Home > Berita Heboh, Tip And Trick, TIPS & TRICK, Virus, Windows > Worm Stuxnet (Update Full Info 22-7-2010)

Worm Stuxnet (Update Full Info 22-7-2010)

ESET mengidentifikasi sebuah file berbahaya baru yang terkait dengan cacing Win32/Stuxnet. Driver baru ini adalah penemuan penting karena file tersebut ditandatangani dengan sertifikat dari sebuah perusahaan bernama “JMicron Teknologi Corp”. Hal ini berbeda dengan driver yang telah ditandatangani sebelumnya dengan sertifikat dari Realtek Semiconductor Corp Sangat menarik untuk dicatat bahwa kedua perusahaan yang menandatangani kode sertifikat digunakan memiliki kantor di Taman Sains Hsinchu, Taiwan.

File berbahaya, bernama jmidebs.sys, memiliki fungsi yang sangat mirip dengan aslinya dicatat dalam sistem yang digunakan oleh driver Win32/Stuxnet. Driver ini bertanggung jawab untuk mengidentifikasi dan menyuntikkan kode ke dalam proses yang berjalan pada mesin yang terinfeksi. Kode disuntikkan tampaknya bertanggung jawab untuk mencuri informasi. Tanggal kompilasi biner untuk ini terbaru adalah 14 Juli 2010, jauh lebih baru daripada file sebelumnya terlihat, yang tanggal dari awal tahun ini.

Informasi baru ini penting karena menyediakan informasi lebih lanjut tentang orang di belakang Win32/Stuxnet. Kita jarang melihat operasi profesional tersebut. Mereka mencuri baik sertifikat dari setidaknya dua perusahaan atau dibeli dari orang yang mencuri mereka. Pada titik ini, tidak jelas apakah para penyerang mereka berubah karena sertifikat yang pertama terbuka atau jika mereka menggunakan sertifikat yang berbeda dalam serangan yang berbeda, tapi ini menunjukkan bahwa mereka memiliki sumber daya yang signifikan.

UPDATE 1

Ada komentar yang sangat berguna oleh Jake Brodsky posting saya sebelumnya di http://blog.eset.com/2010/07/20/theres-passwording-and-theres-security, yang sangat jelas menjelaskan kesulitan-kesulitan yang telah dikenakan tindakan yg bodoh Siemens pada orang yang bekerja di ruang SCADA. Ketika ia benar mengatakan, itu bukan daerah di mana saya punya pengalaman tangan pertama, tapi saya menyadari kesulitan-kesulitan (dan bersimpati kepada mereka, setelah bekerja di tingkat tanggung jawab dalam bidang lain dari infrastuktur nasional kritis). Saya pasti tidak menyarankan bahwa mereka dapat diatasi “pada kehendak”.

Para penasihat ICS-CERT di http://www.us-cert.gov/control_systems/pdf/ICSA-10-201-01% 20 -% 20USB% 20Malware% 20Targeting% 20Siemens% 20Control% 20Software.pdf menunjukkan bahwa ICS CERT dan Siemens CERT bekerja sama dalam beberapa aspek masalah, dan mudah-mudahan ini akan mengarah pada pendekatan yang lebih realistis untuk menyelesaikan aspek SCADA masalah. (D

SC Magazine Raywood Dan telah mengangkat telepon pada beberapa isu lebih lanjut, termasuk masalah SCADA dan memperbaiki Microsoft interim di http://support.microsoft.com/kb/2286198 # FixItForMe (lihat juga cerita Heise di http://www.h -online.com/security/news/item/lnk-vulnerability-Microsoft-fix-causes-icon-chaos-1042888.html).

Chet Wisniewski dan Sean Sullivan, di sisi lain, telah meneliti masalah sertifikat digital yang Pierre-Marc blogged pada dua hari yang lalu, dan Paul Ducklin menekankan masalah privasi dan enkripsi.

Irlandia Pengembang Perangkat Lunak Jaringan berfokus pada beberapa tokoh awalnya blog di sini dan disebutkan dalam siaran pers di sini. Dalam kasus ada kebingungan apapun, mungkin it’s worth menekankan beberapa poin.

