Перейти к содержанию
AM_Bot

Червь Stuxnet эксплуатирует четыре 0-day уязвимости

Recommended Posts

AM_Bot

Исследователи в области безопасности выяснили, что червь Stuxnet, нацеленный на инфицирование промышленных систем управления, осуществлял атаки на четыре уязвимости ОС Windows, относящиеся к типу "0-day". Хотя это вредоносное программное обеспечение было впервые обнаружено еще в июле, основное внимание на протяжении прошедших месяцев уделялось уязвимости в обработке ярлыков, на данный момент уже закрытой. Теперь же оказалось, что червь использует не одну, а несколько уязвимостей, причем две из них все еще не исправлены.

Читать далее

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sergey ulasen

Здорово сработали! ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Офигеть...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegAndr

Сложность, детальность и упаковка, а самое интересное - цель - не срубить денег а "сделать непонятное" и пугает, и настораживает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Lemmit

"Более двух месяцев мы, совместно с специалистами Microsoft и других антивирусных компаний, исследовали Stuxnet".

2 месяца на изучение 1 вредоноса? Неужели после обнаружения каждой уязвимости аналитики с горя уходили в запой? :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
2 месяца на изучение 1 вредоноса? Неужели после обнаружения каждой уязвимости аналитики с горя уходили в запой? :-)

Умничать можно только в том случае, если сами проанализировали своими руками хоть что-нибудь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Username

Такое впечатление, что это еще не все сюрпризы от создателей Stuxnet

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Username
Просто оставлю это здесь

http://www.langner.com/en/index.htm

Я давно догадывался, что без правительственного спецзаказа не обошлось ;-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Username

Можно фильм по мотивам снимать :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Jluca

Когда только узнаешь, удивляешься: ну кому может быть не жалко ресурсов на разработку такого? Теперь вижу ответ)))

Спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Остается вопрос - что с сертификатами?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Просто оставлю это здесь

Я плохо читал или доподлинно так и не известно без доступа к конкретной промышленной системе, что именно с ней делает Stuxnet?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
что именно с ней делает Stuxnet?

Что приказал хозяин, то и делает... хотя вполне очевидно что основная цель уже достигнута, ну а что конкретно он сделал или... не сделал пусть уже выдумывают аналитики это их хлеб :)

Вообще довольно добротная поделка, когда такое появляется становится очень приятно что настоящие программеры, коих к тому же осталось совсем мало, крайне редко пишут малварь.

Мне же лично больше всего понравилось, не то что там какие-то жалкие уязвимости используются, коих специалист может нарыть море при желании и сотв. финансировании, а то что не забыли встроить P2P клиента с возможность автообновления версий и соотв. управления всей сетью в условиях безвременно павшего центра управления, как бы хороший задел на будущее получился...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Что приказал хозяин, то и делает... хотя вполне очевидно что основная цель уже достигнута, ну а что конкретно он сделал или... не сделал пусть уже выдумывают аналитики это их хлеб :)

...не забыли встроить P2P клиента с возможность автообновления версий и соотв. управления всей сетью в условиях безвременно павшего центра управления...

Заручивание венды и сетевое взаимодействие лежат в совершенно разных областях и на уровнях безопасности. Нельзя надеяться, то пара скомпрометированных виндовых машин обеспечат доступ из lan во вне. Т.о. Stuxnet должен вроде как обеспечить выполнение задачи и без сетевого доступа, но аналитики так ещё и не придумали эту часть истории. Вот про это я спрашивал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Заручивание венды и сетевое взаимодействие лежат в совершенно разных областях и на уровнях безопасности. Нельзя надеяться, то пара скомпрометированных виндовых машин обеспечат доступ из lan во вне. Т.о. Stuxnet должен вроде как обеспечить выполнение задачи и без сетевого доступа, но аналитики так ещё и не придумали эту часть истории. Вот про это я спрашивал.

Ты плохо читал ?

http://www.langner.com/en/index.htm

ну или вот так из другого источника -

The behavioral pattern of Stuxnet suggests that the virus is apparently only activated in plants with a specific configuration. It deliberately searches for a certain technical constellation with certain modules and certain program patterns which apply to a specific production process. This pattern can, for example, be localized by one specific data block and two code blocks.

