Duqu поражает Windows с помощью 0-day уязвимости

image

Теги: Duqu, Stuxnet, вирус, zero-day

Исследователи CrySyS обнаружили файл MS Word, устанавливающий на систему Duqu с помощью уязвимости нулевого дня.

Исследователи Laboratory of Cryptography and System Security (CrySyS) провели анализ троянской программы Duqu и обнаружили, что для компрометации систем она использует ранее неизвестную уязвимость в Microsoft Windows.

Сотрудники лаборатории CrySyS поделились своей находкой с Microsoft и другими компетентными организациями, призывая всех профессионалов объединиться с целью борьбы против новой киберугрозы. После публикации CrySyS, специалисты Symantec в блоге компании описали подробную структуру эксплоита. В Symantec подтвердили информацию о том, что специалисты Microsoft уведомлены об обнаруженной уязвимости. В настоящее время нет способов устранения уязвимости, эксплуатируемой Duqu.

По данным Symantec, содержащий эксплоит файл был создан таким образом, что не остается сомнений в его нацеленности именно на ту компанию, системы которой он должен был поразить. Строение шеллкода трояна позволяло скомпрометировать систему только на протяжении 8 дневного окна в августе текущего года.

В процессе анализа инцидента было обнаружено, что конфигурационные файлы Duqu на некоторых системах содержали настройки, не позволяющие осуществлять непосредственное подключение к командным серверам. Вместо этого, программа использовала специальный протокол для обмена файлами с другой скомпрометированной системой, которая имела доступ к командному серверу. Таким образом, Duqu создает мост между внутренними серверами сети и командным сервером. Это позволяет злоумышленникам подключаться к зараженным Duqu системам внутри безопасной зоны с помощью компьютеров, находящихся за пределами этой зоны, и использовать их в качестве прокси.

Вирус получал команды с сервера управления, находящегося в Бельгии. Благодаря действиям сотрудников местного интернет-провайдера, этот командный сервер был отключен.

По мнению исследователей центра Dell SecureWorks, Duqu может быть не связан с Stuxnet. «Как Duqu, так и Stuxnet являются очень сложными программами с множеством компонентов. Вся схожесть, с точки зрения программы, состоит в компоненте «инъекции», реализованном в драйвере ядра. Пейлоады Duqu и Stuxnet существенно отличаются друг от друга», - говорится в отчете SecureWorks.

Уведомление компании Symantec можно просмотреть здесь.

Напомним, вирус Duqu впервые был зафиксирован приблизительно месяц назад. Сходство исходного кода основного компонента вируса с аналогичным компонентом трояна Stuxnet, нарушившего работу ядерной промышленности Ирана, заставило ведущих исследователей в области безопасности предположить, что оба вируса были разработаны одной и той же группой программистов.


или введите имя

CAPTCHA
03-11-2011 12:13:37
Хм.. не пойму. А если в компании исходящий трафик закрыт для всех, кроме пары серверов и прокси сервера? Куда он будет ломится?
0 |
03-11-2011 14:59:33
Не надо ему никуда "ломиться". Зараженная машина сама генерит трафик. Тот самый - "исходящий". А обратный трафик приходит вполне себе успешно на IP NAT-а. Зараженные участники ботнетов вполне себе успешно работает из-под НАТа. Через те самые "пару серверов".
0 |
Прогульщик
05-11-2011 16:29:59
И как трафик заражённой машины пустит пара серверов? При условии, что все ходят через прокси, и прямой трафик через эти сервера и прокси запрещён?
0 |
HALK
05-11-2011 22:33:59
А кто сказал что это не те самые два сервера? Да и если не они кто сказал что у них фильтр онли секюр зона из "белого" списка?
0 |
07-11-2011 08:44:53
При условии, что все ходят через прокси, и прямой трафик через эти сервера и прокси запрещён? Вы сами-то поняли, что сказали? Две части Вашей фразы противоречат друг другу. + вон то, что сказано ниже товарищем с ником HALK. Если есть "белый список" (запрещено все то, что не разрешено) - то не получится, если нет ("разрешено все то, что не запрещено") - то запросто. Прокси-проксей, но надо как-то и почту отправлять, правда? Или тоже через прокси гнать будете? Обычно это через некий почтовик делается (если запрещен выход напрямую) - ну и пропустит он кучу спама. Возможно, это рано или поздно (зависит от настроек) - заметят, возможно (зависит от квалификации админа) он вычислит машину во внутренней (за НАТ) сети, потом вылечит. Но задача-то засранцев-спамеров выполнена. Спам улетел - в большем или меньшем объеме. Тут основная задача обслуги (админов) - вовремя засечь трафик с зараженной машины и как можно раньше его блокировать. С дальнейшим лечением машины. В идеале, конечно, не допустить заражения вообще.
0 |
58242
07-11-2011 10:35:42
Человек дело пишет! Почта вся ходит через сервер, на клиентах используется веб-интерфейс. И любой выхлоп с клиентов на порты отличные от проксируемых http, и белосписочных https вызывает оповещение и поиск причин. Не пройдет спам не как.
0 |
todo
07-11-2011 13:40:11
Во-первых, Вы не умееете читать. Если есть "белый список" (запрещено все то, что не разрешено) - то не получится В-вторых, Вы мыслите категорями эникея, имеющего дело с сетями от силы 20 компьютеров. Если их будут тысячи - то головная больВам обеспечена (как и геморрой) с ведением подобных "списков". В-третьих, помимо http (ftp) существует огромное можетсов других протоколов, проксировать которые если не невозможно, то очень затруднительно (Вы удивитесь, но многим конторам и аська, и скайп просто необходимы для работы) - сюда же можно отнести сети ISP - Вы там, при всем желании не сможете запретить использование ТОЛЬКО прокси (с http/ftp), а если запретите - Вашему бизнесу придет каюк. Использование в качестве почты Вэб-клиентов приведет к тому же результату.
0 |
Old Liquid
09-11-2011 06:54:01
Может, имеется в виду веб-интерфейс? На самом деле для хранения, бэкапа и использования почты очень удобно, неудобно только криворуким сотрудникам... Но ведь при приеме на работу был пункт об умении пользоваться компьютером? В добавок, Кэп напоминает: любые протоколы можно пустить на проксях через любые порты, а всё что не юзается - отрубить. Если я захочу, у меня и http будет по 22049 порту ходить... портмаппинг уже нини?
0 |