אז על מה כל הרעש? - Stuxnet

[במקור: http://www.marcelovega.com/blog/wp-content/uploads/2008/11/VirusenpendrivesmemoriasyreproductoresUS_ED71/viruspendrive.jpg] 
בתחילת השבוע פגשתי בבלוג של Ivanlef0u את הפוסט הבא:
http://www.ivanlef0u.tuxfamily.org/?p=411 

הבחור מצא חולשה ברכיב ה-Windows Shell של Microsoft במנגנון הצגת האייקונים של קבצי ה-Shell Link (סיומות: "LNK"
ומקביליהם ב-MS-DOS: קבצי "PIF") - או מה שמכונה בפי העם: "קיצור דרך".

מדובר על חולשה הנמצאת במנגנון הממומש ב-Explorer.exe אשר אחראי לייבא את האייקון של הקובץ אליו קובץ ה-LNK
מצביע (קובץ ה-"Target"). - שימו לב שאם תיצרו קיצור דרך לקובץ בעל אייקון מסויים במערכת חלונאית, האייקון של אותו
קיצור דרך יהיה זהה (מלבד חץ קטן בפינה הימנית התחתונה) לאייקון של הקובץ אליו יצרתם את קיצור הדרך (זה המנגנון
הבעייתי).

מה ש-Ivanlef0u מצא, הוא שאפשר ליצור קובץ LNK שבעזרת מספר שינויים בו, יהיה ניתן לגרום לאותו מנגנון ב-Exploere.exe
להריץ פקודות ולטעון מידע לזיכרון. לא עבר זמן קצר והוא גם פרסם PoC שמנצל את החולשה הנ"ל, ניתן להוריד אותו מכאן:
http://ivanlef0u.nibbles.fr/repo/suckme.rar


כותבי הווירוסים לא חשבו פעמיים, חקרו את החולשה ואת ה-PoC ושילבו אותו בתולעת בשם "Stuxnet" והתחילו להפיץ,
איך? דרך כונני USB. מה שנחמד הוא שלא מדובר כאן בתולעי USB-Worm רגילות שאותן אפשר לעצור ע"י ביטול פונקציית
ה-Autorun (השטותית והטיפשית) של מערכת ההפעלה. מפני שהקוד בכלל לא נטען בעזרתה- אלה בעזרת אותה החולשה
ב-Exploere.exe. כך, שנכון לעכשיו- כל מערכת הפעלה מ-XP (כנראה XP3) ומעלה- הן קורבנות פוטנציאלים לתולעת הנ"ל.

החבר'ה מ-Symantec עשו אחלה עבודת מחקר על התולעת ופרסמו מידע, לכן אני לא ארחיב יותר מדי וכמעט אספק בקישור:
http://www.symantec.com/connect/blogs/w32stuxnet-installation-details

(אמרתי כמעט) - כמו במימוש של lvanlef0u, כך גם במנגנון ההפצה של התולעת- כאשר מכניסים התקן נשלף (USB/CD ואפילו
שיתוף תחת WebDav) נגוע, התולעת מנצלת את החולשה ב-Explorer.exe וטוענת קובץ DLL לזיכרון (אחד תו"כ הזרקת קוד
ל-Explorer.exe ואחד ל-LSASS.EXE):

את שלב ההדבקה של המחשב ניתן לראות בסכמה הבאה:
[במקןר: http://www.symantec.com/connect/imagebrowser/view/image/1393621/_original] 
(לקוח מהדו"ח של Symantec)


כמובן שלאחר מכן, התולעת מנסה להפיץ את עצמה בעזרת הרשת המקומית, להשבית את תוכנות האנטי-וירוס שרצות ברקע
ובמקביל יוצרת תקשורת עם שרת ה-CnC שלה והופכת את המחשב לזומבי. מה שאומר שבכלל מדובר כאן ב-Botnet עם
תכונות של Rootkit. - מה תפקידה של התולעת? איזה מידע היא אוספת? לא מעניין אותי יותר מדי. זה לא קריטי.

בנוסף אחד הנתונים המעניינים והוא- שקבצי ה-DLL של התולעת חתומים כדרייברים בעזרת החתימה הדיגיטלית של Realtek
שנוצרה ע"י VeriSign, מפתיע ביותר!
[במקור: http://threatpost.com/sites/default/files/images/realtek_cert.img_assist_custom-350x412.jpg] 
[מצטער על האיכות, התמונה במקור נלקחה מ-Threatpost
 
כמובן שהחבר'ה שאחראים על החולשה עדיין ישנים בעמידה, ונכון לכתיבת שורות אלו עוד לא שוחרר טלאי אבטחה שאמור לסגור
את החולשה והסיפור. ניתן לעבור עליו כאן:
http://msdn.microsoft.com/en-us/library/dd871305(PROT.10).aspx


