Целевые кибератаки

В поисках решения В предыдущем блогпосте про Фреймворк Duqu я писал про одну из нерешенных нами задач — определение языка, на котором написан необычный код, отвечающий за общение Duqu с C&C серверами. Нам, техническим специалистам, задача показалась очень интересной, и мы решили предложить IT-сообществу поучаствовать в ее решении. Мы получили намного больше ответов, чем ожидали

В процессе анализа компонентов Duqu мы обнаружили интересную особенность в его основном компоненте, который реализует практически всю его бизнес-логику — в Payload DLL.

2011 год закончился, и сейчас самое время усесться поудобнее и еще раз взглянуть на то, что же произошло в мире информационной безопасности за последние 12 месяцев. Если бы нужно было одним словом охарактеризовать прошедший год, то я бы назвал его «взрывоопасным».

Два месяца продолжается наше исследование троянца Duqu — истории его появления, ареала распространения и схем работы. Несмотря на громадный объем полученных данных (большую часть которых мы пока не публикуем), у нас все еще нет ответа на главный вопрос – кем был создан Duqu. Кроме этого вопроса есть и другие, в целом относящиеся к истории создания

Два месяца продолжается наше исследование троянца Duqu — истории его появления, ареала распространения и схем работы. Несмотря на громадный объем полученных данных (большую часть которых мы пока не публикуем), у нас все еще нет ответа на главный вопрос – кем был создан Duqu. Кроме этого вопроса есть и другие, в целом относящиеся к истории создания

В последние несколько недель мы занимались исследованием инфраструктуры серверов управления, используемых Duqu. Широко известен факт, что первоначально обнаруженные образцы Duqu использовали C&C в Индии, размещенный на площадке хостинговой компании WebWerks. Впоследствии был выявлен еще один сервер Duqu — базирующийся в Бельгии, у хостера Combell Group Nv. «Лаборатория Касперского» в настоящий момент обнаружила более 12 различных

Драйвер Драйвер является первым компонентом Duqu, который загружается в систему. По нашим данным, драйвер и другие компоненты этой вредоносной программы устанавливаются с помощью дроппера, использующего 0-day уязвимость (CVE-2011-3402). Драйвер прописывается в реестре по следующему пути: HKLMSystemCurrentControlSetServices. Конкретное имя ключа реестра отличается в разных версиях драйвера Duqu. После загрузки драйвер расшифровывает маленький блок, содержащий ключ реестра

Как мы сообщали ранее, в последнее время мы вели исследование ряда инцидентов, связанных с заражением троянцем Duqu. Нам удалось значительно продвинуться в понимании истории Duqu и собрать еще несколько отсутствующих компонентов, без которых понимание происходящего было затруднено. Прежде всего мы бы хотели выразить огромную благодарность специалистам CERT Sudan. Они оказали неоценимую помощь в нашем расследовании

Прежде всего я должен сообщить об ошибке, допущенной в прошлом тексте. При анализе 4-го инцидента в Иране мы констатировали факт двух сетевых атак на машину жертвы с IP-адреса 63.87.255.149. Это могло бы стать отличной версией происхождения Duqu, но оказалось потрясающей ошибкой. Судите сами – Duqu в своей работе проверяет наличие подключения к интернету и пытается

Наше исследование троянской программы Duqu продолжается. В первой части отчета, опубликованной несколько дней назад мы указали на существование гораздо большего количества драйверов, чем считалось раньше, а также сделали выводы о возможном наличии других модулей. Кроме того, мы пришли к выводу, что в отличии от массового распространения, как это было в ситуации с Stuxnet, Duqu атакует

Дроппер несет в своей ресурсной таблице пять других файлов, так что всего компонентов шесть, и каждый решает свои задачи, каждую из которых мы внимательно изучили.

Прежде всего мы считаем необходимым внести ясность в некоторую путаницу с именами файлов и с самими файлами, относящимися к данному инциденту. Для полного понимания ситуации необходимо знать, что на самом деле речь идет о двух (как минимум) разных вредоносных программах. Все, что было сказано в прошедшие сутки о связи Duqu со Stuxnet, в большинстве случаев

— Что представляет собой Duqu и какое отношение он имеет к Stuxnet? Duqu — сложная троянская программа, которая, похоже, была написана создателями скандально известного червя Stuxnet. Её основная цель — действовать в качестве бэкдора в системе, упрощая кражу частной информации. Это его основное отличие от Stuxnet, главной целью которого были диверсии на промышленных объектах. Также

Trend Micro предупреждает о новой волне целевых атак, мотивом которых, по всем приметам, является кибершпионаж. Основными мишенями злоумышленников являются ключевые институты России и стран СНГ, включая дипломатические миссии, министерства, космические агентства и тому подобные организации. Исследователи насчитали свыше 300 таких инцидентов с участием даунлоудера Lurid, он же Enfal. Это троянское семейство известно с давних пор,

История вокруг червя Stuxnet в последние дни освещалась всеми средствами массовой информации много и по-разному. Слова «Иран», «атомная станция в Бушере» и «кибероружие» уже неразрывно связаны с Stuxnet. Одним из основных пунктов «иранской» теории называется то, что Иран является эпицентром эпидемии – в нем отмечено наибольшее количество зараженных компьютеров. Но дело в том, что любые