Перейти к содержанию

Recommended Posts

RuJN

Feeble

Там что-то с французскими самолетами были, неожиданно из строя вышли

Vsevolod

В таком случае изменятся методы защиты кардинально, сейчас все к этому и идет

Только вот прогнозы о немысленном росте кол-ва малвари не сбываются, как видим.

Какие боинги? Вы какую то хренотень вообще обсуждаете.

Это как раз одна из строн ИБ, тоже относится к кибервойнам. Предлагаю вынести в отдельную тему

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Это как раз одна из строн ИБ, тоже относится к кибервойнам. Предлагаю вынести в отдельную тему

Да, в Юмор. Туда же и автомобили с Windows.

И это тоже:

i-20.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
B .
Symantec - Флеймер обзавелся деинсталлятором

Интересно, он при заражении не требует скачать и установить Net.Framework?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RuJN
Интересно, он при заражении не требует скачать и установить Net.Framework?

Правильно .Net Framework

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Symantec - Флеймер обзавелся деинсталлятором http://www.symantec.com/connect/blogs/flamer-urgent-suicide

Чуваки из Симантека наконец-то перевели мой рассказ на английский :)

http://safe.cnews.ru/news/top/index.shtml?2012/05/31/491394

@Когда операторы Flame решили удалить свое ПО из контролируемого «Лабораторией» узла (Гостев связывает это с тем, что ничего ценного на этой машине не было), в очередной пришедшей команде на деинсталяцию содержался полный список файлов и ключей реестра, используемых программой. Это сильно помогло аналитикам понять ее полный функционал, включая подгружаемые модули[email protected]

Ой, нет, даже наверное все-таки прочитали оригинальный английский текст

http://www.securelist.com/en/blog/20819352...ons_and_Answers

Does Flame have a built-in Time-of-Death like Duqu or Stuxnet ?

There are many different timers built-in into Flame. They monitor the success of connections to the C&C, the frequency of certain data stealing operations, the number of successful attacks and so on. Although there is no suicide timer in the malware, the controllers have the ability to send a specific malware removal module (named ”browse32”), which completely uninstalls the malware from a system, removing every single trace of its presence.

Ой, упс, да они его только сейчас обнаружили оказывается! :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Ой, упс, да они его только сейчас обнаружили оказывается!

Они просто грамотно выдержали паузу, чтобы не смотрелось как копи-паст ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter

To A.

Все зараженные машины подсасывают browse32.ocx?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Они просто грамотно выдержали паузу, чтобы не смотрелось как копи-паст ;)

Да нет, они правда его только сейчас обнаружили :) Ну когда на выходных один из C2 ожил.

To A.

Все зараженные машины подсасывают browse32.ocx?

Не все. Только те которые коннектились к конкретному C2. Это зависит от их конфигурации и версии.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
Чуваки из Симантека наконец-то перевели мой рассказ на английский :)

http://safe.cnews.ru/news/top/index.shtml?2012/05/31/491394

Ой, упс, да они его только сейчас обнаружили оказывается! :)

Конечно, конечно. Верим :facepalm:

http://us.norton.com/flamer-highly-sophist...le-east/article

http://community.norton.com/t5/Ask-Marian/...ast/ba-p/727852

http://www.symantec.com/connect/blogs/pain...cture-w32flamer

http://www.symantec.com/connect/blogs/flam...e-bluetoothache

http://www.symantec.com/connect/blogs/w32f...ks-and-exploits

http://www.symantec.com/connect/blogs/w32f...date-man-middle

http://www.symantec.com/connect/blogs/w32f...data-collection

Это все перевод статей Гостева :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter
Это зависит от их конфигурации и версии.

Недавно об этом написали Fortinet http://blog.fortinet.com/flame-q-a/.

Хэши дропперов и соответствующие для них C2 для подсасывания.

These samples are variations of the main modules of the Flame malware.

flamers.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Недавно об этом написали Fortinet http://blog.fortinet.com/flame-q-a/.

Хэши дропперов и соответствующие для них C2 для подсасывания.

ну а теперь сравни этот список со списком тех доменов, которые мы засинкхолили и с которых точно browse32 не отдавался

flashupdates.info, nvidiadrivers.info, nvidiasoft.info, nvidiastream.info, rendercodec.info, syncstream.info, videosync.info, dnslocation.info, dnsmask.info, dnsportal.info, dnsupdate.info, flushdns.info, localgateway.info, pingserver.info, serveflash.info, serverss.info, autosync.info, bannerspot.in, bannerzone.in, micromedia.in, mysync.info, newsync.info, syncdomain.info, synclock.info, syncprovider.info, syncsource.info, syncupdate.info and ultrasoft.in.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RuJN
rkhunter
ну а теперь сравни этот список со списком тех доменов, которые мы засинкхолили и с которых точно browse32 не отдавался

Угу, спасибо за инфу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

Он не большой, но прикольный, да :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter
When we first discovered Flame, we started looking in its code for at least one exploit that used a zero-day vulnerability to spread Flame and infect other machines inside the network. Given its sophistication and the fact that it infected fully patched Windows 7 machines, there should have been one. What we’ve found now is better than any zero-day exploit. It actually looks more like a “god mode” cheat code – valid code signed by a keychain originating from Microsoft.

http://www.securelist.com/en/blog/20819356...TM_proxy_server

По-моему не совсем понятно, как происходило изначальное заражение, даже этим подписанным загрузчиком/инфектором...