או בקיצור: איך לבטל את הצגת האייקונים של קבצי ה-LNK דרך ה-Explorer.exe בכדי לא להיות חשופים- עד יעבור זעם:
  1. Click Start, click Run, type regedit in the Open box, and then click OK.
  2. Locate and then select the following registry key:
    HKEY_CLASSES_ROOTlnkfileshellexIconHandler
  3. Click the File menu and then click Export.
  4. In the Export Registry File dialog box, type LNK_Icon_Backup.reg and then clickSave
    Note This will create a backup of this registry key in the My Documents folder by default .
  5. Select the value (Default) on the right pane in the Registy Editor. Press ENTER to edit the value of the key. Delete the value, so that the value is blank, and press ENTER.
  6. Locate and then select the following registry key:
    HKEY_CLASSES_ROOTpiffileshellexIconHandler
  7. Click the File menu and then click Export.
  8. In the Export Registry File dialog box, type PIF_Icon_Backup.reg and then clickSave
    Note This will create a backup of this registry key in the My Documents folder by default
  9. Select the value (Default) on the right pane in the Registy Editor. Press ENTER to edit the value of the key. Delete the value, so that the value is blank, and press ENTER.
 (נלקח מה-Advisory של Microsoft ל-KB מספר: 2286198)

כמובן שלאחר מכן- קבצי ה-LNK לא יהיו פעילים במערכת שלכם.
 
 
צעד נכון שהחבר'ה מ-Microsoft עשו הוא להכניס את חתימה כללית ל-Forefront- התולעת מזוהה כ-"Win32/CplLnk.A/B".
 
ועכשיו קצת נימה אישית:
לא עברתי בכל הארגונים הגדולים בארץ, אבל בהרבה מאוד מהארגונים שעבדתי איתם ראיתי שמערכת ההפעלה שלהם
בהחלט תומכת בהפעלה של ה-Autorun (שאננות? חוסר מודעות?) מה שאומר ש(הם במצב גרוע, אך)הסיכון להדבק בתולעת
כזאת לא גדל.
 
המלצות שלי, בקשר לאירוע ובכלל: אל תכניסו התקני Disk On Key למחשב שלכם מבלי שיש לכם אנטי-וירוס מעודכן. ועדיף
בכלל שיהיה לכם Disk On Key אישי, שרב השימוש יהיה בו ולא מהתקנים מזדמנים. פעם שמעתי על הקבלה מעניינת בין וירוסים
שרצים על התקני USB לבין איידס. ורק מהנימוס אני לא אתן אותה. ;)
 
 



תגובות על 'אז על מה כל הרעש? - Stuxnet':



#1 

iTK98:
משהו שלא מסתדר לי, גם משתמש רגיל יכול להזריק DLLים
אל תוך המערכת?! או שסומכים על כך שהמנהל מערכת יחבר את ההתקן DOK?
21.07.2010 18:50:17

#2 

cp77fk4r:
למנהל המערכת אין אפשרות לעשות את זה. כנראה החולשה ב-Explorer.exe מאפשרת את זה. [נערך]
21.07.2010 19:18:07

#3 

Dw4rf (אורח):
משתמע מדבריך שניתן לבצע בעזרת ניצול של החולשה Privileage escalation. לא?
21.07.2010 19:20:46

#4 

Zerith:
נשמע כמה חור ממש רציני.
לגבי העלאת הרשאות..אני לא בטוח, השאלה אם לExplorer.exe יש הרשאות לעשות דבר כזה כשהוא רץ במשתמש מוגבל.
21.07.2010 19:31:03

#5 

cp77fk4r:
א'- Microsoft שחררו כלי שמאפשר לתקן באופן זמני את הפירצה (אני מאמין שהוא פשוט עורך את ה-Registry באופן אוטומטי- לא בדקתי):
http://support.microsoft.com/kb/2286198

ב'- תודה Zerith, כשאתה מבצע Logon למערכת, ה-Explorer.exe רץ תחת היוזר שלך, ולכן אני מניח שאין לו את ההרשאות האלה. כנראה שאני טועה בתגובה שלי ל-iTK98. בכל אופן, שלחתי מייל לצרפתי ההוא עם השאלה. נחכה ונראה. :)
21.07.2010 19:50:36

#6 

T4uSBaZ (אורח):
באג רציני לגמרי.
תודה שוב על הסיקור הנפלא..
אני חושב שאלמד את הפורמט של קבצי lnk בכדי להבין איך בדיוק הוא הריץ את הקוד הזה..

CP - יש כבר שאלה שאני רוצה לשאול הרבה זמן..
מאיפה אתה יודע את כל החדשות האלה?
יש אתרי אבטחת מידע גדולים שכותבים על זה ? או שיש לך כתובות של עשרות בלוגים? אפשר קצת קישורים?! :)
21.07.2010 21:34:42

#7 

cp77fk4r:
משום מה, Microsoft הורידו את ה-PDF המסביר על מבנה קובץ ה-LNK מהשרת שלהם והוא לא נגיש כבר יומיים (חשוד משהו..), אנשים טובים הספיקו להוריד אותו ולהעלות אותו למקום אחר:
http://ivanlef0u.nibbles.fr/repo/windoz/[MS-SHLLINK].pdf

ובקשר לשאלה שלך:
מאיפה אני מביא את המידע? בהרבה מקרים אנשים מפנים אותי לידיעה מסויימת בכדי שאני אתן חוות דעת, במקרים אחרים אני עובר באופן יום-יומי (RSS) על כל מה שיש ב-SecLists.org, אני בקשר עם הרבה חוקרי אבטחת מידע שמנהלים בלוגים ודואגים לעדכן אחד את השני.. ו.. בכלליות אני פוקח עיניים קבוע :)
22.07.2010 00:32:21