This means that Stuxnet is obviously targeting a specific process or a plant and not a particular brand or process technology and not the majority of industrial applications.

- The malware carries its own blocks (for example, DB890, FC1865,1874) and tries to load them into the CPU and integrate them into the program sequence. If the above-mentioned blocks are already present, the malware does not infiltrate the user program.

If the above-mentioned blocks were not present in the original program and are now detected, the virus has infected the system.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
...

Я про то, во что все эти манипуляции выливаются? Что происходит с промсистемой? Она останавливается, провоцируются критические нагрузки или просто оператору выводится "Skagi bebe"?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Я про то, во что все эти манипуляции выливаются? Что происходит с промсистемой? Она останавливается, провоцируются критические нагрузки или просто оператору выводится "Skagi bebe"?

Stuxnet manipulates a fast running process. Based on process conditions, the original code that controls this fast running process will no longer be executed. (Some people will now want to have their process engineers explain what the DEADF could mean.) After the original code is no longer executed, we can expect that something will blow up soon. Something big.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
something will blow up soon. Something big.

По мне так надумано. Желтизной отдаёт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
По мне так надумано. Желтизной отдаёт.

А по мне так любой из этих вариантов "Она останавливается, провоцируются критические нагрузки или просто оператору выводится "Skagi bebe"?" - отдает желтизной не меньшей :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

вот в украинской прессе -

http://news.zn.ua/news/35571

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • PR55.RP55
      Добавить в меню команды: Блокировать запуск файла по: [MinimumStackCommitInBytes] Снять блокировку [MinimumStackCommitInBytes] установленную uVS - [1077777777] Полностью снять блокировку [MinimumStackCommitInBytes] -  [?ХХХХХХХХ?] ---------- Пример: Блокировать запуск файла по: [MinimumStackCommitInBytes] IFEO\mediaget.exe: [MinimumStackCommitInBytes] 1077777777 IFEO\PowwerTool.exe: [MinimumStackCommitInBytes] 1077777777 -------- Команда: Проверить реестр и доступные копии реестра ( с возможностью указать копию ) на IFEO -  [MinimumStackCommitInBytes] Команда: Проверить реестр и доступные копии реестра ( а тут можно подумать, на что ещё можно проверить копию )
    • PR55.RP55
      В том году была статья : по поводу MinimumStackCommitInBytes https://www.trendmicro.com/en_in/research/23/e/attack-on-security-titans-earth-longzhi-returns-with-new-tricks.html Похоже и у нас начали активно это применять. https://forum.kasperskyclub.ru/topic/465310-slovil-majner-kogda-skachival-obhod-blokirovki-diskorda/ https://www.cyberforum.ru/viruses/thread3189071.html?ysclid=m4x30zzs6v421256067  
    • demkd
      И не должен работать, такое удалять разрешено только вручную.
    • PR55.RP55
      Ошибка получения XML описания задачи: \Microsoft\Windows\SoftwareProtectionPlatform\SvcRestartTask  [Error: 0x80041321 - Образ задачи поврежден или изменен. ] Соответственно на такие случаи команда: (Alt+Delete) не работает. https://vms.drweb.ru/virus/?i=27169926
    • PR55.RP55
      Предлагаю добавить в settings.ini - настройку: Передавать статистику удаляемых файлов. Для чего ? Когда статистика будет накоплена ( и проанализирована ) то можно будет применить команду: 1) Обнаружить угрозы - исходя из данных статистики 2) Создать автоскипт на базе общей операционной статистки 3) Создать автоскипт на базе моей статистики. Файл\ы данных доступны - как при обращении к серверу - так и локально. ----- % 70 скрипта - Это всё одно и тоже... Так чего мучить Оператора, если минимум % 70 скрипта можно генерировать автоматически,  а стальное он сам допишет. А то автоскрипт есть - а пользуется этим три человека. ------- Кроме того - та же история и с FRST - можно создать автоматический _помощник который будет например в Notepad++ помечать ( на базе статистики ) закладкой все типичные удаляемые объекты. Ведь не единым uVS жив человек ?  
×