Перейти к содержанию
AM_Bot

Исследование Flame продолжается

Recommended Posts

AM_Bot

1397138[1].jpg«Лаборатория Касперского» объявила о результатах нового исследования сложной вредоносной программы Flame, проведенного совместно с МСЭ-ИМПАКТ, CERT-Bund/BSI и компанией Symantec. В результате анализа нескольких командных серверов, которые использовались создателями Flame, эксперты обнаружили следы трех других вредоносных программ. Кроме того, они установили, что разработка платформы Flame началась еще в 2006 году.

подробнее

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter

Объявила-то объявила, только кому Flame все еще должен быть интересен и какие причины для этого.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Username
Объявила-то объявила, только кому Flame все еще должен быть интересен и какие причины для этого.

100% еще не раз услышим об этой группе вирусоделов. Многие догадываются кто за этим стоит, но станет когда-нибудь известно кто конкретно?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Объявила-то объявила, только кому Flame все еще должен быть интересен и какие причины для этого.

Суть не в Flame, а в IP, SP, SPE

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Статья интересная. А детали по командному серверу по каким-то соображениям специально не стали публиковать? Интересно где он находился и как вы получили к нему доступ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Porto

Александр, ответьте на несколько вопросов:

1) На каких основаниях хостинговые компании передают вам данные, пренадлежащие третьим лицам (образы управляющих серверов) ?

2) На каких основаниях DNS-регистраторы дают перенастраивать вам записи третьих лиц на ваши сервера ?

3) На каких основаниях вы начинаете контролировать ботнет и фактически получать данные с зараженных машин ?

Чем вы в этом смысле отличаетесь от злоумышленников ?

Это при усановке вашего антивируса пользователи добровольно соглашаются на отсылку данных в ваше облако, а тут вам никто такого права не делегировал

4) О чём думает ваш директор, вовлекая компанию и сотрудников в срыв проводящихся операций спец.служб государств ?

Он точно думает о бизнесе ?

Вы точно подумали о семье, о себе ?

Вы считаете, что срыв операций, готовившихся годами останется для вас и вашей компании безнаказанным ?

5) Зачем вы вообще занимаетесь конкретно данной темой ?

PR ?

Довести раскопки до реальных участников ?

6) По какой причине вы "запикали" никнеймы в исходных текстах ?

Почему не желаете их раскрыть ?

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Porto

Что касется самой статьи...

Если бы вы поделились большей порцией материалов, то это существенно облегчило бы помощь в установлении участников мероприятия

Пользуясь предоставленными ограниченными данными можно было сделать несколько выводов:

Стилистика названий файлов, объектов и т.д. приводит к выводу: IBM + Java

Вам в прошлых статьях давали наводку на бывшее антивирусное подразделение данной компании

Поиск комментариев дал ОЧЕНЬ интересный результат:

==========

http://code.google.com/p/nessquik/source/b...anmenow.php?r=2

<?php

/**

* @author Joe Klemencic. Modified heavily by Tim Rupp

*/

==========

Знаете кто это ?

==========

Tim Rupp and Joe Klemencic, two of Fermilab's computer security

wizards, posed as the bad guys to offer a challenge in the Indiana

state-wide college cyber defense competition held at Indiana Tech.

With their role-playing, Klemencic and Rupp helped to educate the

tech-savvy students about what motivates the enemy.

Joe Klemencic is currently performing Data Security responsibilities at Fermi National Accelerator Laboratory in Batavia, Illinois.

==========

За Fermi следует DOE...

По упоминанию Nessus решил посмотреть ихний сайт

В частности

http://www.tenable.com/partners/strategic-partners

- Core Security Technologies (вспоминаем про останавливаемую службу)

- Digital Bond

Tenable and Digital Bond have been working together for six years primarily in the areas of security and compliance auditing for SCADA systems.

- Immunity, Inc.

Tenable and Immunity, Inc. (the makers of the Canvas penetration testing tool), have partnered with ImmunitySec and DSquare Security to offer the Nessus ProfessionalFeed, Canvas and DSquare Exploitation pack as a single commercial offering.

SCADA, эксплойты, министерство энергетики...

У Symantec'а чуть менее запикано вышло

Там вот R*** - это не Rupp случайно ?

