NSS Labs публикует исходники сканера, обнаруживающего драйверы червя Duqu

NSS Labs публикует исходники сканера, обнаруживающего драйверы червя Duqu

Специалисты по ИТ-безопасности из компании NSS Labs открыли исходные коды программного сканера, способного детектировать все известные версии драйверов, используемые новым опасным вредоносным кодом Duqu. Однако другие антивирусные вендоры сомневаются в эффективности данного шага, заявляя, что его можно обойти в любое время без значительных усилий. Согласно данным NSS Labs, ее сканер использует продвинутую систему распознавания и может стать базой для дальнейших инструментов, борющихся с Duqu.



Многие эксперты полагают, что вредоносный код Duqu близко связан с промышленным червем Stuxnet для саботажа промышленных объектов. Червь Stuxnet был изначально создан для атаки на иранские ядерные объекты, но в прошлом и первой половине текущего года активно распространился и на другие промышленные объекты по всему миру, передает cybersecurity.

На сегодня антивирусные компании установили, что существующие версии Duqu распространяются, используя уязвимость в ОС Windows, а само распространение червя производится через специально сконструированный файл в формате Word. На сегодня известно о двух модификациях Duqu. Костин Раию, директор по глобальным исследованиям "Лаборатории Касперского" говорит, что выпуск исходников инструмента обнаружения Duqu - это полезный шаг, но в виду новизны кода, эвристические правила сейчас слишком узки и эффективность инструмента может быть очень низкой. Также он отметил, что эвристические механизмы, обнаруживающие Duqu, также должны обнаруживать и Stuxnet из-за похожести двух кодов.

""Лаборатория Касперского" пока не предлагает утилиту для удаления Duqu ввиду сложности кода. Простого удаления здесь недостаточно. Каждый случай заражения может быть очень серьезным и мы рекомендуем обращаться пострадавшим напрямую к нам для проведения полного расследования", - говорит он.

Подобное мнение разделяет и Микко Хиппонен, директор по исследованиям антивирусной компании F-Secure. "Создатели Duqu - это профессионалы мирового класса. У них не будет проблем с уходом от обнаружения любого сканера, если это им потребуется", - уверен он.

Напомним, что ранее компания Symantec провела первый широкий анализ кода Duqu, заметив, что данный вредоносный код предназначен для атаки промышленных объектов, причем за написанием Duqu и нашумевшего червя Stuxnet, скорее всего, стоят одни и те же люди. В то же время, в подразделении Dell SecureWorks говорят, что также провели анализ работы Duqu и полагают, что коды Stuxnet и Duqu имеют мало что общего, более того, за реальным написанием последнего могут стоять совершенно другие люди, которые, впрочем, также ориентированы на получение промышленных данных. В компании Dell говорят, что Duqu представляет собой вредонос, состоящий из двух частей, созданных по аналогии с тем, как работают многие руткиты. При попадании в систему он пытается подгрузить набор зашифрованных DLL-файлов, которые работают как драйвер уровня ядра. Для установки в систему драйверы используют краденные сертификаты тайваньской компании JMicron.

После полного развертывания в системе, Duqu уже не использует каких-либо уязвимостей и просто работает как системный компонент. Опасность заключается в том, что антивирусные компании пока не могут вычислить основную цель Duqu и типы атакуемого оборудования. В случае со Stuxnet было понятно, что червь атакует оборудование Siemens на атомных станциях в Иране, США, России и Израиле.

"Базовые цели Duqu и его происхождение пока остаются загадкой, странно также и то, что он зачастую используется в массовых рассылках, хотя предназначен для таргетированных атак", - говорят в Dell SecureWorks.

Ранее "Лаборатория Касперского" опубликовала данные, согласно которым первые следы Duqu были обнаружены в Венгрии в начале октября. Позже появились данные, что Duqu в первую очередь начал атаковать промышленные объекты в Судане и Иране, хотя антивирусная компания заявляет, что это еще не говорит об ориентированности Duqu именно на эти страны.

iOS 27 попробует остановить мошенников прямо во время развода по телефону

Apple готовит для iOS 27 новый фреймворк Trust Insights, который должен помогать приложениям замечать, что пользователя прямо сейчас могут разводить мошенники. Причём речь не о классическом антивирусе, а о попытке поймать социальную инженерию в процессе, когда человек сам переводит деньги, меняет настройки аккаунта или отправляет данные.

Apple объясняет проблему просто: такие атаки сложно ловить автоматически, потому что действия выполняет сам пользователь, аутентифицированный и вроде бы легитимный.

Особенно это актуально на фоне скамов с техподдержкой, фейковыми сотрудниками ведомств, семейными ЧП и дипфейками.

Trust Insights будет в основном работать на устройстве и анализировать не содержание сообщений, писем или фотографий, а поведенческие сигналы: паттерны взаимодействия, время, контекст и базовые данные сенсоров.

Если система решит, что пользователя, возможно, инструктируют мошенники, она присвоит операции средний или высокий уровень риска.

 

После этого приложение сможет показать предупреждение, добавить задержку, запросить дополнительную проверку или усложнить выполнение опасного действия. Например, перед платежом, сменой данных аккаунта, отправкой сообщения, подписанием документа или использованием дорогих ресурсов вроде ИИ-инференса.

Apple подчёркивает, что Trust Insights не читает содержимое Фотографий, Сообщений и Почты. Данные анализируются локально, сразу отбрасываются, а на серверы Apple уходит только итоговое значение риска. Там его могут сопоставить с данными аккаунта и признаками необычной активности, после чего система вернёт финальную оценку.

Отключить Trust Insights можно будет в настройках, но Apple предусматривает период ожидания. Логика понятна: мошенник вполне может наказать жертве срочно выключить защиту, иначе деньги пропадут.

Для разработчиков это новый инструмент, который позволит не просто молча проводить операции, а вмешиваться в момент, когда пользователь уже почти наступил на цифровые грабли.

RSS: Новости на портале Anti-Malware.ru