Искренне считаю, что мы провели полезное исследование и смогли правильно преподнести его результаты, поэтому крайне рекомендую вам с ним ознакомиться.
пятница, 24 сентября 2010 г.
Stuxnet Under the Microscope
Вчера вечером мы закончили подготовку достаточно серьезного исследования по анализу червя Win32/Stuxnet. Самым сложным было подготовить сам отчет, т.к. он постоянно разрастался, потому как хотелось описать все, но описать все, таки не получилось. Некоторые подробности внедрения вредоносного функционала в SCADA остались за кадром (ну нету у нас реактора для тестов :)). Также мы не стали публиковать описание еще двух 0-day уязвимостей, которые пока до сих пор не закрыты и MS попросила этого не делать. Одна из них находится в win32k.sys и служит для повышения локальных привилегий в процессе инсталляции на операционные системы Win2000/WinXP. А вторая поинтереснее, т.к. позволяет повысить привилегии на Vista/Win7, через уязвимость в Task Scheduler. Пока про эти уязвимости больше ничего не скажу, всему свое время ;)
Подписаться на:
Комментарии к сообщению (Atom)
В этой истории мне непонятно только одно: антивирусная индустрия в текущем состоянии не может противостоять таким видам угроз. По сути, успех stuxnet = огромный фейл антивирусной индустрии. Но почему-то, вместо того чтобы деликатно умолчать об этом, большинство антивирусных аналитиков наперебой начали орать о том, как они обгадились себе в штаны: выпускать различные статьи, подготавливать доклады для конференций. Если сочтете нужным, объясните, пожалуйста, такое поведение av-индустрии, неужели вам и в самом деле так нравится рассказывать друг другу о своей никчемности?
ОтветитьУдалить2 randomnick41861:
ОтветитьУдалитьНесогласен с Вами!
Ну Во-первых: цель антивирусной индустрии предупредить о наличии опасности, а пользователей продуктов еще и избавить!
Во-вторых: разработка багов одной компании не ложится на другую!
В-третьих: что значит противостоять? Надо отчетливо осознавать что Антивирусная индустрия это "догоняющая" сторона, другими словами пока угрозы нет, значит все "ок", как только угроза появилась, тогда то и нужно на нее максимально быстро отреагировать, что и делали аверы!
Stuxnet это очень большие средства потраченные на разработку и время, а так же очень хорошо спланированная атака. Как вы думаете существует универсальное защитное средство от чего бы то нибыло. Мне кажется, что нет. Ведь даже презерватив не дает 100% гарантии, но это ведь не значит, что не надо предохраняться.
ОтветитьУдалитьа между тем описанное поделие неприлично много следов в системе оставляет - начиная от патча содержимого системных .dll в памяти в user-mode и заканчивая установкой всяческих нотификаторов в kernel mode
ОтветитьУдалитьТем более странно что ни один av на него даже ухом не моргал. pdm говорите, бгг ?