ГлавнаяНовостиСтатьиКаталогВендорыСтандартыОбучениеКонтакты  +7 (495) 231-4831    © 


[ Список статей ] ...


WatchGuard Technoligies. Новые возможности сервисов Network Discovery и Mobile Security позволили WatchGuard значительно увеличить "Прозрачность" cети

С-Терра СиЭсПи. Защита удаленного доступа. Доверенный сеанс связи

CNews. Fortinet включает защиту уровней доступа в систему обеспечения ИБ

CNews. ИТ-подразделениям всё труднее контролировать корпоративные данные в «облаке»

Jammer.ru. Apple следит за своими поль-зователями через Yosemite

Lenta.ru. Разоблачение «Корпорации добра»

Securelist. Доставка от спамеров: опасность гарантирована

Lenta.ru. Интернет-Мерфи

3DNews. Сноуден как повод

Компьютерра. Plug&Pray: скрытая атака через USB

SecurityLab. Как я взломал роутер

Securelist. Дыры в защите корпоративной сети: облачные сервисы

Андрей Козенко, Султан Сулейманов. «Не понимают, как работает интернет»

Евгений Царев. Впечатление от PHDays 2013 или кто заказчик кибербезопасности в России?

Олег Парамонов. Десять страхов: крах интернета, Big Data, утрата знаний и другие вещи, которые пугают учёных и футурологов

Brian Donohue. Альтернативные браузеры с улучшенной защитой

Бёрд Киви. Специалисты предупреждают...

Андрей Шуклин. Big Data: новый рынок, новые перспективы

Luis Corrons. Twitter, Facebook, Apple, Microsoft… кто следующий?

Антон Носик. Лохотрон в зоне .рф

Cio.com (перевод — Елена Фирсова). Самые опасные работы в области технологий

 Валерий Марчук 

  

Еще один 0-day в Microsoft Windows или Stuxnet атакует


  Несмотря на вектор распространения, новый червь, эксплуатирующий уязвимость при обработке ярлыков, становится очень популярным. Казалось бы, что подобному вектору распространения вредоносного ПО давно должен был прийти конец. Ведь черви подобным образом распространяются еще со времен Elk Cloner (1982 год). И теперь, 28 лет спустя, мы видим тот же вектор атаки, только скорость и масштабы заражения гораздо выше.

Хронология событий

10.07.2010
Белорусская антивирусная компания VirusBlokAda (VBA) сообщает о появлении новой вредоносной программы.
US-CERT получает уведомление об атаке с использованием 0-day уязвимости в Microsoft Windows.

15.07.2010
Данные об уязвимости попадают в публичный доступ

16.07.2010
Microsoft выпускает уведомление безопасности, в котором подтверждает наличие уязвимости

19.07.2010
В публичном доступе появляется эксплоит

Уязвимые системы

Microsoft Windows XP SP2/SP3
Microsoft Windows 2003 SP2
Microsoft Windows Vista SP1/SP2
Microsoft Windows 2008 SP0/SP2
Microsoft Windows 7
Windows Server 2008 R2 for x64-based Systems

В настоящий момент антивирусы распознают червя следующим образом:

Symantec: W32.Temphid
Kaspersky: Rootkit.Win32.Stuxnet.a
TrendMicro: RTKT_STUXNET.A
F-Secure: Rootkit.Stuxnet.A
Sophos: W32/Stuxnet-B
Bitdefender: Rootkit.Stuxnet.A
Avast: Win32:Stuxnet-B
Microsoft: Trojan:WinNT/Stuxnet.A
AVG: Rootkit-Pakes.AG
PCTools: Rootkit.Stuxnet
Eset: Win32/Stuxnet.A
GData: Rootkit.Stuxnet.A
AhnLab: Backdoor/Win32.Stuxnet
DrWeb: Trojan.Stuxnet.1
Fortinet: W32/Stuxnet.A!tr.rkit
Ikarus: Rootkit.Win32.Stuxnet
Norman: W32/Stuxnet.D

Скорость распространения червя: 1000 хостов/день.

Основной метод распространения – USB носители.

Масштабы заражения хорошо иллюстрирует график с сайта MMPC

Как происходит заражение

Уязвимость заключается в ошибке при обработке ярлыков (.lnk и .pif файлов). Червь распространяется через инфицированные USB устройства. Заражение происходит, когда пользователь открывает диск автоматически с помощью функционала автозапуска, либо при открытии диска непосредственно в Windows Explorer или аналогичном менеджере файлов. Специально сформированный ярлык заставляет Windows Shell подгрузить внешнюю динамическую библиотеку, которая выполняет произвольный код с привилегиями пользователя, запустившего Windows Explorer.

