Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

DuQu detektorok

2011.11.09. 15:19 | buherator | Szólj hozzá!

Régebbi hír, hogy az NSS Labs megjelentetett egy DuQu kereső programot, ami a cég közleménye szerint 100%-ban, hamis pozitív találatok nélkül detektálja a kártevőt. Annak idején azért nem írtam a dologról, mert ez az eszköz egyszerű mintaillesztést használ a felismeréshez, az ilyen jellegű detekció pedig már a legtöbb elterjedt AV-ban is megtalálható.

Most viszont a kártevőt először elemző, magyar CrySys labor kiadott egy másik eszközt is, ami a érdekesebb irányokból közelíti meg a problémát:

A minta alapú felismerés mellett a program olyan .PNF fájlokat keres, melyekhez nem tartozik .INF fájl, ahogy az rendes konfigurációk esetekben lenni szokott, illetve a fájlok tartalmának entrópiáját (közérthetőbben: a bitfolyam megjósolhatatlanságának mértéke) is alapul veszi a kereséskor. Utóbbi eljárás azért lehet hatékony, mert a titkosítás (amit a kártevők általában a mintaalapú szűrések elkerülésére használnak) általában véletlennek látszó kimenetet állít elő, melynek entrópiája magas, szemben az általában sok redundanciát tartalmazó, ártalmatlan fájlokkal. 

A két alternatív módszer ugyan szolgáltathat fals pozitív eredményeket, megkerülésük viszont remélhetőleg nehezebb feladatot jelent majd a DuQu készítői számára. 

Címkék: eszköz nss labs crysys duqu

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.