Нельзя ли чуть больше сэмплов php-исходников ? ;)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

О, я гляжу у нас завелся свеженький онанимус. И он даже нравится Шабанову, так что за два поста словил плюс.

Ну ок, давай поговорим.

Александр, ответьте на несколько вопросов:

1) На каких основаниях хостинговые компании передают вам данные, пренадлежащие третьим лицам (образы управляющих серверов) ?

За наши (мои) красивые глаза и чувство юмора.

2) На каких основаниях DNS-регистраторы дают перенастраивать вам записи третьих лиц на ваши сервера ?

За наши (мои) красивые глаза и чувство юмора.

3) На каких основаниях вы начинаете контролировать ботнет и фактически получать данные с зараженных машин ?

На основании принципов работы сетевых протоколов. Кто сидит на втором конце кабеля - тот и получает.

Чем вы в этом смысле отличаетесь от злоумышленников ?

Тем что у них есть ключ для расшировки, а у нас нет. хнык, хнык :(

4) О чём думает ваш директор, вовлекая компанию и сотрудников в срыв проводящихся операций спец.служб государств ?

Он точно думает о бизнесе ?

Вы точно подумали о семье, о себе ?

Вы считаете, что срыв операций, готовившихся годами останется для вас и вашей компании безнаказанным ?

Я вот поражаюсь, как вообще например компании-производители бронежилетов ничего не боятся ? Они же столько операций и стольким сорвали, ужасть просто.

5) Зачем вы вообще занимаетесь конкретно данной темой ?

PR ?

Довести раскопки до реальных участников ?

Мы занимаемся обнаружением и уничтожением вредоносного кода. Работа у нас такая.

6) По какой причине вы "запикали" никнеймы в исходных текстах ?

Почему не желаете их раскрыть ?

Мне позвонил Барак Обама (кажется это был он) и попросил не делать этого.

Что касется самой статьи...

Если бы вы поделились большей порцией материалов, то это существенно облегчило бы помощь в установлении участников мероприятия

Нельзя ли чуть больше сэмплов php-исходников ? ;)

А ключи от квартиры где деньги лежат Вам не дать ? (с)

SCADA, эксплойты, министерство энергетики..

Я вам больше скажу. Весь Интернет - вот вообще ВЕСЬ... он знаете где и кем создан был ? Ооо!

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Porto
На основании принципов работы сетевых протоколов. Кто сидит на втором конце кабеля - тот и получает.

Я имел в виду юридические аспекты данного вопроса

Кто "жучок" поставил тот и слушает - это конечно хорошо с технической точки зрения...

Но что-то мне подсказывает, что вы пытаетесь подменить государственные службы, причём в частном порядке

Довольно вольно обращаетесь с чужой информацией

Тем что у них есть ключ для расшировки, а у нас нет. хнык, хнык

Если я правильно прочитал статью, то данные перепаковываются приватным ключем на сервере, а на него они приходят as is

Собственно безотносительно текущей цели исследования

Вы ведь и другие ботнеты перехыватывали

А данные там не факт что шифровались до степени неизвлекаемости, а вы начинали на непонятном обосновании получать к ним доступ

У вас индульгенция что ли на белость и пушистость ?

Попробуйте доходчиво мне объяснить, почему ваша эта (само)деятельность не подпадает под статью 272 УК РФ ?

Я вот поражаюсь, как вообще например компании-производители бронежилетов ничего не боятся ? Они же столько операций и стольким сорвали, ужасть просто.

Как вы понимаете, бронежилеты лишь затрудняют проведение операций по ликвидации назначенных целей

Если предполагается, что жертва будет использовать средства индивидуальной бронезащиты, то соответственно будет выбрано иное оружие и тактика

В случае всех этих Stuxnet'ов как я понимаю они просто не ставятся на машины, где есть ваш продукт

Что, кстати, меня тогда несколько удивляет: откуда тогда заявления, что вы получаете информацию о них из вашей KSN ?

Вы же не молча защищаете своих клиентов (которых, по идее среди жертв и не должно быть), а устраиваете шумную публичную PR-компанию,

начинаете требовать переключить на себя управляющие сервера, чем в итоге заставляете прекратить операцию

Если в случае центрифуг или там удаления данных цели были достигнуты, но мониторинг (Gauss) предполагал продолжение банкета, а вы его им закончили...