Persentase dikutip mengacu pada puluhan ribu melaporkan infeksi Stuxnet: mereka tidak mengungkapkan persentase dari totalitas malware ditandai pada ThreatSense.net (r), apalagi semua malware.
Sementara volume tinggi dilaporkan untuk Amerika Serikat dan Iran yang menarik, mereka tidak mewakili statistik resmi universitas yang berlaku: seperti yang saya tunjukkan di sini, sumber lain menunjukkan perbedaan signifikan dalam distribusi untuk beberapa daerah.
Sementara SCADA malware penargetan merupakan perhatian utama pada saat ini (dan menimbulkan masalah yang sangat besar untuk situs menggunakan kontrol software tertentu Siemens), distribusi malware tentu tidak terbatas pada situs tersebut.

UPDATE 2

Artikel Kim Zetter untuk Wired memberitahu kita bahwa “Hard-kode Sistem SCADA’s Password Beredar Online untuk Tahun” – lihat artikel di http://www.wired.com/threatlevel/2010/07/siemens-scada/ # ixzz0uFbTTpM0 untuk klasik deskripsi tentang bagaimana password dapat memiliki sedikit atau tidak ada nilai sebagai ukuran keamanan.

Zetter mengutip Lenny Zeltser dari SANS yang mengatakan bahwa “kemampuan” … alat anti-virus ‘untuk mendeteksi versi generik dari mengeksploitasi belum sangat efektif sejauh “Kami sekarang mendeteksi sebagai LNK/Exploit.CVE-2010-2568, tapi. laboratorium kami akan senang untuk meningkatkan deteksi jika SANS memiliki sampel kita tidak mendeteksi.

Costin Raiu, bagaimanapun, telah menarik mengambil kode penandatanganan isu bahwa, Pierre-Marc ditandai di sini kemarin, menyatakan bahwa JMicron dan Realtek mungkin keduanya telah terinfeksi oleh malware seperti Zbot (Zeus) bahwa mencuri sertifikat digital.

Aku punya obrolan menarik pagi ini dengan Jeremy Kirk dari IDG, tapi itu sudut yang tidak terpikir olehku. Artikel Jeremy “Eset menemukan Kedua Variasi Stuxnet Worm” di sini.

Dan Raywood Majalah SC juga melihat masalah di sini dan dikutip blog saya sebelumnya, Dan Jim Finkle dikutip dari Reuters Siemans, Microsoft, dan kita sendiri Randy Abrams di sini. Randy juga dikutip oleh Richard Adhikari dalam artikel TechWorld di sini.

Hat tip juga untuk Bob McMillan untuk menunjuk saya untuk advisory US-CERT di http://www.us-cert.gov/control_systems/pdf/ICSA-10-201-01% 20 -% 20USB% 20Malware% 20Targeting% 20Siemens %% 20Control 20Software.pdf

UPDATE 3

Seperti yang saya sebutkan di blog sebelumnya, Majalah Wired dilaporkan akan mengambil suatu Negara Bangsa untuk menarik off takedown dari grid listrik. Sebenarnya, Ibu Alam, cangkul kembali, dan berpotensi cacing memiliki dampak besar di masa lalu, tetapi penggunaan baru-baru ini menunjukkan kerentanan LNK file tidak mengambil terang untuk menembus setidaknya beberapa tanaman SCADA.

Pierre-Marc Biro hanya blogged ESET peneliti menemukan lain dari driver cacing Stuxnet yang telah ditandatangani dengan sertifikat digital dari sebuah perusahaan yang memiliki kantor di taman ilmu sama dengan Realtek. Hal ini menunjuk lebih dan lebih kepada perusahaan dengan kecanggihan signifikan kurang dari suatu Negara Bangsa.

Mari kita mulai dengan memanfaatkan LNK aktual. Saya akan membayangkan ada setidaknya satu kecerdasan orang di suatu tempat di dunia dengan tujuan tunggal untuk menemukan suatu pelaksana siapa pun digunakan kerentanan seperti yang mereka lakukan. Ini bukan afinitas untuk sistem SCADA yang telah mereka marah, itu adalah limbah dari suatu kelas NSA mengeksploitasi. Ini adalah sangat, senjata yang sangat ampuh. Di tangan seorang profesional yang terampil memanfaatkan kelas ini akan melakukan sesuatu seperti akses remote menginstal perangkat lunak pada PC target dan kemudian menghilangkan semua jejak keberadaannya. Pikirkan novel mata-mata … Berbahaya file dengan kerentanan LNK dibiarkan pada drive USB untuk target untuk dimasukkan ke dalam PC mereka. Segera sebuah bot terdeteksi terinstal dengan rootkit dan file Lnk yang terhapus dari drive. Mengapa? Karena Anda tidak ingin orang lain tahu bahwa Anda dapat menginfeksi komputer mereka karena mereka hanya dengan melihat isi dari drive USB. Dengan kopling ini memanfaatkan dengan diri-replikasi, worm, memanfaatkan adalah seluruh dunia dan tertentu untuk ditemukan. Siapa pun yang berada di belakang win32Stuxnet bahkan tidak menyadari apa yang mereka sebenarnya telah dan apa nilai yang sebenarnya. Well, ada penjelasan lain. Dengan membuat penyebaran malware di seluruh tempat mereka bisa mengaburkan target tertentu. Mungkin penyerang akan setelah satu sasaran spesifik dan segala sesuatu yang lain adalah kerusakan jaminan. Mungkin, tapi tetap saja, Anda tidak menyia-nyiakan memanfaatkan ini dengan cara yang berharga.

