1. Kiadtuk a v1.24-et a Duqu Detector Toolkitből, amiben vannak új szignatúrák a driver felismerésére

2. A Duqu / Stuxnet fejlesztők nemcsak a mi , de mások tooljait is rendesen kipróbálják, addig faragják a kódot, amíg semmi nem találja meg. De túl sokat ezen azért nem dolgoznak

3. Egyelőre nem tudjuk, hogy a többi komponens hogy néz ki, hogy vajon máshova rakták-e a payloadot (pnf) stb. tehát nem kizárt, hogy a többi toolunk még működik. Az meg biztos, hogy amint van minta, hála a nyílt forráskódnak, bárki egy perc alatt tudja módosítani és utólag legalább gyorsan feltárhatóak a tettek.

4. Fontos tapasztalati tény, hogy a duqudetector kiadása november elején volt, tehát kb.3 hónapig vártak

5. Van sok Duqu mystery még, pl. miért használtak módosított LZO-t tömörítésre. A megfejtés abban lehet, hogy a fejlesztők tényleg nagyon sok toollal tesztelik művüket. Ez persze rizikót is jelent nekik

röviden ennyi :).

@boldii: Köszi a részletes infókat! Kb. a kommenteddel egy időben frissítettem a posztot :)

Annyit hozzátennék még kérdés nélkül, hogy

-Számítottunk rá, hogy ha teljesen nyíltan, nyílt forráskóddal kiadjuk a keresőkódot, úgy arra felkészülnek

-Ugyanakkor érdekes adalék, hogy csak 3 hónap után jelentkeztek, ami egy hasznos info is egyben

-A nyílt verzió mellett természetesen a tooloknak könnyen létrehozható egyéb custom verziója, amiről viszont a készítők esetleg nem tudnak

-Fontos azt is észrevenni, hogy a toolok update-je igen könnyű, és a friss verzió újra segíthet korábbi verziók (ezúttal idénről) felfedezésében

Nyilvánvaló, hogy ez a fajta macska-egér harc folytatódhat még. A leszűrt tapasztalatok lesznek a legérdekesebbek és a hosszabb távon érvényesek.

@boldii: nincs jelentősége, hogy nyílt forráskódú a duqudetector... nyilván ha nem lenne az, akkor se okozna gondot nekik a duqu obfuszkálása :)

@Hunger: Az obfuszkálás és a szignatúrák kikerülése két külön kérdés. A másik oldalról a nyílt forráskódú tool minden működése ismert. A zárté nem.

@boldii: ez a szignatúrák kikerülése obfuszkálás által :) és nem csak a malware működését lehet megismerni RE segítségével, hanem a detektorét is... azt gondolni, hogy zárt detektor esetén nem kerülnék ki a szignatúrákat szerintem naívság.

@boldii: Mennyire vagytok biztosak benne, hogy 3 hónap után jelentkeztek? Nem 3 hónap után _vették észre_ a jelenlétet?

A vitához annyit, hogy szerintem boldii II./3-as pontja a kulcs: minél több detektor verzió van, annál nehezebb rá felkészülni, és a sokszínűségnek kedvez a nyílt forrás.

Másrészt az sem elhanyagolható szempont, hogy nem kell vakon megbízni mindenféle K-Európai műhelyekben, ha az ember használni akarja a toolt.

@buherator: A mai világban semmi sem biztos :) Jelenleg csak a driver van ráadásul meg, tehát nem tudni mi az új dropper, sem azt, hogy milyen fájlban van a payload, egyedül a titkosító algoritmus tudható a driverből, de az látható is a Symantec hírében.

Magyarán természetesen fene tudja.

A toolkitünknek egyébként az a varázsa, hogy bárki könnyen csinálhat és csinálhatott belőle már módosított verziót, ami mondjuk nemcsak a pnf kiterjesztésű fájlokat nézi meg, vagy belerakott egy-két másik szignatúrát is, és erre biztosan nem tudták tesztelni a Duqusok.

De mondom, egyértelműen szélmalomharc az ügy, viszont annak egy igen érdekes real-time real-life esete, majd pár év múlva, utólag okosabbak leszünk.

Le lehet ezt tolteni valahonnan? Mindenhol csak a detektort linkelik.

@nyos: nem, a minta nincs publikusan kiadva.

hali,

miért fontos infó a 3 hónap? német cég lehet mögötte, akiknél negyedévenként van release, mert a jobbmenetes csavart is balra húzzák, ha az van a doksiban?

kz