#8 

cp77fk4r:
בקשר לידיעה הזאת ספציפית- אם עד הפוסט הזה לא שמעת על התולעת הזאת אתה באמת מנותק מהמציאות, הגעתי למסכנה שצריך לכתוב על זה רק בגלל שראיתי שאין שום מקום בעברית שהסביר באמת מה הולך שם...
22.07.2010 00:34:37

#9 

T4uSBaZ (אורח):
על התולעת הזו ספציפית שמעתי עד עכשיו.
הרצון שלי הוא לשמוע גם על דברים לא כל כך נפוצים, ולשמוע עליהם ממקורות שיתרכזו יותר בחלק הטכני.
בכל אופן תודה רבה אני אעיין קבוע בסקליסטס..

=]
22.07.2010 03:15:43

#10 

cp77fk4r:
בבקשה, תעבור גם על הלינק שהבאתי לך בנושא פורמט קבצי ה-LNK.

דבר שני, גם Didier Stivens וגם-Ivanlef0u החזירו לי תשובה: כאשר מתחבר התקן נגוע במסגרת משתמש מוגבל- הקובץ ירוץ, המחשב ידבק- אבל שינויים במערכת הדורשים הרשאת ניהול לא יתבצעו.
22.07.2010 09:16:57

#11 

cp77fk4r:
יאללה! יש מודול לחולשה הזאת ב-Metapsploit.
HDM לא נח לרגע!

אפשר לראות כאן:
http://www.metasploit.com/modules/exploit/windows/browser/ms10_xxx_windows_shell_lnk_execute

ודוגמה לשימוש:
http://tiny.cc/l6mou


השימוש הוא בדיוק כמו שאר המודולים שנמצאים תחת "Browser" - התוקף מרים שרת, ברגע שנכנסים אליו השרת מפנה את הקורבן לשיתוף של WebDav עם קיצור דרך כזה. מספיק שהקורבן ראה את הקובץ - זהו :) אנחנו במחשב שלו.
22.07.2010 15:12:12

#12 

T4uSBaZ (אורח):
תותחים. : )

רפרפתי בקובץ על הפורמט, בזמן הקרוב אלמד אותו קצת יותר לעומק.. אתה אגב יודע אותו ? (או לפחות יודע מה הפירצה שמאפשרת את ההרצה בקובץ? :} )

תודה שוב : )
22.07.2010 16:01:23

#13 

sdimant:
וואלה כשניסיתי להוריד את הPoK שIvanlef0u פירסם הnod32 שלי קפץ. ככה שאני רגוע, אני לא עושה את הביטול ברג'סטרי :-)
או שאולי אני לא צריך להיות רגוע?
22.07.2010 17:17:10

#14 

cp77fk4r:
sdimant- זה PoC (קיצור של Proof of Concept). ועדיף שמערכת ההפעלה שלך תהיה מאובטחת ושלא תסתמך על האנטי וירוס ש'ך.

T4uSBaZ - לא חקרתי את הפרצה לעומק, אבל לא תהיה לך בעיה לנתח אותו ע"י קריאה של המימוש ב-Metasploit או ע"י דיבוג של ה-PoC שפורסם. בקשר ל-מבנה של קבצי LNK, כן, אני מכיר- אם יהיו לך שאלות בזמן הלימוד אני בניקס.
22.07.2010 17:31:19

#15 

sdimant:
חח, ציפי זה ברור. אבל התכוונתי אם כדאי לעשות את מה שהבאת ברג'יסטרי (שמבטל את התמונות בLNK) או שלא חייב (ברור שיותר נוח כשהתמונות מוצגות. אבל אם זה פרצה הקוראת לגנב...)
22.07.2010 19:00:15

#16 

cp77fk4r:
עדיף. אם לא היה עדיף לא הייתי מכניס את זה למאמר :)
22.07.2010 19:24:46

#17 

sdimant:
;-)
22.07.2010 19:30:51

#18 

Zerith:
האמת שלא שמעתי על התולעת הזאתי עד עכשיו,
אבל זה בהחלט גרם לי לחשוב שאני צריך להתעדכן!
23.07.2010 12:16:31

#19 

cp77fk4r:
איפה אתם חיים ריבונו של עולם?! ;)
23.07.2010 12:59:15

#20 

cp77fk4r:
התגלתה תולעת שניה שמבצעת שימוש באותה החולשה בכדי להתרבות דרך רכיבי USB, השם שנתנו לה הוא:
Win32/Autorun.VB.RP
23.07.2010 21:11:42

#21 

m1ch43l1014 (אורח):
מעניין אותי לדעת מי קובע את השמות לוירוסים?[;
24.07.2010 21:27:46

#22 

cp77fk4r:
לפעמים כותבי הוירוסים משאירים Comments בתוך קוד הוירוס עצמו ובו הם כותבים הודעה לעולם/לכותבי וירוסים אחרים ולפעמים גם את שמו של הוירוס. (כמו במקרים של NetSky, Beagle ו-Mydoom).

