Перейти к содержанию

Recommended Posts

A.
Не ясно следующее:

То что Kaspersky детектирует как Worm.Win32.Flame.a (ee4b589a7b5d56ada10d9a15f81dada9) было в дикой природе уже в Июле 2009.

Чего не ясно-то ? Возьми да посмотри внутрь этого файла, в его ресурс и попробуй там найти что-нибудь :)

Видишь еще какие-то модули ? И я вот не вижу. Поэтому вывод - "в основной части был создан не раньше 2010 года".

А вот Рик Фергюсон из Trend Micro считает Flame раздутым PR одной антивирусной компании

Я только не понял какой именно - там как минимум аж две упомянуты :D

все кругом тридварасы, один Рик этикал хакир. ага.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Я только не понял какой именно - там как минимум аж две упомянуты

Ну в общем да, он там наехал на Symantec с его "атомной бомбой" и ЛК со всем остальным :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter
Видишь еще какие-то модули ? И я вот не вижу. Поэтому вывод - "в основной части был создан не раньше 2010 года".

Т. е. сервиса, вырезанного из раскриптованного mscrypt.dat с Таймстампом Jul 2008 ты тоже не увидел?

4 компонента, включая две версии MSSECMGR.OCX были "в природе" уже в 2009 как малварь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Т. е. сервиса, вырезанного из раскриптованного mscrypt.dat с Таймстампом Jul 2008 ты тоже не увидел?

4 компонента, включая две версии MSSECMGR.OCX были "в природе" уже в 2009 как малварь.

Вроде для всех уже ясно написали - на таймстампы можно не смотреть даже, они фейковые на 95%

Я могу тебя еще больше удивить - все эти mssecmgr это так называемая версия 2.0. при этом mssec от 2009 года - совсем не то же самое по набору функций и возможностей, что версии от 2010-2011-2012. Расскажи мне - в каком году появились модули для снятия скринов, для записи звука, для снифа траффика, для ползанья по сети через ms10-061 ? Не знаешь ? Тогда о чем речь ?

Ты лучше 1.0 попробуй найти и ее даты узнай. Вот тогда удивишься :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter
Вроде для всех уже ясно написали - на таймстампы можно не смотреть даже, они фейковые на 95%

Кто написал? Где написали? На заборе написали? Ты брал таймстампы за отправную точку в случае модулей Stuxnet/Duqu и ты прекрасно знаешь что все это могло быть фейком и в том случае и в этом. Но в этом оказался с валидным таймстампом единственный модуль - сервис, у меня нет основания им не верить. Кроме того, alienlabs взяли таймстампы из таблицы экспорта и ты наверняка в курсе этого.

Я могу тебя еще больше удивить - все эти mssecmgr это так называемая версия 2.0. при этом mssec от 2009 года - совсем не то же самое по набору функций и возможностей, что версии от 2010-2011-2012. Расскажи мне - в каком году появились модули для снятия скринов, для записи звука, для снифа траффика, для ползанья по сети через ms10-061 ? Не знаешь ? Тогда о чем речь ?

Хе-х ты конечно забавный, имея все модули в наличии не то что не удосужился намекнуть на хэши, но даже не поделился чем-нибудь через vt, хотя это очень бы помогло другим ресерчерам, не с такой большой дороги как ты. Я тут уже приводил пример коммента к твоей статье человека, который писал "мы-ресерчеры делимся с kaspersky семплами или хэшами, но они никогда не делают этого по отношении к нам".

Ты бы хоть немного уважения проявил, McAfee, CrySys, Sophos поделились хэшами. Как считаешь к тебе и компании в целом нормально будут относится после этого?

И при том, что ушло довольно много времени просто собрать хэши/сэмплы воедино и разобраться ху есть ху, а ты тут еще поешь про какие-то семплы которые есть только у вас...издеваешься опять?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

Ты заканчивай со своими претензиями тут, алё. Ни тебе, ни кому либо другому никто ничего не должен.

А уж тем более делиться самплами, полученными под NDA и без разрешения на передачу кому-то еще.

Все что можно было отдать - мы в понедельник через CARO отдали.

Кроме тебя - никто никаких претензий не высказывает.

Чо вообще тебе надо ? Хеши ? Они уникальные и на VT их нет. Имена файлов ? Опубликованы.

Иди ищи.

Кроме того, alienlabs взяли таймстампы из таблицы экспорта и ты наверняка в курсе этого.

Alienvault, а не алиенлабс.

http://labs.alienvault.com/labs/index.php/...w-old-is-flame/

В курсе. А ты в курсе что у них там только один advnetcfg.ocx - тогда как их на самом деле, как минимум два? И второй на 200к меньше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter
Ты заканчивай со своими претензиями тут, алё. Ни тебе, ни кому либо другому никто ничего не должен.

