Duqu - Stuxnet 2 - Wersja do druku +- SafeGroup (https://safegroup.pl) +-- Dział: Bezpieczeństwo (https://safegroup.pl/forum-10.html) +--- Dział: Inne (https://safegroup.pl/forum-15.html) +--- Wątek: Duqu - Stuxnet 2 (/thread-3647.html) Strony:
1
2
|
Duqu - Stuxnet 2 - ktośtam - 19.10.2011 Laboratorium F-Secure wykryło nowego backdoora, napisanego w oparciu o kod źródłowy Stuxnet, co nasuwa podejrzenia, że za stworzeniem nowego szkodnika stoją Ci sami ludzie, którzy stworzyli Stuxnet. Wskazuje na to między innymi podobieństwo sterownika jądra Duqu (JMINET7.SYS) do sterownika Stuxnetu (MRXCLS.SYS). Są one na tyle podobne do siebie, że Duqu jest wykrywany jako Stuxnet: [Aby zobaczyć linki, zarejestruj się tutaj] Zasadnicza różnicą pomiędzy szkodnikami, jest natomiast metodologia działania. Duqu nie atakuje instalacji przemysłowych tak jak Stuxnet a jedynie gromadzi informacje systemowe, które mogą zostać wykorzystane do późniejszego ataku. Dokładniejsza analiza Duqu została wykonana również przez laboratorium Symantec, które opublikowało [Aby zobaczyć linki, zarejestruj się tutaj] traktujący o nowym zagrożeniu.Źródło: [Aby zobaczyć linki, zarejestruj się tutaj] Re: Duqu - Stuxnet 2 - ichito - 19.10.2011 Wiedziałem...wiedziałem, że napiszesz i nie zdążę samemu dać zajawki o tym A propos już Duqu/DuQu/Duku/DQ (pod tyloma nazwami funkcjonuje to zagrożenie)...Symantec po analizie zagrożenia poinformował, że funkcjonowało ono już prawdopodobnie od grudnia 2010. Poza tym zasadnicze wyniki tej obszernej analizy streszcza tak Kod: Key points: [Aby zobaczyć linki, zarejestruj się tutaj] Ciekawą informację znalazłem jeszcze na temat zachowania Duqu...wynika z niej, że samoczynnie ulega destrukcji dokładnie po 36 dniachCytat: The mysterious Duku is designed to leave the back door open for precisely 36 days, and then self-destruct. [Aby zobaczyć linki, zarejestruj się tutaj] Poniższy diagram przedstawia architekturę zagrożenia [Aby zobaczyć linki, zarejestruj się tutaj] [Aby zobaczyć linki, zarejestruj się tutaj] a tu te same powiązania, ale nieco w innej formie tym razem autorstwa MacAfee...w ogóle to tytuł tego artykułu jest zabójczy - "The Day of the Golden Jackal – The Next Tale in the Stuxnet Files: Duqu" [Aby zobaczyć linki, zarejestruj się tutaj] [Aby zobaczyć linki, zarejestruj się tutaj] Re: Duqu - Stuxnet 2 - morphiusz - 20.10.2011 Najlepsze jest akcja symanteca: poinformowało o próbce, która byław ich rękach od 1 września. Nowy trojan ala stuxnet podpisany był skradzionym certyfikatem verisign (w posiadaniu symanteca). Zajęło im aż 44 dni aby cofnąć ten certyfikat W tym czasie malware krążyło sobie po sieci i infekowało systemy... symantec wiedział o podpisie, ale dopiero po 44 dniach go cofnął. Hmmm.... :crazy: Re: Duqu - Stuxnet 2 - ichito - 21.10.2011 morphiusz napisał(a):Najlepsze jest akcja symanteca: poinformowało o próbce, która była w ich rękach od 1 września. Nie wiem czemu uogólniasz wnioski, żeby nie powiedzieć próbujesz zmienić fakty...skąd masz takie informacje, bo na razie wygląda to na czyste spekulacje oparte na spostrzeżeniach dokonanych przez kilku niezależnych badaczy, którzy kiedyś próbowali analizować dogłębnie infekcję Stuxnetem? Z kilku artykułów, które przejrzałem wynika, że - Symantec wiedział, że niektóre z plików są podpisane skradzionymi prywatnymi kluczami związanymi z certyfikatami do klienta Symanteca i przeprowadził dochodzenie w związku z tym, z którego wynikło że klucze zostały skradzione, co powinno wykluczyć wszelkie spekulacje na temat ewentualnych powiązań firmy z Duqu. Piszą o tym na swoim blogu, ale tylko niektóre, wyrwane z kontekstu fragmenty są cytowane i w pewien sposób zniekształcają obraz. Sami piszą o tym otwarcie na swoim blogu i można się z tym bez kłopotów zapoznać [Aby zobaczyć linki, zarejestruj się tutaj] [Aby