במקרים אחרים- אני מניח שחברות האנטי-וירוס/מגלה הוירוס?
24.07.2010 22:22:16

#23 

m1ch43l1014 (אורח):
אני מניח שבמקרה הזה - Win32/Autorun.VB.RP זאת חברה האנטי וירוס/מגלה הוירוס
25.07.2010 00:00:45

#24 

cp77fk4r:
נושא השמות פחות מעניין, לפעמים כותבי הוירוס משאירים הודעות שלמות, לפעמים מקללים או צוחקים על כותבי וירוסים אחרים וכו' - זה מעניין :)
25.07.2010 09:54:32

#25 

m1ch43l1014 (אורח):
באמת? אתה בבקשה יכול להביא גם לזה דוגמאות ?! [;
25.07.2010 19:19:22

#26 

cp77fk4r:
כותב ה-Bagle השאיר את ההודעה הבאה בגוף הוירוס:
"Greetz to antivirus companies
In a difficult world,
In a nameless time,
I want to survive,
So, you will be mine!!
-- Bagle Author, 29.04.04, Germany."
25.07.2010 19:35:21

#27 

zEt0s- (אורח):
תערוך את ההודעה שלך! אתה לא רוצה שהם יגיעו גם לשם!!!
אני צריך הרי לדבר איתך מידי פעם :P
ואין מילים בפי..אחלה פוסט כמו כל הפוסטים פה..גם הדברים שהכי לא חושבים עליהם דורשים תשומת לב..
28.07.2010 17:24:48

#28 

cp77fk4r:
יאפ'. ועכשיו גם Zeus נכנס למשחק:
http://tiny.cc/7t8uy

28.07.2010 21:57:00

#29 

עוז (אורח):
כתבה מעניינת,
אכן חולשה אדירה.
שבוע טוב לכם DW.
31.07.2010 23:04:31

#30 

cp77fk4r:
תודה רבה :) שבוע טוב גם לך!
01.08.2010 00:43:24

#31 

sdimant:
עכשיו ראיתי בנענע שמחר מייקרוסופט משחררים טלאי לפרצה הזאת: http://net.nana10.co.il/Article/?ArticleID=736015
02.08.2010 00:47:12

#32 

sdimant:
גם פה:
http://www.pc.co.il/?p=37716
02.08.2010 00:56:40

#33 

cp77fk4r:
הם פספסו בגדול את הפואנטה, החידוש בתולעת שמנצלת את הפירצה הזאת- ועל זה בעצם כל הרעש הוא שהטריגר בתהליך ההתרבות של התולעת הוא שמספיק לטעון את האייקון הזדוני- ולא ללחוץ עליו, מה שאומר שמספיק להכנס לתיקיה שבה היא קיימת.
02.08.2010 09:37:42

#34 

sdimant:
סיפי - צודק. אני רק התכווני להגיד שמייקרוסופט מוציאים עדכון לבאג הזה.
אגב, איפה מייקרוסופט מפרסמים איזה עדכונים הם הולכים להוציא?
02.08.2010 10:02:32

#35 

cp77fk4r:
לרב החולשות שמוצאים במערכות של מיקרוסופט נפתח "Microsoft Security Bulletin/Microsoft Security Advisory" עם מספר MS מסויים שבו מנוהל כל המידע אודות הבאג (כמובן בלי יותר מדי פרטים טכניים- את זה אפשר למצוא בכל מני בלוגים של חוקרים/SecLists).

לדוגמה, את ה-Advisory של מיקרוסופט בנוע לחשיפה הספציפית הזאת תוכל למצוא כאן:

http://www.microsoft.com/technet/security/advisory/2286198.mspx

שם הם מעדכנים עד הוצאת KB מסודר:
"Microsoft is currently working to develop a security update for Windows to address this vulnerability."
02.08.2010 13:44:37

#36 

cp77fk4r:
ופה כמובן:
http://support.microsoft.com/kb/2286198
02.08.2010 13:45:23

#37 

cp77fk4r:
הצלחתי להשיג גירסה בינארית של הוירוס! אפשר להתחיל בניתוח! :) אולי נראה עליו פוסט/מאמר בקרוב?
02.08.2010 14:20:55

#38 

sdimant:
הלוואי D-:
02.08.2010 14:31:13

#39 

cp77fk4r:
מיקרוסופט שחררה עדכון "קריטי" שמטפל בנושא :)
03.08.2010 11:27:01

#40 

sdimant:
הא הא! עכשיו קיבלתי את העדכון :)
זה אומר שאפשר להחזיר את התמונות של הLNK, לא?
03.08.2010 17:15:39

#41 

cp77fk4r:
יאפ'.
03.08.2010 19:37:29

#42 

cp77fk4r:
לאחר ניתוח קצר שלחתי את התוצאות ל-mcafee שכמובן ישן בעמידה (תהרגו אותי למה ארגונים עדיין משתמשים בו) וקיבלנו חתימות זמניות לזיהוי הוירוס (דווקא עובדות בסדר גמור!), נחכה לעדכון הרשמי :)
04.08.2010 07:45:44