А уж тем более делиться самплами, полученными под NDA и без разрешения на передачу кому-то еще.

Все что можно было отдать - мы в понедельник через CARO отдали.

Кроме тебя - никто никаких претензий не высказывает.

Не шипи.

Комментарий к твоей статье

I see Kaspersky would like us individual researchers to share our samples of malware with them, but where is their links to share their samples with us? Duqu's been long dead, and it's exploit long patched, and this sample is still under lock and key. The same with Stuxnet. Is Flame going to be the same way?

писал не я, так что не я один.

На момент публикации второй заметки по основному компоненту - MSSECMGR.OCX про хэши уже все знали и писали, так что публикация MD5 на тот момент ничего бы не изменила.

На счет другого advnetcfg.ocx не знаю, у меня есть доступ только к публичным хэшам, возможно, скоро он объявится.

Сам ты иди ищи файлы по именам, все нормальные люди это делают по хэшам.

А вот Рик Фергюсон из Trend Micro считает Flame раздутым PR одной антивирусной компании

Угу, нашелся один здравомыслящий человек в этом "дурдоме", который что-то смог сказать. То что малварь удаляется простым исправлением айтема из ветки реестра, наверное, никого больше не заинтересовало, для удаления потребовалось даже выпускать отдельные тулзы :facepalm:

И он далеко не один кто это говорил, к тому же он не побежал как Хиппонен трезвонить по поводу того, что АВеры прохлопали малварь, для удаления которой нужно просто подчистить ветку реестра :facepalm:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter

В целом, Хиппонену последние полгода по-моему совсем "поплохело", может я раньше не так пристально наблюдал за его "творчеством", но когда CRO AV-компании выкладывает в твиттере ссылки на утекшие мануалы по использованию ZBot/SpyEye это уже клиника. Теперь он побежал давать интервью, что AV-компании "прокололись" в поимке Flame...короче мэн пиарится как может, у меня чувство что его интересует не АВ-индустрия в целом, а собственная популярность, не более того.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
Угу, нашелся один здравомыслящий человек в этом "дурдоме", который что-то смог сказать. То что малварь удаляется простым исправлением айтема из ветки реестра, наверное, никого больше не заинтересовало, для удаления потребовалось даже выпускать отдельные тулзы :facepalm:

И он далеко не один кто это говорил, к тому же он не побежал как Хиппонен трезвонить по поводу того, что АВеры прохлопали малварь, для удаления которой нужно просто подчистить ветку реестра :facepalm:

Ты про это http://arstechnica.com/security/2012/06/wh...me-and-stuxnet/?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RuJN

Возникает несколько вопросов "почему":

а) Почему Stuxnet обнаружили ВБА из Белоруси, так не дружественной США? Почему потом Symantec, к примеру, не перехватили лидерство в расследовании (тут я точно сказать не могу, кто сколько и чего перехватил)

б) Почему со сторону Micrоsoft последовала такая медленная реакция на уязвимость с автораном?

в) В продолжение пункта б. Не держат ли Майкрософт специально такие уязвимости (уход Google из Китая - политика?)

г) В продолжение пункта а. Кто, кстати, лидер рынка ИБ в Иране? Почему там такие довольно не слабые позиции ВБА (А Иран еще к таможенному союзу присоединиться собирались) Почему и в случае с Flame его обнаружила российская ЛК?

д) Путин, как известно, не так люб Америке, как Медведев. И, через некоторое время после его прихода в президенство, Flame в Иране обнаруживает ЛК - компания российская, но с очень широким мировым вдиянием?

+http://www.fastmr.com/prod/384909_iran_defence_security_report_q3_2012.aspx

However, Iran's nuclear programme has seen an apparent US-Israeli split emerge that could work in Iran's favour, with the US government seemingly more reluctant to resort to military action than the Israeli administration of the prime minister, Benjamin Netanyahu. At the end of March, unnamed US officials leaked the revelation that Israel had secured a deal with Azerbaijan that would enable Israeli aircraft to use Azeri airbases to attack Iran. Some media commentators interpreted this as a deliberate US attempt to block Israeli action. Liberal Israeli newspaper Haaretz also reported that Tel Aviv would not now attack Iran in 2012.

Это, большинство из этого, будем надеяться, совпадения... Но, вообще, не плохо было бы задуматься более глобально.

И, через некоторое время после его прихода в президенство, Flame в Иране обнаруживает ЛК - компания российская, но с очень широким мировым вдиянием?

