Волчьи IT-мысли » stuxnet http://sww-it.ru Компьютерная безопасность, IT, антивирусная индустрия. Wed, 18 Jan 2012 11:20:32 +0000 en hourly 1 http://wordpress.org/?v= Stuxnet Memory Analysis and IOC creation http://sww-it.ru/2010-07-22/499?utm_source=rss&utm_medium=rss&utm_campaign=stuxnet-memory-analysis-and-ioc-creation http://sww-it.ru/2010-07-22/499#comments Thu, 22 Jul 2010 09:11:57 +0000 SWW http://sww-it.ru/?p=499 The stuxnet malware has been making the press recently for two reasons. First it contains two drivers signed with a legitimate (at the time) cert. Second is it’s targeting SCADA systems. The malware is cool for a host of other geeky reasons. Nick Harbour, Stephen Davis, and I started looking at the malware Sunday [...]]]> The stuxnet malware has been making the press recently for two reasons. First it contains two drivers signed with a legitimate (at the time) cert. Second is it’s targeting SCADA systems. The malware is cool for a host of other geeky reasons. Nick Harbour, Stephen Davis, and I started looking at the malware Sunday afternoon. We had hoped to write a blog post about the specifics of the malware before we left for Vegas on Friday. However, in the short term I thought this malware would provide a great opportunity to demonstrate how memory analysis can be leveraged to find malware easily, and how the MANDIANT’s Indicator of Compromise editor (IOCe) tool can be used to describe the malware and what to look for.

Вся статья

Share

]]> http://sww-it.ru/2010-07-22/499/feed 0 Мирт и Гуава. Эпизоды. Свежие новости. http://sww-it.ru/2010-07-20/497?utm_source=rss&utm_medium=rss&utm_campaign=%25d0%25bc%25d0%25b8%25d1%2580%25d1%2582-%25d0%25b8-%25d0%25b3%25d1%2583%25d0%25b0%25d0%25b2%25d0%25b0-%25d1%258d%25d0%25bf%25d0%25b8%25d0%25b7%25d0%25be%25d0%25b4%25d1%258b-%25d1%2581%25d0%25b2%25d0%25b5%25d0%25b6%25d0%25b8%25d0%25b5-%25d0%25bd%25d0%25be%25d0%25b2%25d0%25be%25d1%2581%25d1%2582%25d0%25b8 http://sww-it.ru/2010-07-20/497#comments Tue, 20 Jul 2010 14:25:28 +0000 SWW http://sww-it.ru/?p=497 Мне нечего добавить, просто читайте по ссылке.

]]> Мне нечего добавить, просто читайте по ссылке.

Share

]]> http://sww-it.ru/2010-07-20/497/feed 0 Мирт и Гуава. Эпизоды http://sww-it.ru/2010-07-19/491?utm_source=rss&utm_medium=rss&utm_campaign=%25d0%25bc%25d0%25b8%25d1%2580%25d1%2582-%25d0%25b8-%25d0%25b3%25d1%2583%25d0%25b0%25d0%25b2%25d0%25b0-%25d1%258d%25d0%25bf%25d0%25b8%25d0%25b7%25d0%25be%25d0%25b4%25d1%258b http://sww-it.ru/2010-07-19/491#comments Mon, 19 Jul 2010 18:45:52 +0000 SWW http://sww-it.ru/?p=491 Может быть вы еще не в курсе, но был найден довольно интересный вредоносный код, заточенный под промышленные системы. Драйверы-руткиты подписаны подписью компании Realtek, а распространяется вредоносная программа через уязвимость нулевого дня. На вопрос «Где деньги?» пока не ответил ни один вендор. На текущий момент в этой истории очень много белых пятен. Почему сэмпл был [...]]]> Может быть вы еще не в курсе, но был найден довольно интересный вредоносный код, заточенный под промышленные системы. Драйверы-руткиты подписаны подписью компании Realtek, а распространяется вредоносная программа через уязвимость нулевого дня. На вопрос «Где деньги?» пока не ответил ни один вендор. На текущий момент в этой истории очень много белых пятен. Почему сэмпл был обнаружен компанией VBA? Почему обнаружен тогда, когда истекла подпись? Собственно говоря, где деньги?

Пока мы в ЛК анализируем (я — руткит компоненты), можете прочесть первые 3 записи в блоге:

Эпизод 1
Эпизод 2
Эпизод 3

Share

]]> http://sww-it.ru/2010-07-19/491/feed 0