#43 

sdimant:
מה זאת אומרת שקיבלת חתימות זמניות? ולמה אתה צריך אותם דווקא מmcafee?
אגב, נחכה כותבים עם ח' וכ' ולא להיפך ;)
04.08.2010 09:36:33

#44 

cp77fk4r:
זאת אומרת שהארגון שבו מצאתי את הוירוס משתמש ב-mcafee, והאנג׳נטים שלהם שם לא זיהו את הוירוס הזה, אז שלחתי אותו להם כדי שייצרו לנו חתימות זמניות כדי להסיר את הוירוס מכלל המחשבים שנדבקו, כשהם יסיימו לעבור על הממצאים שלי הם יפיצו באופן רשמי עדכון לאנטי וירוס שלהם כדי שהכל יהיה מסודר יותר...
04.08.2010 10:53:35

#45 

sdimant:
אה הבנתי. יפה!
בתור מה עשית את זה? אתה עובד אצלם, או סתם בתור בן אדם טוב?
04.08.2010 11:58:32

#46 

cp77fk4r:
אני בן אדם טוב, אבל זה בוצע במסגרת העבודה. ;)
04.08.2010 12:47:58

#47 

cp77fk4r:
חבר׳ה, טעות שלי- גם XP-Sp2 חשוף! דיברתי עם הבחור שגילה את החשיפה והוא אישר. מיקרוסופט לא דיווחו על כך מפני שהם כבר לא תומכים במערכת הזאת.
06.08.2010 00:08:55

#48 

cp77fk4r:
סטיבנס פרסם שני כלים שיכולים לעזור לכל מי שמעוניין לחקור קבצי LNK:

http://din.gy/35U3X

08.08.2010 21:38:23

#49 

m1ch43l1014 (אורח):
רגע אפשר קצת הסבר על הכלים?
09.08.2010 18:49:09

#50 

cp77fk4r:
הראשון הוא מעין Hex Editor קטן שנועד לעבודה מול פורמט של קבצים מהפורמט LNK והשני נועד לעזור לאתר על המחשב קיצורי דרך בעייתים הכוללים בתוכם קוד זדוני שמנצל את החשיפה הנ״ל.
10.08.2010 09:24:57

#51 

m1ch43l1014 (אורח):
אוקיי תודה רבה.
אגב מקאפי החיזרו תשובה?
10.08.2010 11:33:05

#52 

cp77fk4r:
חוץ מהעדכון שהם שלחו לא קיבלנו משהו, אבל זה לא קריטי- העדכון שלהם מספיק טוב. אני מאמין שהוא נכנס לשאר העדכון הרשמיים.
10.08.2010 13:27:01

#53 

cp77fk4r:
יש כיוון חדש?
מסתבר שיש KEY ברג'סטרי שבו שמורה גרסאת ה-SP של מערכת ההפעלה, ניתן לשנות את הערך הזה, וכך, כאשר מבצעים עדכונים ב-LiveUpdate ניתן להוריד עדכונים ל-SP שונה ממה שבאמת יש על מערכת ההפעלה.

זה המפתח:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Windows\CSDVersion

ו-SP2 מוצג שם כ-"200" ו-SP3 מוצג שם כ-"300".

ליותר מיד:
http://www.f-secure.com/weblog/archives/00002005.html
11.08.2010 13:57:33

#54 

sdimant:
וואלה יפה! תודה רבה!
11.08.2010 14:55:16

#55 

cp77fk4r:
עוד עדכונים:
http://din.gy/z22Re

14.09.2010 22:05:33

#56 

sdimant:
מה אתם אומרים?
http://din.gy/yNUef

26.09.2010 15:22:38

#57 

sdimant:
טוב, עכשיו גמרתי לקרוא את כל הכתבה ואני מצטער שבכלל פרסמתי את הקישור פה. לדעתי הכתב בכלל לא יודע על מה הוא מדבר!
26.09.2010 15:25:35

#58 

cp77fk4r:
אה? על פי מה התרשמת שכותב המאמר לא יודע על מה הוא מדבר?

אני אישית לא מבין כל כך בכסף (ואולי בגלל זה כמות הכסף שהוא ציין שם נראת לי מוגזמת) - אבל אני יודע דבר אחר: אם גדי עברון מדבר איתך על אבטחת מידע, עדיף לך להקשיב, הבחור מבין עניין :)

אני לא יודע מה הרקע שלו בכתיבת/ניתוח וירוסים ותולעים, אבל שמעתי עליו לא פעם ולא פעמיים רק דברים טובים בנושא אבטחת מידע מלקוחות ומאנשים שעבדו איתו.

בנוסף, בכתבה ההיא הוא כמעט ולא מביע את דעתו אלה מסביר שם למה עיתונות החוץ חושדת בישראל בתור יוצרת התולעת.
26.09.2010 16:54:28

#59 

sdimant:
קודם כל סיפי, אם לך זה נראה (ואם גדי עברון יודע מה הוא עושה) אני מבטל את דעתי מפני דעתכם. ובכל זאת אני רוצה לכתוב למה זה לא היה נראה לי אמין.