Как он приходил, кем распространялся? Спам, фишинг или еще чего...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

A., так когда мы дождемся того, отчет ох...ем?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
http://www.securelist.com/en/blog/20819356...TM_proxy_server

По-моему не совсем понятно, как происходило изначальное заражение, даже этим подписанным загрузчиком/инфектором...

Как он приходил, кем распространялся? Спам, фишинг или еще чего...

Ну на флешках например же.

Хотя конечно точечно все было, вероятней всего по мылу засылали доунлоадер. Ищем-ищем.

A., так когда мы дождемся того, отчет ох...ем?

Может завтра, может в понедельник

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.
http://us.norton.com/flamer-highly-sophist...le-east/article

Карта покрытия имеет различия с версиями от Касперских.

Кстати да.

Почему так? Смотрел пару дней назад этот отчёт и сравникал с ЛКшным.

Или особенности всяких "облак", по типу КСН?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
http://us.norton.com/flamer-highly-sophist...le-east/article

Карта покрытия имеет различия с версиями от Касперских.

такое бывает с некоторыми компаниями, которые в спешке добавляют детект по имени файла единственного модуля из более чем 20, притом с неуникальным именем.

Зато Макафи с нами все сходится

http://blogs.mcafee.com/mcafee-labs/spread...-windows-update

И вообще - смотрите статистику коннектов на наш синкхол. Там она знаете ли вообще не зависит от антивирусов и облаков.

http://www.securelist.com/en/images/pictur...g/208193554.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vsevolod
такое бывает с некоторыми компаниями, которые в спешке добавляют детект по имени файла единственного модуля из более чем 20, притом с неуникальным именем.

Зато Макафи с нами все сходится

http://blogs.mcafee.com/mcafee-labs/spread...-windows-update

Ну так может как раз Макафи рисовали под кальку с вас, а Симантек пошел своим путем, подчеркнув почему-то Венгрию пожирнее (соответствующая фирма, которая с вами в с содействии изначально расследует, возможно, не просто так оттуда отказалась), Россию на карте выделили, случайно ли, вспомнив, откуда Пети Нортоны (не оттуда совсем)?

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • santy
      1. на самом деле можно и не удалять, а редактировать единственный критерий для создания запросов. Было бы только удобно формировать такой запрос.... например, "все объекты с цифровой, которая не входит в белый список". здесь ты одним значением не найдешь их фильтруя все объекты сквозным образом по ИНФО, как минимум необходимо два условия, а значит и два значения вводить для запроса. 2. подсветки нет, но это наверное не самое главное. для скорости анализа важно, (хотя бы строку из инфо, которая соответствует критерию).... когда ИНФО содержит много информации. для формирования скрипта- не критично. 3. старых и новых критериев нет. все действующие. ненужные удалить. хотя может и полезно было бы ставить check "отключить" или "включить" данное правило в базе.
        вся эта работа выполняется на стадии формирования списка объектов автозапуска. все исполняемые файлы, которые встречаются по ссылкам в реестре, в cmdLine, и проч. Если ты набрал в поиске по наименованию "cmd.exe", ты уже нашел данный объект в списке со всей его историей (ИНФО), собранной на стадии формирования образа автозапуска.... в какие параметры, ссылки входит в реестре или в cmdLine. цитата "выше Разве?" взята из предложения по деструктивным действиям чистых файлов, когда эти деструктивные действия находятся с помощью критериев, но чистый хэш снимает статус, подтверждающий дейструктивность действия данного файла в анализируемой системе.
    • PR55.RP55
      Недостатки uVS:
      1) Невозможно задать временный критерий. После поиска созданный критерий нужно удалять... Решение: При создании критерия добавить чек бокс:  НЕ вносить изменений в snms [ V ] 2) В Инфо. нет подсветки по типу поиска в браузере ( подсветить всё найденное ) 3) Поиск идёт по всем критериям -  по старым и по новым. Когда критериев много ( а их много ) такой поиск теряет смысл. Разве ? Нет смысла искать в других полях по: каталог; имя производителя; цифровой подписи; хэш. Напомню:  " Пока что вижу эти: wmic.exe, vssadmin.exe, cmd.exe, svchost.exe + powershell.exe+ netsh.exe конечно, остальные можно по мере поступления добавить.  "      
    • santy
      1. уточни, о каком функционале по ИНФО идет речь. одно дело фильтрующий поиск, т.е. список объектов фильтруется (сейчас) по определенному полю, и поиск выполняется сразу после введения одного символа, далее, уже по двум добавленным символам. и т.д. запрос же выполняется после введения некоторого значения. (не единственного символа.) запросов в таком виде сейчас нет, они могли бы быть, если будет реализована функция фильтрации по единственному критерию. (т.е. в этом случае мы получаем результат не по всем критериям, а по одному из списка) ----- здесь не факт, что фильтрующий поиск будет работать настолько быстро при проверке введенного символа по всем полям. 2. приведи примеры, когда введенное значение имеет смысл фильтровать по всем полям ИНФО. скажем если мы ищем имя файла, то нет смысла его искать в качестве вхождения в другие поля, аналогично и имя каталога, и имя производителя, и цифровой подписи, хэшей. и т.д. т.о. может получиться, что мы только увеличим время обновления зафильтрованного списка, и не получив ожидаемого лучшего результата.
    • gromm
    • gromm
×