Текущий вариант червя осуществляет следующие действия на системе:

1. Червь копирует себя в файлы:

%System%\drivers\mrxcls.sys

%System%\drivers\mrxnet.sys

Некоторые образцы имеют цифровую подпись Realtek Semiconductor Corporation.

2. Регистрирует себя (mrxcls.sys) в качестве службы под названим MRXCLS.

3. Создает ключ в реестре
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxCls\­"ImagePath" = "%System%\drivers\mrxcls.sys"

4. Регистрирует файл mrxnet.sys в качестве службы под названием MRXNET

5. Создает ключ в реестре
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxNet\­"ImagePath" = "%System%\drivers\mrxnet.sys"

6. Скрывает файлы под именами:
%DriveLetter%\~WTR[FOUR NUMBERS].tmp

Посредством перезаписи следующих API:

FindFirstFileW
FindNextFileW
FindFirstFileExW
NtQueryDirectoryFile
ZwQueryDirectoryFile

После успешного запуска червь завершает работу служб, содержащих следующие имена:

vp.exe
Mcshield.exe
avguard.exe
bdagent.exe
UmxCfg.exe
fsdfwd.exe,
rtvscan.exe
ccSvcHst.exe
ekrn.exe
tmpproxy.exe

Червь собирает информацию о сетевых настройках и серверах в локальной сети. Может подключаться к следующим адресам:

ww.windowsupdate.com
www.msn.com
www.mypremierfutbol.com
www.todaysfutbol.com

Червь распространяется путем создания файлов:

%DriveLetter%\~WTR4132.tmp
%DriveLetter%\~WTR4141.tmp
%DriveLetter%\Copy of Shortcut to.lnk
%DriveLetter%\Copy of Copy of Shortcut to.lnk
%DriveLetter%\Copy of Copy of Copy of Shortcut to.lnk
%DriveLetter%\Copy of Copy of Copy of Copy of Shortcut to.lnk

С вчерашнего дня в публичном доступе находится PoC код. Как видно на рисунках 1 и 2, в качестве отладочной информации выводится строка, которая позволяет удостовериться в выполнении кода.

Защита от уязвимости

Пока Microsoft готовит к выпуску исправления, давайте рассмотрим следующие временные решения.

1. Запрет отображения иконок для ярлыков

  • Описанные ниже действия приведут к тому, что иконки не будут больше отображаться для ярлыков. Отключение возможности отображать ярлыки предотвращает возможность эксплуатации уязвимости на системе.

    Запустить редактор реестра (Пуск->выполнить->regedit)
  • Перейти к ключу
    HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler
  • Удалить данные для значения (Default)
  • Перезапустить Windows Explorer.

2. Отключение службы WebClient

Отключение этой службы позволит устранить вектор атаки путем блокирования наиболее вероятного источника атаки через службу Web Distributed Authoring and Versioning (WebDAV).

  • Пуск->Выполнить->cmd
  • sc stop WebClient
  • sc config WebClient start= disabled

Отключение этой службы приведет к недоступности WebDav ресурсов.

3. Заблокируйте загрузку .lnk и .pif файлов на Интернет шлюзах.

4. Fix it

В качестве временного решения можно воспользоваться также утилитой Fix it от компании Microsoft.

Дополнение от 21.07.2010:

Microsoft изменила ранее опубликованное уведомление безопасности, добавив два новых вектора эксплуатации уязвимости:

  1. Internet Explorer. Злоумышленник может с помощью специально сформированного Web сайта заставить браузер пользователя загрузить иконку для ярлыка и выполнить вредоносный код на целевой системе.
  2. Документы Office. Злоумышленник может встроить специально сформированный ярлык в документ Microsoft Office (или другого офисного пакета, поддерживающего работу со встроенными ярлыками) и скомпрометировать целевую систему.

Это говорит о том, что в скором времени можно ожидать распространение эксплоита через вложенные файлы в email сообщениях.

Источники:

http://www.securitylab.ru/vulnerability/395902.php
http://www.securitylab.ru/poc/395903.php
http://www.microsoft.com/technet/security/advisory/2286198.mspx
http://blogs.technet.com/b/mmpc/archive/2010/07/16/the-stuxnet-sting.aspx
http://www.symantec.com/security_response/writeup.jsp?docid=2010-071400-3123-99&tabid=2
http://anti-virus.by/press/viruses/3948.html
ftp://anti-virus.by/pub/docs/russian/Rootkit.TmpHider.pdf

Источник: SecurityLab  




Рейтинг @Mail.ru

Rambler's Top100
Rambler's Top100