ГлавнаяНовостиСтатьиВендорыКаталог  +7 (495) 231-0169 © 

[ Список статей ] ...


ITSec.ru. Watchguard: во втором квартале 2020 года число атак уменьшилось, но вредоносное ПО стало агрессивнее

CISO CLUB. Ультимативный гайд по электронным подписям от УЦ ITCOM

WhatsBetter.ru. Лучшие антивирусы 2020

WhatsBetter.ru. Лучшие браузеры 2020

WhatsBetter.ru. Какая операционная система лучше?

WhatsBetter.ru. Что лучше: Windows 10, 8, 7, Vista или XP?

WatchGuard Technoligies. Новые возможности сервисов Network Discovery и Mobile Security позволили WatchGuard значительно увеличить "Прозрачность" cети

Илья Шабанов. Названы самые комфортные в работе антивирусы

Мария «Mifrill» Нефедова. Облава: о том, как спецслужбы ловят дропов, и не только

Алексей Кадиев. Ботнет Bredolab. Конец истории?

Юрий Ильин. «Добровольные» DDoS-атаки: комментарии экспертов

Берд Киви. За кулисами кибервойны

Берд Киви. Шифровальщик устал...

Chad Perrin. Эффективное уничтожение данных на жестких дисках и других накопителях

Н.Н. Федотов. Риски системного администратора: семь и еще один способ подвести сисадмина под монастырь

Берд Киви. Ближе к железу

Microsoft TechNet. Десять непреложных законов безопасности

Анатолий Темкин. Как карта ляжет

Андрей Сидельников. Правообладатели не придумали, как делить болваночный сбор

Антон Носик. Лохотрон в зоне .рф

Максим Букин. Лжевирусы атакуют

habr.ru. Взгляд на современные системы защиты от спама веб-форм

Cio.com (перевод — Елена Фирсова). Самые опасные работы в области технологий

 Валерий Марчук 

  

Еще один 0-day в Microsoft Windows или Stuxnet атакует


  Несмотря на вектор распространения, новый червь, эксплуатирующий уязвимость при обработке ярлыков, становится очень популярным. Казалось бы, что подобному вектору распространения вредоносного ПО давно должен был прийти конец. Ведь черви подобным образом распространяются еще со времен Elk Cloner (1982 год). И теперь, 28 лет спустя, мы видим тот же вектор атаки, только скорость и масштабы заражения гораздо выше.

Хронология событий

10.07.2010
Белорусская антивирусная компания VirusBlokAda (VBA) сообщает о появлении новой вредоносной программы.
US-CERT получает уведомление об атаке с использованием 0-day уязвимости в Microsoft Windows.

15.07.2010
Данные об уязвимости попадают в публичный доступ

16.07.2010
Microsoft выпускает уведомление безопасности, в котором подтверждает наличие уязвимости

19.07.2010
В публичном доступе появляется эксплоит

Уязвимые системы

Microsoft Windows XP SP2/SP3
Microsoft Windows 2003 SP2
Microsoft Windows Vista SP1/SP2
Microsoft Windows 2008 SP0/SP2
Microsoft Windows 7
Windows Server 2008 R2 for x64-based Systems

В настоящий момент антивирусы распознают червя следующим образом:

Symantec: W32.Temphid
Kaspersky: Rootkit.Win32.Stuxnet.a
TrendMicro: RTKT_STUXNET.A
F-Secure: Rootkit.Stuxnet.A
Sophos: W32/Stuxnet-B
Bitdefender: Rootkit.Stuxnet.A
Avast: Win32:Stuxnet-B
Microsoft: Trojan:WinNT/Stuxnet.A
AVG: Rootkit-Pakes.AG
PCTools: Rootkit.Stuxnet
Eset: Win32/Stuxnet.A
GData: Rootkit.Stuxnet.A
AhnLab: Backdoor/Win32.Stuxnet
DrWeb: Trojan.Stuxnet.1
Fortinet: W32/Stuxnet.A!tr.rkit
Ikarus: Rootkit.Win32.Stuxnet
Norman: W32/Stuxnet.D

Скорость распространения червя: 1000 хостов/день.

Основной метод распространения – USB носители.

Масштабы заражения хорошо иллюстрирует график с сайта MMPC

Как происходит заражение

Уязвимость заключается в ошибке при обработке ярлыков (.lnk и .pif файлов). Червь распространяется через инфицированные USB устройства. Заражение происходит, когда пользователь открывает диск автоматически с помощью функционала автозапуска, либо при открытии диска непосредственно в Windows Explorer или аналогичном менеджере файлов. Специально сформированный ярлык заставляет Windows Shell подгрузить внешнюю динамическую библиотеку, которая выполняет произвольный код с привилегиями пользователя, запустившего Windows Explorer.

