполнение буфера. Почему тогда пробивается семерка и 2008? Как же хваленая комбинация DEP и ASLR?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
Судя по описанию ипользуется обычное переполнение буфера. Почему тогда пробивается семерка и 2008? Как же хваленая комбинация DEP и ASLR?

Потому что в ядре нет ни DEP, ни ASLR. DEP для ядерной памяти появится только с выходом Win8, если я правильно помню.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
Потому что в ядре нет ни DEP, ни ASLR. DEP для ядерной памяти появится только с выходом Win8, если я правильно помню.

В Windows отключить DEP для 64-битных программ и драйверов нельзя, зато для 32-битных — без проблем. Это позволяет вызвать переполнение буфера.

Не забываем про атрибут NX ("No eXecute" - "без выполнения"), который может маркировать некоторые участки памяти как неисполняемые.

Ну и для 64-х битных системах на текущих объемах памяти в начале содержат два байта 0х00 0х00. При переполнении буффера «строки», строка должна кончаться байтом 0x00.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dfg
Потому что в ядре нет ни DEP, ни ASLR. DEP для ядерной памяти появится только с выходом Win8, если я правильно помню.

Хорошо. Можно тогда разьяснить данные моменты относительно ядра.

http://technet.microsoft.com/en-us/library...483(WS.10).aspx Тут пишут что для драйверов ядра DEP применяется.

Для самого ядра получается нет? Что вкладывается в понятие ядерной памяти?

Где подробнее прочитать про эту особенность реализации DEP?

Теперь по ASLR, как понять, что в ядре нет рандомизации? Мы выполнили переполнение буфера, начали выполнять нужный нам код. Код должен вызвать функцию для закачки сплоита. Откуда функция вызывается?

В классических примерах для прикладных программ, функцию вызывают из user32.dll, но в семерке адрес этой либы раномизируется, обратится нельзя.

Что можно вызвать на ядерном уровне? Какой функцией с постоянным адресом для всех семерок воспользоваться?

В Windows отключить DEP для 64-битных программ и драйверов нельзя

По бюллетеню 64-битные винды тоже пробиваются.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dfg

Чего то тут нельзя редактировать сообщения. Поправлюсь.

Код должен вызвать функцию для закачки сплоита.

Не сплоита, а кода (трояны и тд)

По бюллетеню 64-битные винды тоже пробиваются.

Это цитата sda

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
Тут пишут что для драйверов ядра DEP применяется.

Перечитайте то, что там написано, ещё два раза. Медленно. Со словарём. Тогда и поговорим. И уберите неверный заголовок цитирования.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dfg
Перечитайте то, что там написано, ещё два раза. Медленно. Со словарём. Тогда и поговорим. И уберите неверный заголовок цитирования.

DEP is also applied to drivers in kernel mode. DEP for memory regions in kernel mode cannot be selectively enabled or disabled. On 32-bit versions of Windows, DEP is applied to the stack by default. This differs from kernel-mode DEP on 64-bit versions of Windows, where the stack, paged pool, and session pool have DEP applied.

Это то что я нашел, там касательно ядра. Больше ничего невижу.

И уберите неверный заголовок цитирования.

Не могу редактировать сообщения. Может отключена функция на форуме.

По ASLR ответ будет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×