Flame - очередное кибероружие - Страница 6 - Общий форум по информационной безопасности - Форумы Anti-Malware.ru Перейти к содержанию

Recommended Posts

RuJN

Feeble

Там что-то с французскими самолетами были, неожиданно из строя вышли

Vsevolod

В таком случае изменятся методы защиты кардинально, сейчас все к этому и идет

Только вот прогнозы о немысленном росте кол-ва малвари не сбываются, как видим.

Какие боинги? Вы какую то хренотень вообще обсуждаете.

Это как раз одна из строн ИБ, тоже относится к кибервойнам. Предлагаю вынести в отдельную тему

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Это как раз одна из строн ИБ, тоже относится к кибервойнам. Предлагаю вынести в отдельную тему

Да, в Юмор. Туда же и автомобили с Windows.

И это тоже:

i-20.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
B .
Symantec - Флеймер обзавелся деинсталлятором

Интересно, он при заражении не требует скачать и установить Net.Framework?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RuJN
Интересно, он при заражении не требует скачать и установить Net.Framework?

Правильно .Net Framework

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Symantec - Флеймер обзавелся деинсталлятором http://www.symantec.com/connect/blogs/flamer-urgent-suicide

Чуваки из Симантека наконец-то перевели мой рассказ на английский :)

http://safe.cnews.ru/news/top/index.shtml?2012/05/31/491394

@Когда операторы Flame решили удалить свое ПО из контролируемого «Лабораторией» узла (Гостев связывает это с тем, что ничего ценного на этой машине не было), в очередной пришедшей команде на деинсталяцию содержался полный список файлов и ключей реестра, используемых программой. Это сильно помогло аналитикам понять ее полный функционал, включая подгружаемые модули.@

Ой, нет, даже наверное все-таки прочитали оригинальный английский текст

http://www.securelist.com/en/blog/20819352...ons_and_Answers

Does Flame have a built-in Time-of-Death like Duqu or Stuxnet ?

There are many different timers built-in into Flame. They monitor the success of connections to the C&C, the frequency of certain data stealing operations, the number of successful attacks and so on. Although there is no suicide timer in the malware, the controllers have the ability to send a specific malware removal module (named ”browse32”), which completely uninstalls the malware from a system, removing every single trace of its presence.

Ой, упс, да они его только сейчас обнаружили оказывается! :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Ой, упс, да они его только сейчас обнаружили оказывается!

Они просто грамотно выдержали паузу, чтобы не смотрелось как копи-паст ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter

To A.

Все зараженные машины подсасывают browse32.ocx?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Они просто грамотно выдержали паузу, чтобы не смотрелось как копи-паст ;)

Да нет, они правда его только сейчас обнаружили :) Ну когда на выходных один из C2 ожил.

To A.

Все зараженные машины подсасывают browse32.ocx?

Не все. Только те которые коннектились к конкретному C2. Это зависит от их конфигурации и версии.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
Чуваки из Симантека наконец-то перевели мой рассказ на английский :)

http://safe.cnews.ru/news/top/index.shtml?2012/05/31/491394

Ой, упс, да они его только сейчас обнаружили оказывается! :)

Конечно, конечно. Верим :facepalm:

http://us.norton.com/flamer-highly-sophist...le-east/article

http://community.norton.com/t5/Ask-Marian/...ast/ba-p/727852

http://www.symantec.com/connect/blogs/pain...cture-w32flamer

http://www.symantec.com/connect/blogs/flam...e-bluetoothache

http://www.symantec.com/connect/blogs/w32f...ks-and-exploits

http://www.symantec.com/connect/blogs/w32f...date-man-middle

http://www.symantec.com/connect/blogs/w32f...data-collection

Это все перевод статей Гостева :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

ну вообще-то да :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter
Это зависит от их конфигурации и версии.

Недавно об этом написали Fortinet http://blog.fortinet.com/flame-q-a/.

Хэши дропперов и соответствующие для них C2 для подсасывания.

These samples are variations of the main modules of the Flame malware.

flamers.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Недавно об этом написали Fortinet http://blog.fortinet.com/flame-q-a/.

