пятница, 24 сентября 2010 г.

Stuxnet Under the Microscope

Вчера вечером мы закончили подготовку достаточно серьезного исследования по анализу червя Win32/Stuxnet. Самым сложным было подготовить сам отчет, т.к. он постоянно разрастался, потому как хотелось описать все, но описать все, таки не получилось. Некоторые подробности внедрения вредоносного функционала в SCADA остались за кадром (ну нету у нас реактора для тестов :)). Также мы не стали публиковать описание еще двух 0-day уязвимостей, которые пока до сих пор не закрыты и MS попросила этого не делать. Одна из них находится в win32k.sys и служит для повышения локальных привилегий в процессе инсталляции на операционные системы Win2000/WinXP. А вторая поинтереснее, т.к. позволяет повысить привилегии на Vista/Win7, через уязвимость в Task Scheduler. Пока про эти уязвимости больше ничего не скажу, всему свое время ;)
Искренне считаю, что мы провели полезное исследование и смогли правильно преподнести его результаты, поэтому крайне рекомендую вам с ним ознакомиться.
Автор: Unknown на 9/24/2010 08:05:00 PM
Ярлыки: , , , , , , ,

4 комментария:

  1. Анонимный25 сентября 2010 г. в 12:56

    В этой истории мне непонятно только одно: антивирусная индустрия в текущем состоянии не может противостоять таким видам угроз. По сути, успех stuxnet = огромный фейл антивирусной индустрии. Но почему-то, вместо того чтобы деликатно умолчать об этом, большинство антивирусных аналитиков наперебой начали орать о том, как они обгадились себе в штаны: выпускать различные статьи, подготавливать доклады для конференций. Если сочтете нужным, объясните, пожалуйста, такое поведение av-индустрии, неужели вам и в самом деле так нравится рассказывать друг другу о своей никчемности?

    ОтветитьУдалить
  2. The NT Visigoth25 сентября 2010 г. в 13:13

    2 randomnick41861:
    Несогласен с Вами!
    Ну Во-первых: цель антивирусной индустрии предупредить о наличии опасности, а пользователей продуктов еще и избавить!
    Во-вторых: разработка багов одной компании не ложится на другую!
    В-третьих: что значит противостоять? Надо отчетливо осознавать что Антивирусная индустрия это "догоняющая" сторона, другими словами пока угрозы нет, значит все "ок", как только угроза появилась, тогда то и нужно на нее максимально быстро отреагировать, что и делали аверы!

    ОтветитьУдалить
  3. Unknown25 сентября 2010 г. в 17:42

    Stuxnet это очень большие средства потраченные на разработку и время, а так же очень хорошо спланированная атака. Как вы думаете существует универсальное защитное средство от чего бы то нибыло. Мне кажется, что нет. Ведь даже презерватив не дает 100% гарантии, но это ведь не значит, что не надо предохраняться.

    ОтветитьУдалить
  4. redp25 сентября 2010 г. в 18:09

    а между тем описанное поделие неприлично много следов в системе оставляет - начиная от патча содержимого системных .dll в памяти в user-mode и заканчивая установкой всяческих нотификаторов в kernel mode
    Тем более странно что ни один av на него даже ухом не моргал. pdm говорите, бгг ?

    ОтветитьУдалить

Подписаться на: Комментарии к сообщению (Atom)