- "נראה כי הסוס הטרויאני בנוי לתקוף אך ורק כשהוא מזהה שתי מערכות ספציפיות של חברת סימנס, כך שנראה ומטרת התקיפה שלו היתה ספציפית -- למשל, הכור האיראני" -סיפי תגיד לי אתה אם זה נכון, לך יש את הבינארי שלו.
- "אם כי מהמידע הקיים נראה כי מירב ההדבקות הן באיראן ובמזרח התיכון" -אני לא זוכר איפה ראיתי את זה אבל אני זוכר שהיו קצת הדבקות באיראן. למרות שזה לא ממש הוכחה שהוא לא מבין.
- "ראשית, סטוקסנט הוא וירוס מתקדם מאוד מבחינה טכנולוגית. הוא תוקף ארבע חולשות חדשות שלא התגלו בעבר" -לפי מה שהבנתי מהפוסט הזה הוא מנצל את החולשה של הLNK.
- "וכדי להראות תמים, עושה שימוש בשתי חתימות דיגיטליות שנגנבו מחברות אמיתיות" -איך אפשר לגנוב חתימות דיגיטליות? זה משהו מובנה בקובץ.
- "הפיתוח שלו עלה כמה מיליוני דולרים ודרש עשרות שנות אדם במחקר ופיתוח" -עשרות שנות אדם??? בעשרות שנות אדם כל הטכנולוגיה משתנה. שלא לדבר על זה שזה לא ממש יעיל לחכות עם חולשה שמצאת עשרות שנים.
- "וניצל חולשת אבטחה שאיש לא ניצל בעבר" -נכון, אבל זאת היתה חולשה שהתגלתה עוד קודם.
- "פרסמו שמצאו אלפי מחשבים הנגועים בסוס הטרויאני, בין השאר גם כאלו שלא מריצים את המערכת הרלוונטיות. זו נקודה המעלה ספק ביכולות המקצועיות של מי שהשתמש בווירוס: מדוע להדביק אלפי מחשבים ברחבי העולם, דבר שיקל על חברות אבטחה לזהות את מקור הווירוס?" -בדיוק בגלל זה לא נראה להגיד שהווירוס מיועד להדביק מערכות ספציפיות (חוץ מזה שאם אין לו מנגנון שמזהה מערכות ספציפיות אז למה הוא חושב שהוירוס מיועד למערכת ספציפית?).
ושוב, אני לא מבין כמוך אז יכול להיות שאני טועה. אבל תגיד לי מה אתה חושב.
26.09.2010 18:53:19

#60 

cp77fk4r:
א'- גדי הביא עובדות ש_עיתונות חוץ_ הביאה- שים לב שזה לא עולה מניתוח שלו.

ב'- אני אתייחס לכל הנקודות שכתבת ותגיד לי מה אתה חושב:

- זה נכון שיש לי אחת הוריאציות שלו, אבל עדיין לא יצא לי לחקור אותן, בנוסף- גם אם אני אחקור אותן, אין לי את המערכות שאותם הוא תוקף- כך שעדיין לא אוכל לתת לך תשובה לנושא הזה. אם תקרא דו"חות עליו תראה שהוא אכן מבצע את מה שגדי כתב.

- התולעת אכן מנצלת את חולשת ה-LNK בכדי להתפשט אך חוץ מהתפשטות- לכל תולעת יש גם וקטור תקיפה, חלק מוקטור התקיפה הוא ניצול של החולשות הנ"ל, התולעת מנצלת שלושה חולשות אחרות שעד אז נחשבו כ-Odayz. (תוכל לקרוא ניתוח כאן: http://www.symantec.com/connect/blogs/stuxnet-using-three-additional-zero-day-vulnerabilities)

- אין לי מושג מה אמרת, אבל אופן פעולת ההתחמה הדיגיטלית מתבצעת ע"י קובץ CRT שמונפק ע"י גורם מאשר שמוכר לשני הצדדים בתקשורת (או מה שקוראים אותו: CA), קובץ ה-CRT מכיל את הפתח שבעזרתו מחתימים את הקובץ.

- בקשר למחיר, אני לא יודע להעריך מחיר עבודה כזאת, ולכן גם אני הרמתי גבה, בקשר לכמות הזמן- אתה צודק בהחלט שהטכנולוגיות משתנות, אבל שים לב שהוא לא כתב שלקח עשר שנים של פיתוח, הרעיון הוא שאם יש לך צוות של עשר אנשים שעובד במהלך שנה אחת על הפיתוח- הדבר אומר שהפיתוח לקח עשר שנות אדם", אם יש לך עשרים אנשים שעבדו במהלך שנה אחת- זה כבר "עשרות שנות אדם". קאפיש?

- זאת טעות שגם אני מצאתי, הוא כתב שם שהתולעת ניצלה ארבעה חולשות שלא נוצלו בעבר והעובדות בשטח הן שנוצלו "רק" שלושה, את החולשה שנוצלה לטובת מנגנון התפוצה- מצאו עוד קודם לכן.

- נשמע הגיוני, אבל שוב, שים לב שגדי לא כתב שהוירוס אכן ייעודי אלא שזה מה שעיתונות החוץ טוענת.