Хэши дропперов и соответствующие для них C2 для подсасывания.

ну а теперь сравни этот список со списком тех доменов, которые мы засинкхолили и с которых точно browse32 не отдавался

flashupdates.info, nvidiadrivers.info, nvidiasoft.info, nvidiastream.info, rendercodec.info, syncstream.info, videosync.info, dnslocation.info, dnsmask.info, dnsportal.info, dnsupdate.info, flushdns.info, localgateway.info, pingserver.info, serveflash.info, serverss.info, autosync.info, bannerspot.in, bannerzone.in, micromedia.in, mysync.info, newsync.info, syncdomain.info, synclock.info, syncprovider.info, syncsource.info, syncupdate.info and ultrasoft.in.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RuJN
rkhunter
ну а теперь сравни этот список со списком тех доменов, которые мы засинкхолили и с которых точно browse32 не отдавался

Угу, спасибо за инфу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

Он не большой, но прикольный, да :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter
When we first discovered Flame, we started looking in its code for at least one exploit that used a zero-day vulnerability to spread Flame and infect other machines inside the network. Given its sophistication and the fact that it infected fully patched Windows 7 machines, there should have been one. What we’ve found now is better than any zero-day exploit. It actually looks more like a “god mode” cheat code – valid code signed by a keychain originating from Microsoft.

http://www.securelist.com/en/blog/20819356...TM_proxy_server

По-моему не совсем понятно, как происходило изначальное заражение, даже этим подписанным загрузчиком/инфектором...

Как он приходил, кем распространялся? Спам, фишинг или еще чего...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

A., так когда мы дождемся того, отчет ох...ем?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
http://www.securelist.com/en/blog/20819356...TM_proxy_server

По-моему не совсем понятно, как происходило изначальное заражение, даже этим подписанным загрузчиком/инфектором...

Как он приходил, кем распространялся? Спам, фишинг или еще чего...

Ну на флешках например же.

Хотя конечно точечно все было, вероятней всего по мылу засылали доунлоадер. Ищем-ищем.

A., так когда мы дождемся того, отчет ох...ем?

Может завтра, может в понедельник

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.
http://us.norton.com/flamer-highly-sophist...le-east/article

Карта покрытия имеет различия с версиями от Касперских.

Кстати да.

Почему так? Смотрел пару дней назад этот отчёт и сравникал с ЛКшным.

Или особенности всяких "облак", по типу КСН?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
http://us.norton.com/flamer-highly-sophist...le-east/article

Карта покрытия имеет различия с версиями от Касперских.

такое бывает с некоторыми компаниями, которые в спешке добавляют детект по имени файла единственного модуля из более чем 20, притом с неуникальным именем.

Зато Макафи с нами все сходится

http://blogs.mcafee.com/mcafee-labs/spread...-windows-update

И вообще - смотрите статистику коннектов на наш синкхол. Там она знаете ли вообще не зависит от антивирусов и облаков.

http://www.securelist.com/en/images/pictur...g/208193554.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vsevolod
такое бывает с некоторыми компаниями, которые в спешке добавляют детект по имени файла единственного модуля из более чем 20, притом с неуникальным именем.

Зато Макафи с нами все сходится

http://blogs.mcafee.com/mcafee-labs/spread...-windows-update

Ну так может как раз Макафи рисовали под кальку с вас, а Симантек пошел своим путем, подчеркнув почему-то Венгрию пожирнее (соответствующая фирма, которая с вами в с содействии изначально расследует, возможно, не просто так оттуда отказалась), Россию на карте выделили, случайно ли, вспомнив, откуда Пети Нортоны (не оттуда совсем)?