Мне позвонил Барак Обама (кажется это был он) и попросил не делать этого.

Ёрничаете и ладно

Просто это странно

То боремся и кричим, то язык втянули

Там оказался прямой или вычисляемый (типа моих измышлений) компромат на кого-то из индустрии ?

Я вам больше скажу. Весь Интернет - вот вообще ВЕСЬ... он знаете где и кем создан был ? Ооо!

Это вы первыми помянули Core Technologies

Использование 0day предполагает его получение. Не обязательно для этого иметь своих штатных специалистов. Ведь можно официально купить...

А там начнут выплывать всякие интересные игроки, типа Vupen и т.п.

А ключи от квартиры где деньги лежат Вам не дать ? (с)

Значит PR ?

Сами по себе фрагменты исходников ценности не представляют никакой

Нагребли доказательств "до приезда милиции" и теперь их дозированно выкладываете ?

В чём "деньги" ?

Отредактировал Porto
  • Upvote 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter

Пиара-то конечно море, но это так сказать креативный пиар, я имею в виду изменение стилистики главного сайта под исследуемую угрозу, красочные обложки в твиттере, предоставление дополнительных сервисов, etc. У Symantec какое-то все сухое, не говоря уже об остальных. Так что это только плюс.

Но по-моему это уже какой-то явный перебор с муссированием того же Stuxnet-а, сколько можно, несколько лет одно и то же...уже начинает складываться впечатление, что компания пиарит этот Stuxnet, хотя для обычных пользователей он ровным счетом ничего не значит [более того, появилась куча более актуальных областей для исследований]. Может пора заканчивать изголяться над этим вроде вымершим созданием, на котором уже отпиарились все кому не лень.

stuxp.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter
Сами по себе фрагменты исходников ценности не представляют никакой

Нагребли доказательств "до приезда милиции" и теперь их дозированно выкладываете ?

В чём "деньги" ?

Прямо скажем LOL, чтобы ответить на все эти вопросы парни из Kaspersky наверное уже весь свой штат мобилизовали :facepalm: , ничего себе исповедь O_O.

Сами откуда будете?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
О, я гляжу у нас завелся свеженький онанимус. И он даже нравится Шабанову, так что за два поста словил плюс.

Ну во первых он выложил версию по авторам и задал на мой взгляд интересные вопросы, которые многим приходят в голову. От чего не плюсануть то ...

Так все же сервер где был? Хочется детали спецоперации. Это же самое интересное. Как детали ликвидации Усамы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Ну во первых он выложил версию по авторам и задал на мой взгляд интересные вопросы, которые многим приходят в голову. От чего не плюсануть то ...

какая версия по авторам ?

вот эти вот бредни с притянутыми за уши Core Security и непонятно как приклеенным ко всему этому какими-то сотрудниками каких-то даже не третьих, а четвертых компаний ?

Вот скажите мне КАК из этого абзаца у человека вырастают какие-то версии, от которых он уже и связи с SCADA и с лабораториями Ферми и зеродеями вывел ?

"Судя по всему, служба msyslog, которую поддерживает компания Core Security, может работать в операционных системах Linux, BSD, Irix, Solaris и AIX. Последняя на данный момент версия службы msyslog была выпущена 15 апреля 2003 года. Ни на одной из изученных нами систем не была установлена служба msyslog."

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Porto
какая версия по авторам ?

Версия по авторам проистекает из того, что специфический комментарий был нагуглен только в вашем описании и в исходнике за авторством весьма интересных личностей

Если я правильно понял, то эти товарищи - гуру безопасности и работают экспертами в этой самой лаборатории Ферми

Думаю, что это довольно сильно закрытое и специфичное учреждение

И люди такого ранга могут вполне себе привлекаться к атаке такого типа и уровня как Stuxnet

Все остальные размышления - чисто гипотетические и по цепочке

Дайте исходничек какой побольше на обозрение, чего жадничаете-то ?

Можно было бы стилистику сравнить. Это достаточно просто

Последняя на данный момент версия службы msyslog была выпущена 15 апреля 2003 года. Ни на одной из изученных нами систем не была установлена служба msyslog.

