Волчьи IT-мысли » malware

Stuxnet Memory Analysis and IOC creation

SWW — Thu, 22 Jul 2010 09:11:57 +0000

The stuxnet malware has been making the press recently for two reasons. First it contains two drivers signed with a legitimate (at the time) cert. Second is it’s targeting SCADA systems. The malware is cool for a host of other geeky reasons. Nick Harbour, Stephen Davis, and I started looking at the malware Sunday afternoon. We had hoped to write a blog post about the specifics of the malware before we left for Vegas on Friday. However, in the short term I thought this malware would provide a great opportunity to demonstrate how memory analysis can be leveraged to find malware easily, and how the MANDIANT’s Indicator of Compromise editor (IOCe) tool can be used to describe the malware and what to look for.

Вся статья

Мирт и Гуава. Эпизоды. Свежие новости.

SWW — Tue, 20 Jul 2010 14:25:28 +0000

Мне нечего добавить, просто читайте по ссылке.

Мирт и Гуава. Эпизоды

SWW — Mon, 19 Jul 2010 18:45:52 +0000

Может быть вы еще не в курсе, но был найден довольно интересный вредоносный код, заточенный под промышленные системы. Драйверы-руткиты подписаны подписью компании Realtek, а распространяется вредоносная программа через уязвимость нулевого дня. На вопрос «Где деньги?» пока не ответил ни один вендор. На текущий момент в этой истории очень много белых пятен. Почему сэмпл был обнаружен компанией VBA? Почему обнаружен тогда, когда истекла подпись? Собственно говоря, где деньги?

Пока мы в ЛК анализируем (я — руткит компоненты), можете прочесть первые 3 записи в блоге:

Эпизод 1
Эпизод 2
Эпизод 3

Буткит 2009

SWW — Sat, 16 May 2009 18:44:02 +0000

Сергей Голованов

Вячеслав Русаков

В 2008 году мы констатировали появление вредоносной программы Backdoor.Win32.Sinowal и расценивали ее как технологически крайне опасную.

Такая оценка была дана вследствие того, что авторы программы использовали самые продвинутые на тот момент технологии написания вирусов, включая основные:

«Индивидуальное» заражение пользователей взломанных сайтов с помощью большого количества разных уязвимостей, включая некоторые из разряда «0-day».
Использование передовых rootkit-технологий и методов загрузочных вирусов для заражения MBR компьютера пользователя. Методы заражения загрузочных секторов дисков были очень популярны на заре компьютерных вирусов; сейчас произошло возрождение старой технологии, но уже на новом уровне. Проблема усугубляется тем, что многие недавно появившиеся антивирусные средства защиты просто не умеют проверять MBR, так как считалось, что данная угроза уже давно не актуальна.
Использование технологии постоянной миграции серверов управления и заражения (изменение их IP-адреса и доменного имени). Зараженные компьютеры использовали специальный алгоритм создания доменного имени для поиска своих управляющих центров. Впоследствии аналогичная технология была использована во вредоносных программах семейства Kido (Conficker).

Эти вредоносные методы и технологии за год стали «классическими» и теперь используются во многих самых разнообразных вредоносных программах. Разработчики самого буткита тем временем не остановились на достигнутом и пошли дальше в создании, реализации и продвижении своих технологий.

Таким образом, на сегодняшний день буткит является самой продвинутой вредоносной программой: скрытой и не обнаруживаемой большинством современных антивирусных программ.

В конце марта 2009 года эксперты «Лаборатории Касперского» обнаружили распространение в интернете новой модификации буткита. Результаты анализа его работы и способа распространения представлены в данной статье.

Your online payments are being sniffed; accept it, live with it

SWW — Wed, 25 Feb 2009 09:06:55 +0000

Greg Hoglund:

PCI compliance is clearly not enough to protect credit card numbers or account information. It’s about time everyone who uses an account for online payment simply accept the facts: your credit card numbers have been stolen. Check your statements monthly. Why? This isn’t about Heartland or the breach-of-the-week; this is about a constant effort well funded by a criminal underground. The primary tool in the cyber criminal hand, the malware program, keeps getting better. Malware authors are intelligent and focused developers who are well paid for their work. They have developed toolkits so they can generate new malware with little development overhead. They can generate new attack bits in a matter of hours that, to a virus scanner, may as well be a zero day – no signature means no detection, and no protection. Most of this malware decrypts live to memory and never touches the disk. The computing infrastructure is easy prey. It has never been secure, and won’t be secure anytime in the next ten years. Computer security is a constant effort that will never fully work. It’s partial risk reduction, not resolution. The billions of dollars spent since the turn of this century on IDS, firewalls, and virus scanning hasn’t made a more secure Internet. The growth of online technology has far outpaced our ability to secure it. Millions of credit card numbers are being stolen THIS MORNING. They were being stolen yesterday. They are going to continue to be stolen tomorrow.

Оригинал

Да, немного отдает параноей (про миллионы кредитных карт), однако, правда в этом есть. Ни для кого не секрет, что трояны пишутся ради денег. В дело идет server-side-полиморфизм, 24/7/365 поддержка, сервисы проверки вроде virustotal и многие другие вкусные вещи. Что ж, проверяйте отчеты от банка ежемесячно, ведь у вас уже украли всю нужную информацию.