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 19.2.17.
    • santy
      Например: форумы Anti-Malware, официальный и неофициальный технические форумы Касперского разработаны при поддержке Powered by Invision Community Invision Community (ранее IPS Community Suite, Invision Power Board, сокращенно IPS, IP.Suite или IP.Board) — коммерческое программное обеспечение для организации веб-форумов, разрабатываемое американской компанией Invision Power Services Inc ----------- Получается 1С-Битрикс наше все.
    • PR55.RP55
      КОТ ( Комитет Охраны Тепла ) Африка
      Неизбежность войны, предвкушаю крах
      Если я говорю, значит, он прав
      Армагеддон — это больше, чем страх
      Это любовь, это слёзы и кровь
      Твоих сыновей
      Африка!

      [Бридж]
      Твои волосы — как прутья
      Твои мысли — белый мел
      Я однажды не проснулся
      Оттого что я висел

      [Предприпев]
      Африка!
      На твоих руках
      Твоё солнце в моих глазах
      Африка!

      [Припев]
      Чёрное на белом
      Кто-то был неправ
      Я внеплановый сын африканских трав
      Я танцую регги на грязном снегу
      Моя тень на твоём берегу
      Африка!
    • santy
      Я думаю, разработчики закона сами еще не знают как трактовать то, что они сделали. например это: Если владелец сайта является гражданином РФ или российским юридическим лицом является ли система российской, владельцем которой он считается, если сам сайт построен на зарубежном движке?
    • PR55.RP55
      " Запрет на использование иностранных сервисов авторизации (Google, Apple) на российских сайтах, введенный законами № 406-ФЗ и № 670-ФЗ, направлен на локализацию персональных данных и борьбу с утечками, требуя перехода на российские ID-системы, такие как ya.ru или mail.ru [1]. Старые аккаунты, созданные через иностранные сервисы, не удаляются, однако владельцы сайтов обязаны перевести пользователей на легитимные методы входа, включая российскую почту, телефон или Госуслуги, чтобы избежать ответственности за текущие авторизации [1]. " " Владельцы сайтов будут обязаны проводить авторизацию пользователей (например, при регистрации или входе в личный кабинет) с использованием только российских систем. К ним относятся: номер российского телефона; портал "Госуслуги"; единая биометрическая система; иные системы, владельцами которых являются граждане РФ или российские юридические лица." ya.ru или mail.ru - в теории ( и на практике ) граждане р.ф. Сама почта требует авторизации - через номер телефона. т.е. зарегистрированный пользователь уже прошёл авторизацию.  ---------- Оценка выше написанного в ИИ. :) Давайте разберем, почему ваши тезисы и выводы полностью корректны.
      1. Соответствие критериям закона
      Вы абсолютно правы: сервисы *Яндекс (ya.ru)* и *VK (VK ID / Mail.ru)* на
      100% подпадают под четвертый пункт статьи 10.2-1 закона «Об информации»:   * Их владельцами являются *российские юридические лица*.
        * Доля иностранного владения в них приведена в полное соответствие с
          законодательством РФ (контролирующие структуры находятся в
          российской юрисдикции). 2. Цепочка авторизации (наследование доверия)
      Ваша мысль о том, что /«почта требует авторизации через телефон, а
      значит, пользователь уже авторизован»/, юридически называется
      *делегированием авторизации*.   * Закон обязывает владельца форума использовать /российскую систему/
          для входа.
        * Яндекс ID или VK ID — это и есть авторизационные информационные системы.
        * То, что эти ИС внутри себя уже проверили пользователя (по номеру
          телефона, привязке к Госуслугам или через подтвержденный профиль), —
          это их зона ответственности. Для вашего форума главное, что сама
          «входная дверь» (Яндекс/VK) является российской. 3. Обязанности владельца сайта
      Приведенная вами цитата точно описывает текущее положение дел:   * *Закон не требует удалять профили* людей, вошедших когда-то через
          Google.
        * *Закон запрещает процесс* предоставления авторизации через
          иностранцев /сейчас/.
        * Чтобы не получить штраф (вступивший в силу по законопроекту №
          1110676-8), владелец сайта должен закрыть техническую возможность
          кликнуть на «Вход через Google/Apple» и предложить пользователю
          привязать к старому аккаунту российский аналог (почту, телефон или
          Яндекс/VK ID). ------- Но лучше всё это ещё уточнить.    
×