теоретически, подходит вариант обмена с власью: PR в обмен на некое оружие влияния

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
mike 1

Компания Microsoft опубликовала бюллетень безопасности, в котором сообщила, что шпионская программа Flame, поразившая большое количество компьютеров на Ближнем Востоке, использует компоненты, получившие сертификацию софтверного гиганта. Старший сотрудник Microsoft Trustworthy Computing Майк Рейви (Mike Reavey) заявил, что вредоносная программа использует подписи центров сертификации Microsoft для эффективного обхода обнаружения антивирусными продуктами.

Подробнее: http://www.securitylab.ru/news/425275.php

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Компания Microsoft опубликовала бюллетень безопасности, в котором сообщила, что шпионская программа Flame, поразившая большое количество компьютеров на Ближнем Востоке, использует компоненты, получившие сертификацию софтверного гиганта. Старший сотрудник Microsoft Trustworthy Computing Майк Рейви (Mike Reavey) заявил, что вредоносная программа использует подписи центров сертификации Microsoft для эффективного обхода обнаружения антивирусными продуктами.

Подробнее: http://www.securitylab.ru/news/425275.php

Точнее так

http://www.securelist.com/en/blog/20819355...ctor_identified

ну и до кучи

http://www.securelist.com/ru/blog/20776400..._serverov_Flame

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
Компания Microsoft опубликовала бюллетень безопасности, в котором сообщила, что шпионская программа Flame, поразившая большое количество компьютеров на Ближнем Востоке, использует компоненты, получившие сертификацию софтверного гиганта. Старший сотрудник Microsoft Trustworthy Computing Майк Рейви (Mike Reavey) заявил, что вредоносная программа использует подписи центров сертификации Microsoft для эффективного обхода обнаружения антивирусными продуктами.

Подробнее: http://www.securitylab.ru/news/425275.php

Уже отозвали

__________.jpg

post-6726-1338831469_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vsevolod

Пора тем, кого не любят США и Израиль, думать о переходе на Linux? ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RuJN
Пора тем, кого не любят США и Израиль, думать о переходе на Linux? ;)

Какой от этого толк? Все равно все ядерные и прочие подобные объекты используют собственноручно доработанные униксы

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vsevolod
Какой от этого толк? Все равно все ядерные и прочие подобные объекты используют собственноручно доработанные униксы

Все-не все, врядли такая полномерная статистика есть. Мера пределов для отнесения ряда компаний к списку стратегически важных (кроме очевидных) и возможности интереса к подобным атакам на них - понятие растяжимое.

Доверие к операционкам американских разработчиков у крупных компаний косвенно подрывается с учетом подобных проколов и возможных шкурных интересов с учетом внешнеполитической ситуации.

На популярные никс-семейства если все ломанутся, тоже не особо выход, поле для нахождения дыр там непаханное.

Жаль, что чисто отечественных разработок ОС для соответствующих компаний так и нет, лишь попытки подлогов были.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
mike 1
Уже отозвали

Я знаю я уже обновление установил.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter
Зачот!

Мда, круто...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout

У ребят с чуствою юмора все в порядке Please, Mr. Obama, hand over the source code of Duqu (or Beacon/NYT), as it contains GPL code. http://blog.crysys.hu/2012/06/stuxnet-duqu...e-questions-v0/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RuJN

Vsevolod

Все серьезные компании, в том числе государственные, уже сами сильно дорабатывают ОС и закоывают возможные дыры. Хотя 100 процентной защиты никогда нет

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vsevolod
Vsevolod

Все серьезные компании, в том числе государственные, уже сами сильно дорабатывают ОС и закоывают возможные дыры. Хотя 100 процентной защиты никогда нет

http://www.securitylab.ru/news/425275.php

Речь таки идет о MS.

Сколько изначально длился "праздник"?

Промышленный или политический шпионаж, не только за ядерными объектами, нередко потенциально неменьшие угрозы несет, чем угрозы прямых вредительств.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
B .
Ничего не меняется. Индустрия клоунов как обычно профукивает все, что мало мальски сложнее VBS. После начинаются интриги, скандалы, женские расследования.

Просто ЛК проспала мощный вал шумихи в прессе с Flashback, теперь, видимо PR-отделу и вирлабу была поставлена ответственная задача найти подходящую угрозу и раздуть из нее сенсацию. (зевая) Just a business...

Вот тут Винсент Пьеро из ZDNet France пишет о том, что шумиха вокруг Flame, по его мнению, сильно преувеличена и является PR-ходом одной известной антивирусной компании:

http://www.zdnet.fr/actualites/flame-peut-....htm#xtor=RSS-1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×