Текущий вариант червя осуществляет следующие действия на системе:

1. Червь копирует себя в файлы:

%System%\drivers\mrxcls.sys

%System%\drivers\mrxnet.sys

Некоторые образцы имеют цифровую подпись Realtek Semiconductor Corporation.

2. Регистрирует себя (mrxcls.sys) в качестве службы под названим MRXCLS.

3. Создает ключ в реестре
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxCls\­"ImagePath" = "%System%\drivers\mrxcls.sys"

4. Регистрирует файл mrxnet.sys в качестве службы под названием MRXNET

5. Создает ключ в реестре
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxNet\­"ImagePath" = "%System%\drivers\mrxnet.sys"

6. Скрывает файлы под именами:
%DriveLetter%\~WTR[FOUR NUMBERS].tmp

Посредством перезаписи следующих API:

FindFirstFileW
FindNextFileW
FindFirstFileExW
NtQueryDirectoryFile
ZwQueryDirectoryFile

После успешного запуска червь завершает работу служб, содержащих следующие имена:

vp.exe
Mcshield.exe
avguard.exe
bdagent.exe
UmxCfg.exe
fsdfwd.exe,
rtvscan.exe
ccSvcHst.exe
ekrn.exe
tmpproxy.exe

Червь собирает информацию о сетевых настройках и серверах в локальной сети. Может подключаться к следующим адресам:

ww.windowsupdate.com
www.msn.com
www.mypremierfutbol.com
www.todaysfutbol.com

Червь распространяется путем создания файлов:

%DriveLetter%\~WTR4132.tmp
%DriveLetter%\~WTR4141.tmp
%DriveLetter%\Copy of Shortcut to.lnk
%DriveLetter%\Copy of Copy of Shortcut to.lnk
%DriveLetter%\Copy of Copy of Copy of Shortcut to.lnk
%DriveLetter%\Copy of Copy of Copy of Copy of Shortcut to.lnk

С вчерашнего дня в публичном доступе находится PoC код. Как видно на рисунках 1 и 2, в качестве отладочной информации выводится строка, которая позволяет удостовериться в выполнении кода.

Защита от уязвимости

Пока Microsoft готовит к выпуску исправления, давайте рассмотрим следующие временные решения.

1. Запрет отображения иконок для ярлыков

  • Описанные ниже действия приведут к тому, что иконки не будут больше отображаться для ярлыков. Отключение возможности отображать ярлыки предотвращает возможность эксплуатации уязвимости на системе.

    Запустить редактор реестра (Пуск->выполнить->regedit)
  • Перейти к ключу
    HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler
  • Удалить данные для значения (Default)
  • Перезапустить Windows Explorer.

2. Отключение службы WebClient

Отключение этой службы позволит устранить вектор атаки путем блокирования наиболее вероятного источника атаки через службу Web Distributed Authoring and Versioning (WebDAV).

  • Пуск->Выполнить->cmd
  • sc stop WebClient
  • sc config WebClient start= disabled

Отключение этой службы приведет к недоступности WebDav ресурсов.

3. Заблокируйте загрузку .lnk и .pif файлов на Интернет шлюзах.

4. Fix it

В качестве временного решения можно воспользоваться также утилитой Fix it от компании Microsoft.

Дополнение от 21.07.2010:

Microsoft изменила ранее опубликованное уведомление безопасности, добавив два новых вектора эксплуатации уязвимости:

  1. Internet Explorer. Злоумышленник может с помощью специально сформированного Web сайта заставить браузер пользователя загрузить иконку для ярлыка и выполнить вредоносный код на целевой системе.
  2. Документы Office. Злоумышленник может встроить специально сформированный ярлык в документ Microsoft Office (или другого офисного пакета, поддерживающего работу со встроенными ярлыками) и скомпрометировать целевую систему.

Это говорит о том, что в скором времени можно ожидать распространение эксплоита через вложенные файлы в email сообщениях.

Источники:

http://www.securitylab.ru/vulnerability/395902.php
http://www.securitylab.ru/poc/395903.php
http://www.microsoft.com/technet/security/advisory/2286198.mspx
http://blogs.technet.com/b/mmpc/archive/2010/07/16/the-stuxnet-sting.aspx
http://www.symantec.com/security_response/writeup.jsp?docid=2010-071400-3123-99&tabid=2
http://anti-virus.by/press/viruses/3948.html
ftp://anti-virus.by/pub/docs/russian/Rootkit.TmpHider.pdf

Источник: SecurityLab  

Рейтинг @Mail.ru
Rambler''s Top100