zobaczyć linki, zarejestruj się tutaj] - firmą gdzie skradziono te certyfikaty była firma z Tajwanu...tu cytat za komunikatem F-secure, który linkowany był na samym początku wątku"Duqu has a driver signed with a stolen certificate belonging to a Taiwanese company called C-Media Electronics Incorporation. The driver still claims to be from JMicron, though." - Symantec miał próbki plików Duqu, ale były one skojarzone z atakiem Stuxneta z grudnia 2010 - Symantec jako pierwsza firma zabezpieczająca otrzymała powiadomienie o nowej nieznanej infekcji...w piątek 14 października...i tego samego dnia odwołała/unieważniła te certyfikaty - F-secure samo zauważyło, że Duqu jest tak podobny do Stuxneta, że nawet ich program tak identyfikował to nowe zagrożenie...to słowa wypowiedziane na Tweeterze przez Mikko Hypponena (F-Secure''s Chief Research Officer) "Duqu''s kernel driver is so similar to Stuxnet''s driver that our back-end systems actually thought it was Stuxnet" - artykuł na Wired.com, który sam cytowałem jest tylko artykułem wtórnym, a nie analitycznym a cytowane w nim wypowiedzi O Murchusą po części speckulacjami, a nie wnioskami opartymi na fakatch - sprawa jest bardzo delikatna ze względów polityczno-gospodarczych i chyba nie do końca poznamy z oczywistych względów kulisy całej sprawy. --------------------- edit: widzę info i dyskusję na ten temat na DP...o ile sam artykuł jest OK, to dyskusja...szkoda słów... Dodano: 21 paź 2011, 2011 13:41 Nie wiem czy Bitdefender to jest pierwsza firma, która wypuściła narzędzie do usuwanie Duqu, ale znalazłem informację o takim narzędziu [Aby zobaczyć linki, zarejestruj się tutaj] A tu jest samo narzędzie do pobrania[Aby zobaczyć linki, zarejestruj się tutaj] Im dalej w czasie od pierwszych informacji, tym więcej niejasności i różnych interpretacji dotyczących pochodzenia, daty wykrycia, przypuszczalnych celów infekcji...w grę zaangażowani sa poza Symantekiem również McAfee, wskazując na zupełnie inne certyfikaty, a F-secure inaczej interpretuje celowość ataków założoną dla Duqu[Aby zobaczyć linki, zarejestruj się tutaj] [Aby zobaczyć linki, zarejestruj się tutaj] [Aby zobaczyć linki, zarejestruj się tutaj] Na razie...tak się wydaje...wszystko jest spekulacją poza raportem Symanteka.Re: Duqu - Stuxnet 2 - ktośtam - 21.10.2011 Garść kolejnych informacji o Duqu. Tym razem z laboratorium Kaspersky-ego: [Aby zobaczyć linki, zarejestruj się tutaj] Jeden z najciekawszych faktów dotyczących Duqu, o jakich wspomina Kaspersky Lab: Cytat: ...na chwilę obecną nikomu nie udało się wykryć pliku instalacyjnego, który musi być pierwszym ogniwem w łańcuchu infekcji i jest odpowiedzialny za instalację sterownika oraz biblioteki DLL. Re: Duqu - Stuxnet 2 - ichito - 21.10.2011 Ktosiu dzięki...świetny artykuł i pokazuje znacznie więcej, niż wszystkie pozostałe. Co prawda nie da się oprzeć wrażeniu, że celowo pominięto konkurencję w postaci Symanteka, niemniej analiza historyczna jest kapitalna i bardzo wiele tłumaczy. Wracając do oskarżeń wobec Symanteka...fakty przedstawione przez Kaspersky Lab doskonale pokazują...wg mnie...że wielu innych dostawców była w takim samym stopniu zaangażowanych w sprawę, ale ze względu na rozsianie w czasie wychwytywania kolejnych fragmentów Duqu trudno bardzo było zgrać ze sobą działania zarówno badawcze, jak i te sumujące w efekcie, co miało wpływ z pewnością na spóźniony w miarę pełny obraz z czym teraz mamy do czynienia. Do tego dochodzi oczywiście cały podtekst polityczno-gospodarczy związany z zachowaniem pewnych faktów w tajemnicy, bo jak widać po niektórych artykułach agencje rządowe i wywiadowcze niektórych państw już są nagabywane w temacie. Re: Duqu - Stuxnet 2 - morphiusz - 21.10.2011 Ichito.... ja myślę, że ty mi próbujesz inputować w moje wypowiediz jakieś cudaki. [Aby zobaczyć linki, zarejestruj