Всё верно

Тут два варианта:

1) Это копипаста откуда-то, т.е. человек взял какой-то шаблон скрипта тотальной зачистки, частично иодифицировал и запользовал

2) Использование данной службы специфично для корпоративной среды, где работал / работает автор скрипта.

Логичным предположением является то, что сама контора использует свои же службы

Человек по какой-то причине думал, что это - штатное положение дел и на сторонних хостингах, где они разместил сервер управления

Про фактически нелегальную деятельность некоторых компаний из области безопасности не хотите продолжить дискуссию ?

А то у вас прямо какой-то "комплекс супер-героя": мы делаем добро, поэтому нам много чего теперь можно

Microsoft вон хотя бы ордер ради приличия себе заказывает, чтобы домены прибрать к рукам...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter
Microsoft вон хотя бы ордер ради приличия себе заказывает, чтобы домены прибрать к рукам...

Если Microsoft заказывает ордер, то они прибирают к рукам весь сервер со всем железом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Porto
Так все же сервер где был? Хочется детали спецоперации. Это же самое интересное. Как детали ликвидации Усамы.

Ну раз им дамп выдали, значит на хостинге, который сливает образы клиентских виртуалок "за красивые глаза" :)

На domaintools можно посмотреть историю смен IP доменом, но кажется за деньги

А далее определить что был за хостер

Я бы вопрос несколько поменял:

Сервера были куплены или были взломаны чьи-то чужие ?

Судя по описанию насчёт маскировки под баннерную систему - склоняюсь к тому, что куплены

Тот же вопрос про домены

Судя по именам - там явная покупка, а не использование чужих

Ну и главное: а чем расплачивались при покупке и что за платёжные средства были исползьованы ?

То, что при покупке доменов использовались адреса отелей - это понятно всё, а вот оплачивались с ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter
Ну раз им дамп выдали, значит на хостинге, который сливает образы клиентских виртуалок "за красивые глаза" :)

Ну выдали и выдали, возможно обратились в правоохранительные органы, к чему вы тут такой кипиш-то подняли? Вы что хотите чтобы вам на форуме все детали этой спецоперации выложили что ли?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Если я правильно понял, то эти товарищи - гуру безопасности и работают экспертами в этой самой лаборатории Ферми

Точняк, и поэтому они сидят и кодят на PHP гавноскрипты.

Бросьте уже искать черную кошку в черной комнате, тем более что ее там нет. Ничего такого особого в тех никнеймах нету.

Ну и главное: а чем расплачивались при покупке

Долларами или шекелями ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Porto
Точняк, и поэтому они сидят и кодят на PHP гавноскрипты.

Бросьте уже искать черную кошку в черной комнате, тем более что ее там нет. Ничего такого особого в тех никнеймах нету.

Долларами или шекелями ?

Так распикайте, раз ничего нет. Для вас

Ну скорее всего там доллары или евро, если хостинг европейский какой

Про израильский след в таком виде это смешно, хотя гугл подбрасывает занятных товарищей по именам файлов

http://code.google.com/p/non/source/browse...taContainer.php

которые и оттуда и IBM и IAF

Разумеется интересен метод платежа: карточка, Paypal, или хакерская Liberty Reserve

На кого зарегистрирован аккаунт

Оплата хостингов на долгий срок предполагает что это не краденное

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Так распикайте, раз ничего нет. Для вас

Я же сказал, что Обама попросил запикать.

Про израильский след в таком виде это смешно, хотя гугл подбрасывает занятных товарищей по именам файлов

http://code.google.com/p/non/source/browse...taContainer.php

которые и оттуда и IBM и IAF

Смешно - это ваши поиски по именам файлов, типа "StaticDataContainer.php". Рекомендую еще поискать по cp.php - получите столько вариантов для исследований, что до пенсии хватит.

Вы уж определитесь - то ли они секьюрити-гуру из закрытых лабораторий, то ли они в опен-сорсе на гугл коде все держат.

Самому не смешно ?

Разумеется интересен метод платежа: карточка, Paypal, или хакерская Liberty Reserve

На кого зарегистрирован аккаунт

Оплата хостингов на долгий срок предполагает что это не краденное

Хотите узнать каким образом спецслужбы оплачивают хостинги ?

