14.11.2011, 11:03
Wiadomość świeża, opublikowana przez węgierskie laboratorium CrySyS(Laboratory of Cryptography and System Security), które miało już swój wcześniejszy wkład w odkrycie Duqu. Dlaczego oświadczenie opublikowane przez to laboratorium jest istotne?...ponieważ do tej pory, na podstawie znanych próbek, wiadomo było tylko częściowo jak Duqu działa, ale nie znano "źródła" czyli instalatora. Węgrzy odkryli instalator Duqu - jest nim dokument Microsoft Word (*.doc), który wykorzystuje nieznaną wcześniej lukę jądra systemu.
Dodano: 14 lis 2011, 10:51
I znów wiadomość od CrySyS - Węgrzy poinformowali, że skonstruowali narzędzie pozwalające na wyszukanie infekcji Duqu na konkretnej maszynie bądź w sieci. Narzędzie bazuje na sygnaturach opisujących podejrzane zachowania znanych komponentów Duqu oraz mechanizmach heurystycznych i pozwala znaleźć nie tylko fizyczne pliki, ale również ślady po nieistniejących już komponentach
Jak się okazuje, nie jest to jedyne narzędzie do walki z Duqu...laboratorium NSS również pochwaliło się swoim
Cytat: STATEMENT
Our lab, the Laboratory of Cryptography and System Security (CrySyS) pursued the analysis of the Duqu malware and as a result of our investigation, we identified a dropper file with an MS 0-day kernel exploit inside . We immediately provided competent organizations with the necessary information such that they can take appropriate steps for the protection of the users.
[Aby zobaczyć linki, zarejestruj się tutaj]
Symantec w kooperacji z CrySyS dokonał kolejnej analizy, a jej wyniki przedstawił w poniższym raporcie, a poniższy diagram (z tegoż artykułu) ilustruje mechanizm infekcji[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
Symantek zastrzega, że ten instalator jest jedyną znaną na dziś jego formą, ale to nie oznacza, że jedyną możliwą - został stworzony w celu zaatakowania konkretnej organizacji i nie wiadomo, jak będzie wyglądać jego kolejne modyfikacje. Microsoft oficjalnie nie wystosował żadnego komunikatu w sprawie, niemniej na Zdnet poinformowano o nieoficjalnych wypowiedziach przedstawicieli MS via TwitterCytat: Still no formal security advisory from Microsoft but we now have a confirmation via the Microsoft Security Response Center’s Twitter account.
“We are working to address a vulnerability believed to be connected to the Duqu malware.”
Here’s a direct quote from Microsoft’s Jerry Bryant:
“Microsoft is collaborating with our partners to provide protections for a vulnerability used in targeted attempts to infect computers with the Duqu malware. We are working diligently to address this issue and will release a security update for customers through our security bulletin process.”
[Aby zobaczyć linki, zarejestruj się tutaj]
Dodano: 14 lis 2011, 10:51
I znów wiadomość od CrySyS - Węgrzy poinformowali, że skonstruowali narzędzie pozwalające na wyszukanie infekcji Duqu na konkretnej maszynie bądź w sieci. Narzędzie bazuje na sygnaturach opisujących podejrzane zachowania znanych komponentów Duqu oraz mechanizmach heurystycznych i pozwala znaleźć nie tylko fizyczne pliki, ale również ślady po nieistniejących już komponentach
Cytat: We developed a detector toolkit that combines simple detection techniques to find Duqu infections on a computer or in a whole network. The toolkit contains signature and heuristics based methods and it is able to find traces of infections where components of the malware are already removed from the system.
[Aby zobaczyć linki, zarejestruj się tutaj]
Jak się okazuje, nie jest to jedyne narzędzie do walki z Duqu...laboratorium NSS również pochwaliło się swoim
[Aby zobaczyć linki, zarejestruj się tutaj]
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"