בכל אופן, חפש קצת בגוגל על גדי, תקרא קצת על פקוייט 'תהיל"ה' ועל CERT ועל ZERT.
26.09.2010 19:19:50

#61 

sdimant:
OK, אני מוריד את הכובע וחוזר בי מדברי (למרות שגם כל ההוכחות האלה לא מוכיחות שהווירוס דווקא מיועד לכור האיראני (כן, אני יודע שגם הוא כתב את זה, רק רציתי להדגיש)).
בקשר לחתימות הדיגיטליות, לא הבנתי. לפי מה שאני הבנתי הקובץ עצמו נחתם דיגיטלית, זה לא שאפשר "לגנוב" את החתימה.
26.09.2010 19:29:49

#62 

sdimant:
אגב, אהבתי את ההסבר על ה"עשרות שנות אדם".
26.09.2010 19:42:11

#63 

דאגלאס^^ (אורח):
גדי עברון ומלחמת עשרות השנים נשמע כטעות הקלדה או בולשיט צרוף, ההסבר נכון אך לא שימושי,

ראו את המרת הקוד DEADF007 לIP הסיני 222.173.240.7 ....

דו"ח מלא על יכולות הוירוס תשחרר סימנטק ב29 לספט',
26.09.2010 21:31:38

#64 

sdimant:
דאגלאס- לא הבנתי מה הקשר של DEADF007
26.09.2010 21:38:57

#65 

cp77fk4r:
Sdi, חפש בגוגל בקשר להחתמה דיגיטלית. הקובץ שנחתם נחתם, כמו שהתולית חתומה- אבל בכדי לבצע את פעולת ההחתמה אתה צריך חתימה מונפקת על ידי גורם מאשר- ואת החתימה הזאת אפשר לגנוב (מדובר בקובץ שמאחסן את החתימה)... קובץ לכל דבר.
26.09.2010 23:48:35

#66 

cp77fk4r:
בקשר לתגובה של דאגלאס- עכשיו נפל לי האסימון (נראה לי) הוא מסתלבט על הקטע שגדי כתב ״עשרות שנות פיתוח״ (״מלחמת מאה השנים״). - או שאני טועה?
27.09.2010 00:29:36

#67 

sdimant:
סיפי- הבנתי אותך בקשר לחתימה, אני קצת התבלבלתי.
27.09.2010 09:13:26

#68 

cp77fk4r:
אז גדי בסדר? :)
27.09.2010 12:41:12

#69 

sdimant:
חחח
27.09.2010 12:43:53

#70 

דאגלאס (אורח):
לא לא טועה
27.09.2010 23:52:55

#71 

d3k3l (אורח):
אירן שונאת את אמריקה ומשתמשים בתוכנות שלהם ומערכות הפעלה שהמציאו הארץ שלהם
(microsoft)
..
29.09.2010 14:55:27

#72 

sdimant:
גם גיא מזרחי דיבר על זה פה: http://guym.co.il/stuxnet/
01.10.2010 09:05:07

#73 

Dw4rf (אורח):
מצחיק לראות את כולם רצים לכתוב על הנושא פתאום, ולשמוע על ״התולעת החדשה״ אחרי שכבר קראתי את זה כאן לפני יותר מחודשיים :)
01.10.2010 14:09:25

#74 

Trancer (אורח):
למי שמעוניין בסאמפל של התולעת, פירסמתי באתר שלי... כולל סיכום של כמה משיטות הפעולה של Stuxnet וקישורים לניתוחים טכניים:
http://www.rec-sec.com/2010/09/28/stuxnet/
01.10.2010 18:44:31

#75 

stux or not (אורח):
חבל שהפוסט שלך מלא בהרבה דיסאינפורמציה, אין לך יותר מדי מושג וזה ניכר בשטויות שגיבבת.

אין לך מושג מי מצא איזו חולשה קודם, מדברים על זה שהתולעת קיימת כבר מעל לשנה וחצי ברוב המחשבים שהיא תקפה והיו בה לפחות 3-4 חולשות 0day נוספות.

על מה כל הרעש? מכעיס אותי מאוד שאתה מזלזל בתולעת וביכולות שלה, רד לביטים ותגלה שלא הכל שחור ולבן, יש פה תהליך רציני של מציאת והשמשת חולשות בכלי שאף AV לא הצליח לקלוט במשך המון זמן, וכנראה שהוא את העבודה שלו כבר סיים..

מה גם, שעדיין לא פרסו את הכלי לאורך ולרוחב, ויש חלקים שהחוקרים עצמם עדיין לא הבינו..
01.10.2010 19:21:59

#76 

cp77fk4r:
אז כמה דברים:
א'- "על מה כל הרעש" - לא נובע מזלזול בתולעת או משהו, אלה באמת בשאלה של "על מה כל הרעש". אתה כועס סתם בלי סיבה.

