Solidot 登录
[ 创建一个新帐号 ]
Stuxnet之子的狂野之舞影响欧洲
Shawn the R0ck 写道 "Stuxnet蠕虫在伊朗被发现一年之后,Symantec报道发现了Stuxnet的衍生版。新的恶意程序使用和Stuxnet相同的技术,正在影响欧洲的工业系统。安全厂商Symantec认为这次的恶意程序和Stuxnet非常类似,只是目的不一样而已,很显然新蠕虫技术成为了变种的Stuxnet式的攻击。这个恶意程序叫做Duqu,Duqu的作者很可能就是Stuxnet的作者或者是他们阅读过Stuxnet的源代码,Duqu的目的是从被入侵的实体上搜集情报资料和资产,比如工业控制系统的结构和设计文档。这次的进攻目标是欧洲而不是伊朗,看来伊朗-以色列阴谋论是否成立还有待时间的考证。"
相关文章
软件: Duqu攻击者抹掉所有指令控制服务器
[+]
Duqu被认为是Stuxnet之后最危险的病毒,它是一种定制攻击框架,比Stuxnet更为先进。在最近被曝光之后,Duqu的攻击者删除了所有被用于发送指令的命令与控制服务器。对Duqu使用的所有已知命令控制服务器的分析显示,其中一些服务器最早是在2009年被入侵的,攻击者显然针对的是Linux服务器,而且运行的都是社区企业发行版CentOS,部分是32位,部分是64位,多位于越南、德国,瑞士、荷兰和印度境内。卡巴斯基的分析认为,攻击者可能是使用暴力破解入侵这些服务器的,但也有分析指示其中部分服务器运行的OpenSSH可能存在0day漏洞。最近入侵的一台服务器,攻击者特别将OpenSSH从4.3升级到5.8。攻击者成功入侵之后的第一项任务总是升级OpenSSH。
分析Duqu蠕虫源代码 1 条评论
[+]
Duqu蠕虫是Stuxnet之后最受关注的恶意程序。对源代码的最新分析显示程序员有点幽默感。
卡巴斯基安全研究人员在代码中发现了复活节彩蛋,它包含了一行版权声明“Copyright (c) 2003 Showtime Inc. All rights reserved. DexterRegularDexter”,Dexter是指美剧《嗜血法医》,在Showtime电视台放映。代码分析还显示Duqu可能有4年历史,它载入的一个驱动的编译时间是2007年8月31日。不过这可能并不正确,因为Duqu是一种定制攻击框架,它的不同组件是在不同时间创造的。研究人员还发现,Duqu最常攻击的时间发生在周三,这可能意味着它确实是一种军用类型的恶意程序。攻击者非常谨慎,每组不同的文件使用不同的命令和控制服务器。
安全专家称Duqu是定制攻击框架 2 条评论
[+]
赛门铁克上周报告发现了类似Stuxnet的工业系统恶意程序Duqu,但关于Duqu是未来Stuxnet的说法模糊了这种新恶意程序的许多真相。Duqu本质上是一种定制攻击框架,能为每个目标打造独立攻击模块。它已经感染了伊朗和苏丹的网络。卡巴斯基的安全研究员Alex Gostev详细分析了Duqu文件,发现恶意程序为每个目标使用了不同的驱动和模块。他说,很明显,每一个Duqu感染事件都是独一无二的,它的文件使用了不同的名称和校验。Duqu是用于对精心挑选出的受害者发动有针对性的攻击。
开发者: Stuxnet代码分析支持伊朗-以色列阴谋论
[+]
伊朗核电站计算机系统被Stuxnet病毒入侵,伊朗怀疑是它的敌人干的,伊朗的最大敌人当然是以色列。现在赛门铁克研究人员对蠕虫内部工作原理的分析从侧面支持了这一说法。
Stuxnet病毒是一种Windows蠕虫,通过USB传播,当计算机感染后会通过内网将自己复制到其它计算机中。它会修改Windows机器发送给可编程逻辑控制器(PLC)的命令,它会寻找特定的工业环境,如果没发现它不会运行,如果探测到它可能会导致PLC失控。它会在Windows机器上安装自己的驱动,使用了一个Realtek的失窃证书签名,它利用了5个漏洞,4个属于0-day漏洞,其中2个微软至今没有修复。赛门铁克研究人员认为,以色列可能是病毒来源,伊朗是预定目标。他们发现代码中提及了一个不起眼的日期:1979年5月9日——伊朗伊斯兰革命后新政府处决了一位知名犹太人Habib Elghanian的日期。
赛门铁克的分析报告(PDF)
声明:
下面的评论属于其发表者所有,不代表本站的观点和立场,我们不负责他们说什么。
.反击
(得分:1)( 最新日志: 2009年6月04日 19时09分 星期四 )
做正确的事,让世界变美好。