Цитата:
Сообщение от
Poleax
В продолжении никому не нужной темы....
Анализируем вирус Stuxnet с помощью инструментов Sysinternals (ч.1)
http://www.thevista.ru/page.php?id=14322
Цитата:
.................
Вредоносное ПО и инструменты Sysinternals
В нескольких моих последних публикациях в блоге я рассказал о задокументированных случаях использования инструментов Sysinternals для очистки системы от вредоносного ПО, однако исследователи вредоносных программ также часто используют эти утилиты для анализа вирусов. Профессиональный анализ вредоносного кода - это выверенный и утомительный процесс, требующий разбора вредоносного кода с целью обратного ассемблирования их операций, однако инструменты мониторинга системы, такие как Sysinternals Process Monitor и Process Explorer могут помочь аналитикам получить полное представление об активности вредоносного ПО. Они также могут помочь понять цели, преследуемые вредоносной программой, и помогают найти точки входа и части кода, требующие более пристального анализа. Как было показано в моих предыдущих публикациях, эти поиски могут послужить руководством к созданию рецептов очистки системы от вредоносного кода для антивирусных продуктов.
Поэтому я решил, что будет интересно показать, как с помощью инструментов Sysinternals можно понять начальные стадии распространения вируса Stuxnet (отмечу, что при написании этой статьи ни одна центрифуга не пострадала). Я полностью покажу процесс заражения системы Windows XP и затем опишу способ, который вирус использует одну из уязвимостей "нулевого дня" для получения административных прав при запуске из стандартной учетной записи Windows 7. Имейте ввиду, что Stuxnet - это очень сложное вредоносное ПО. Оно размножается и взаимодействует, используя множество методов и выполняя различные операции в зависимости от версии инфицированной операционной системы и установленного на ней программного обеспечения. Этот лишь поверхностный обзор Stuxnet, и его целью является показать, как без специальной экспертизы инструменты Sysinternals могут раскрыть влияние вредоносного кода на систему. Подробный анализ действий Stuxnet приведен в документе W32.Stuxnet Dossier от Symantec.
Вектор заражения Stuxnet
Stuxnet получил распространение прошлым летом прежде всего через USB-драйвы, так что я начну заражение с помощью вируса, установленного на такой брелок. Вирус состоит из шести файлов: четыре вредоносных ярлыка с именами типа "Copy of Shortcut to.lnk" и двумя файлами с именами, которые позволяют им выглядеть как обычные временные файлы. Я использовал все один ярлык для этого анализа, так как все они служат одной и той же цели:
В этом векторе инфекции Stuxnet начинает выполняться без вмешательства пользователя, используя преимущества уязвимости "нулевого дня" в коде ярлыка Windows Explorer Shell (Shell32.dll). Все что пользователю нужно сделать - это открыть папку, содержащую файлы Stuxnet, в Проводнике. Чтобы заражение прошло успешно, я для начала удалил исправление KB2286198, которое было встроено в обновлении безопасности Windows от августа 2010. Когда Explorer открывает ярлык на непропатченной системе, чтобы найти файл, на который указывает ярлык, с целью отобразить иконку, Stuxnet заражает систему и использует технику руткита, чтобы скрыть файлы, заставляя их исчезнуть из Проводника.
.....................