Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

DuQu - Megvan a dropper!

2011.11.01. 18:41 | buherator | 3 komment

CrySys.hu:

Laborunk, a CrySyS Adat- és Rendszerbiztonság Laboratórium tovább folytatta a Duqu trójai elemzését, és a kutatás eredményeként azonosítottunk egy dropper fájlt, mely egy MS 0-day kernel hibát használ fel. A szükséges információkat azonnal továbbítottuk az  illetékes szakmai szervezeteknek, akik gondoskodni tudnak a felhasználók megfelelő védelméről.

Ha beesik konkrétabb infó, frissítem a posztot!

Friss1: A ZDNet értesülése szerint a trójait egy .doc fájlba csomagolták. Ha ez így igaz, kell lennie még egy kódfuttatást lehetővé tevő lépcsőnek a Word és a kernel exploit között.  

Friss2: Itt olvasható a Symantec kommentárja, sajnos a frissített whitepaper még nem látszik azon a szerveren, amit elérek. A célbajuttatáshoz használt dokumentum a biztonsági cég szerint kifejezetten a konkrét célpont számára készült. Egyesek arra tippelnek, hogy a kihasznált sebezhetőség közvetlenül rendszer szintű kódfuttatást eredményezhet a Wordből, a win32k.sys beágyazott betűkészlet feldolgozó alrendszerének hibáját kihasználva (egy régebbi ilyen jellegű sebezhetőségre van példa itt). De ez csak egy tipp. A legújabb eredmények szerint a trójai SMB megosztásokon keresztül is terjedhetett belső hálózatokon, és ezt a protokollt arra is felhasználta, hogy az interneteléréssel nem rendelkező gépek is kapcsolatot tudjanak tartani a C&C-vel a szomszédos, netes gépeken keresztül.  Az indiai C&C szervert idő közben lefoglalták, de most egy újabb irányító hosztra bukkantak Belgiumban. 

Friss3: Innen letölthetők a DuQu első mintái (jminet7.sys, cmi4432.sys, nfred965.sys) 

Címkék: 0day crysys duqu

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

dnet 2011.11.01. 18:52:29

Nice, viszont a posztban fura helyre mutat a crysys.hu link

iQwerty 2011.11.02. 15:59:06

A whitepaper már letölthető.