Я знаю, но не скажу. Хотя вы все равно не поверите, даже если скажу :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegAndr
За наши (мои) красивые глаза и чувство юмора.

Каждый покупатель телематических услуг подписывает соглашение или правила использования. Если вы их читали, то знаете что ими запрещается использование услугами для незаконных дел. Нарушитель соответственно ставит себя вне закона, ту приходит алекс, весь такой с глазами и юмором, ему и дают посмотртеть -)))

А спецслужбы знаете в каждой стране свои если пытаться всем угодить....

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Porto
Вы уж определитесь - то ли они секьюрити-гуру из закрытых лабораторий, то ли они в опен-сорсе на гугл коде все держат.

Самому не смешно ?

А чему смеяться, если этот самый гуру размещал свои опенсорсные исходники ?

Я же дал ссылку в самом начале дискуссии

Смешно - это ваши поиски по именам файлов, типа "StaticDataContainer.php"

У людей есть привычки и это является их слабостью

У вас как-то не складывается в голове, что один и тот же человек может как сейчас писать что-то закрытое, так и ранее публиковать какие-то свои исходные тексты, не ожидая, что будет сопоставление

Вон там у вас новости про Сабельникова

Как я понимаю, якобы был найден исходник на сервере и там ссылка на сайт товарища, якобы на нём тренировался отлаживать

Ну так это... если кто там нашел опубликовал бы кусок этого исходника, то можно было бы легко сравнить стилистику, т.к. Сабельников этот размещал небольшие куски своего кода

Мне вообще странна схема построения системы управления с выносом компонент на сторонние ресурсы, которые теоретически могут попасть в чужие руки

Это явная архитектурная недоработка со стороны авторов

Хотите узнать каким образом спецслужбы оплачивают хостинги ?

Я знаю, но не скажу. Хотя вы все равно не поверите, даже если скажу

Мне думается, то всё сильно зависит от целей использования хостинга

Для начала мне непонятно, зачем спецслужбе покупать сторонний хостинг

Свои ресурсы у них наверняка в своих сетях размещены

Какие-то подставные сайты организовывать ?

Согласитесь, что для операций типа обсуждаемой там всё будет несколько иначе

Если платежные системы вообще в своей же стране - так там и вопросов меньше

Никому просто не дадут распутывать цепочку откуда оказались деньги на каком-нибудь PayPal

Всё остальное, что предполагает указание личностей - наверняка с использованием поддельных или украденных документов

Израилитяне там недавно какого-то террориста в ОАЭ убили. Так там всё было левое, включая использование личностей граждан других стран

Ну так и стоимость операции наверное иная

Так что тут как бы вопрос - зачем хостинг. Исходня из него будет и ответ

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Porto
Каждый покупатель телематических услуг подписывает соглашение или правила использования. Если вы их читали, то знаете что ими запрещается использование услугами для незаконных дел. Нарушитель соответственно ставит себя вне закона, ту приходит алекс, весь такой с глазами и юмором, ему и дают посмотртеть -)))

Нарушение правил хостинга клиентом не даёт основания для получения хостером права собственности на размещённые клиентом у него данные

Там как минимум вообще могут быть данные третьих лиц

Сайт мешал другим пользователям ?

Приостановить работу

Не поступило вовремя объяснений от владельца - потереть согласно регламенту или позвонить в соответствующие органы, чтобы приехали и изъяли содержимое

Ваш этот Алекс провоцирует сотрудников компаний на нарушение закона своими просьбами

Тут собственно вся соль в том, что все эти Алексы уверены, что против них никогда не подадут иск

В последнее время случаи с вредоносами с государственным (Бундес-троян) или частным (Gamma) авторством и государственным в обоих случаях использованием происходили в европейской юрисдикции

Мне было бы интересно посмотреть, как бы каких-нибудь горе-реверсеров, предупрежденных наличием строчки в коде погоняли бы по DMCA

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegAndr

Человек нарушил правила ему приостановили услуги делегирования пришел кто то заделегровать такой же домен....

Вообще вопросы правильные. Я лично не знаю чем руководствуются провайдеры фильтруя ддосный трафик (который сторого говоря валидный), и т.д. Мне кажется это отголоски времен когда интернет был диким западом...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×