się tutaj] "sample that appeared to be very similar to Stuxnet" - juz wiedziano wtedy, ze próbka była bardzo podobna do stuxneta. "first recording of one of the binaries was on September 1, 2011" - 1 września otrzymano (zarejestrowano) plik. "The certificate was revoked on October 14, 2011"- dopiero po 44 dniach cofnięto skardziony certyfikat dla tego pliku. [Aby zobaczyć linki, zarejestruj się tutaj] "As a result of this intelligence Symantec is able to take action very quickly. "- aż 44 dni! [Aby zobaczyć linki, zarejestruj się tutaj] "According to Vikram Thakur of Symantec, the organization decided not to come forward because it wanted to protect the identity of the victim organization" Może by pomyślano o ochronie użytkowników? Re: Duqu - Stuxnet 2 - Eugeniusz - 21.10.2011 Cofnięcie certyfikatu nie ograniczyłoby szybkości "rozprzestrzeniania się" (bo w przypadku takich zagrożeń ciężko nazwać to rozprzestrzenianiem, raczej inteligentnym dobieraniem sobie celu, pamiętajmy że celem ataku takiego zagrożenia są instytycje państwowe i firmy) zwłaszcza w przypadku użytkowników domowych. Może i firmy sprawdzają czy certyfikaty są prawidłowe, ale czy domowi użytkownicy?? Ja nie sprawdzam, robi to za mnie oprogramowanie zabezpieczające. morphiusz napisał(a):W tym czasie malware krążyło sobie po sieci i infekowało systemy... symantec wiedział o podpisie, ale dopiero po 44 dniach go cofnął. No właśnie, co by to dało? To nie jest aplikacja internetowa, w której unieważnienie certyfikatu ma wpływ na stan bezpieczeństwa aplikacji. Comodo (a raczej resellerzy Comodo) winni wiedzieć o tym najlepiej Jeżeli coś źle zrozumiałem lub nie znam się na czymś to proszę o wyjaśnienie . Re: Duqu - Stuxnet 2 - morphiusz - 21.10.2011 A więc malware sobie chodził z podpisem, i obchodził takie progsy jak Kaspersky. Co do Comodo - gdy odkryją jakiś błąd ze swojej strony, to raczej nie trzeba czekać długo, nie mówiąc o 44 dniach Pozdrawiam! Re: Duqu - Stuxnet 2 - zord - 21.10.2011 1 września został wysłany na virustotali nie był podpisany Re: Duqu - Stuxnet 2 - morphiusz - 21.10.2011 Czyli symantec kłamie? Czy cofnal certyfikat widmo? Re: Duqu - Stuxnet 2 - zord - 21.10.2011 1 września został została wykryta tylko część Duqu plik ten nie był podpisany, plik z podpisem został wykryty później Re: Duqu - Stuxnet 2 - morphiusz - 21.10.2011 A kiedy wykryto? Bo jestem na prawde bardzo ciekwy ile dni czy tygodni potrzebowalo CA do cofniecia certyfikatu Re: Duqu - Stuxnet 2 - zord - 21.10.2011 9 września został przesłany na virustotal a że nie wykrył go żaden skaner przeszedł bez echa 14 października został przesłany do labu symanteca 17 października nadal nie wykrywał go żaden program Re: Duqu - Stuxnet 2 - ktośtam - 22.10.2011 O Duqu pisze nawet [Aby zobaczyć linki, zarejestruj się tutaj] I jeszcze mały dodatek: [Aby zobaczyć linki, zarejestruj się tutaj] .Re: Duqu - Stuxnet 2 - ichito - 27.10.2011 Dwa nowe artykuły na temat Duqu na "ThreatPost.com" [Aby zobaczyć linki, zarejestruj się tutaj] [Aby zobaczyć linki, zarejestruj się tutaj] Z tego drugiego fragment - podsumowanieCytat: Conclusions and fact Re: Duqu - Stuxnet 2 - ktośtam - 27.10.2011 [Aby zobaczyć linki, zarejestruj się tutaj] Cytat: Praktycznie to samo co podał ichito , ale po polsku. Re: Duqu - Stuxnet 2 - Waves - 31.10.2011 Może nie jestem aż tak rozwięty w sprawach malware jednak proszę o małe wyjaśnienie: - Duqu miał podpis Symanteca i Symantec nic z Tym nie zrobił przez 44 dni? Re: Duqu - Stuxnet 2 - zord - 31.10.2011 nie miał podpisu Symanteca miał podpis C-Media Electronics wystawiony w 2009 roku przez VeriSign który został skradziony i nie było to 44 dni a 3 dni Symantec dostał podpisaną próbkę 14 października i unieważnił podpis 17 października Re: Duqu - Stuxnet 2 - Waves - 31.10.2011 Oke dzięki. Dałbym reputa ale nie mogę |