ב'- "איך לך מושג מי מצא איזו חולשה קודם" - אני מאמין שאתה מדבר על כך שהצגתי קודם כל את החשיפה בבלוג של Ivanlef0u ולאחר מכן כתבתי שכותבי התולעת הכניסו אותה גם ב-Stuxnet, אז נכון, באמת שאין דרך לדעת מי גילה את החולשה הזאת, וכן, גם אני קראתי שהתולעת מסתובבת כבר הרבה מאוד זמן. אבל, וזה דבר נפוץ- שכותבי התולעת מעדכנים חלקים בתולעת בזמן אמת (חלקים כגון וקטורי תקיפה, מטרות וכו') כך שיש סיכוי שהתולעת רצה הרבה מאוד זמן- אבל עודכנה רק לאחר שפרסמו את החשיפה. אם Ivanlef0u היה מגלה את החולשה בעת חקירה של התולעת- הוא היה כותב את זה, והצירוף מקרים שאתה טוען מאוד חשוד.

שוב, עזוב את הכעס בצד, אתה סתם מבזבז משאבים, אני לא מזלזל בתולעת או בכותב שלה. ובקשר לדיסאינפורמציה שאתה טוען לגביה- אשמח אם תוכל להצביע את נקודות ספציפיות בכדי שנוכל לדון בהן ובמידת הצורך גם לתקנן.

ו-Trancer, תודה רבה :)
01.10.2010 21:05:48

#77 

יוש (אורח):
קראתי פוסט מצוין בעברית בבלוג הזה:
http://notes.co.il/shai

הוא גם מצא אנקדוטה מתוחכמת לפיה stux במקלדת עברית יוצא דאוס כשם סדרת ההאקרים הישראלית... מעניין...
01.10.2010 21:25:16

#78 

cp77fk4r:
נה... נשמע לי כל כך מופרח שזאת התגובה היחידה שאני אתייחס להקשר הזה: אני לא מכיר את התוכנית הזאת, אך ברור שכותב התולעת מעוניין כמה שפחות שיהיה אפשר לקשר את התולעת אליו, אם זה בן אדם בודד ואם זאת מדינה שלמה.
01.10.2010 21:49:47

#79 

temp2byte (אורח):
יש בכתבה הזו הרבה לינקים יותר מדי לינקים שלא מובילים לשום מקום.זה נכון שניתן לבצע מניפולציה באמצעות כתיבה יתירה לתא זיכרון של LNK אבל זה עדיין לא הופך את התוכנה לוירוס, "עשרות אלפי מחשבים נגועים" ולא נגרם להם נזק ולא ייגרם להם שום נזק.הקובץ ממוקד לתכנת בקרה אלקטרונית ספציפית.לא ניתן לגלות שינויים של OCX ו VB במערכת הזו בשום תוכנת AV
ההצלחה של הקובץ הזה בגרימת נזק הוא בגלל הסנקציות ,האיראנים קנו ציוד ועד היום הם לא יודעים מי באמת מכר להם אותו וכאשר אני קורא על המניפולציות כביכול של הווירוס על שינוי של הסיסמאות ועוד שטויות אני צוחק (http://tcs-security-blanket.blogspot.com/)את מה שהוא היה צריך לעשות הוא כבר עשה לפני הרבה זמן ,עכשיו כל המומחים מדברים על ה LNK וקובץ בינארי של הווירוס,תנסה לפתוח אותו ותשתף אותנו במה שגילית יש שם אולי מתכון לחומוס.
02.10.2010 02:45:01

#80 

שמיל (אורח):
@temp2byte - קשה מאוד להבין מול מי או בקשר למה אתה מגיב, התגובה שלך נראת עניינית אך קשה להתייחס אליה.
04.10.2010 16:41:05

#81 

יוסי (אורח):
אני כטכנאי מחשב יש אצלי כרגע מחשב שנגוע בדיוק בווירוס הזה..
מחקתי את הערכים בריגסרי רבל עדין המחשב לא מגיב בצורה תקינה לסיומת lnk זתומרת הוא מבקש ממני תוכנית ברירת מחדל שבה הוא פותח את כל הקיצורי דרך..
ואם אני מגדיל ראש ומנתב את הקיצור דרך למקום שבו הוא שייך אז אחת מהשתים = או שהוא משנה לי את כל הקיצורי דרך לאותו מקום או שאם אני מבטל את ה 'וי' מ 'פתח תמיד קבצים מסוג זה ' אטו משו כזה אז רק חד פעמי הוא פותח לי את הקובץ המיועד!
אשמח לעוד קצת עזרה בעינין כי מה שיש כאן לא עזר
בכל אופן תודה לכותב המאמר השקעה יפה מאוד לא מצאתי עוד מישהו שהשקיע ככה לגבי הווירוס הזה !
חן חן
03.06.2012 04:35:44

#82 

cp77fk4r:
היי יוסי,
כיום רב אם לא כל תוכנות ה-AV יודעות להסיר את הוירוס הנ״ל. תוריד Avast, תעדכן, תתקין ותסרוק. זה אמור לסדר את הבעיה.

אגב, אני בספק שמדובר בוירוס הזה, הוא לא אמור להפריע לפעילות המחשב. בכל אופן, תריץ סריקה של Avast מעודכן, אם זה לא עוזר, אשמח אם תכתוב לי כאן.

יום טוב!
03.06.2012 07:01:45



הוסף את תגובתך:
כינוי:
תגובה:
קוד אבטחה:
העתק לכאן את הקוד:
 
Digital Whisper © 2009 - 2014 - כל הזכויות שמורות ל-אפיק קסטיאל ול-ניר אדר.