Hal berikutnya yang menunjuk ke kecanggihan kurang menggunakan sertifikat digital dicuri dari perusahaan-perusahaan dengan kantor-kantor di kompleks kantor yang sama. Hal ini semakin menunjukkan pencurian fisik. Hal ini secara dramatis mengurangi genangan tersangka. Siapa yang memiliki akses fisik ke komputer sensitif pada kedua perusahaan? Karyawan yang bekerja dua pekerjaan? Janitor A? Seorang penjaga keamanan? Orang tidak dapat menyingkirkan orang dalam serangan ganda, tetapi bahkan kemudian mungkin ada kontak sama.

ESET ditambahkan deteksi generik untuk kerentanan LNK dan untuk rootkit sendiri. Hasil ini dapat mengakibatkan lebih banyak petunjuk siapa yang berada di balik serangan. Jika kita mengetahui saya akan bertaruh tidak ada link ke suatu Negara Bangsa. Jika ada link maka saya yakin programmer tidak hidup untuk menceritakan tentang hal itu. Mengapa? Tidak untuk menyembunyikan link, tapi sebagai hukuman untuk membuang seperti mengeksploitasi berharga.

UPDATE 4

kolega kami di Bratislava telah mengeluarkan siaran pers yang berfokus pada pengelompokan laporan dari AS dan Iran, dan juga mengutip Randy Abrams, yang tindak lanjut blog juga membahas isu terkait malware SCADA panjang lebar.

Internet Storm Center telah, luar biasa, mengangkat dengan tingkat Infocon untuk kuning dalam rangka meningkatkan kesadaran terhadap masalah ini dan “mendahului isu utama yang dihasilkan dari pemanfaatannya.

Softpedia dan Computerworld adalah salah satu situs mencatat penerbitan memanfaatkan kode menggunakan kerentanan. LNK.

kolega kami di Spanyol juga telah menerbitkan sebuah blog yang membuat beberapa hal yang patut mengulangi.

Gunakan produk antivirus yang mampu mendeteksi ancaman-ancaman. Tentu saja, Anda akan mengharapkan kami untuk mengatakan sesuatu seperti ini sejak anti-malware adalah apa yang kita jual, tetapi kenyataannya adalah bahwa pada saat ini deteksi AV mungkin solusi yang lebih baik untuk saat ini dikenal ancaman dari workarounds disarankan oleh Microsoft pada mereka penasihat. Namun, perlu diketahui bahwa ada indikasi bahwa mereka yang bertanggung jawab atas serangan awal sudah mengambil langkah-langkah untuk menyerang bervariasi. (Lebih lanjut tentang yang kemudian.)
Jika Anda menggunakan XP SP2, itu sangat mungkin bahwa tidak akan ada patch dari Microsoft yang akan membantu Anda ketika mereka siap untuk patch. Tentu saja, hal yang sama berlaku untuk pengguna Windows 2000, hanya lebih begitu. Setidaknya pengguna SP2 harus bisa mendapat kelonggaran dengan upgrade ke SP3.

UPDATE 5

The http://blog.eset.com/2010/07/17/windows-shellshocked-or-why-win32stuxnet-sux berita panas dari kerentanan zero-day yang telah digunakan untuk menyerang sistem SCADA. Ini datang panas di tumit artikel di situs web Wired berjudul “Hacking Electric Grid – Anda dan Apa Army” http://www.wired.com/dangerroom/2010/07/hacking-the-electric-grid– Anda-dan-apa-tentara /. Jadi jelas Wired sudah diprediksi asal, setidaknya samar-samar, dari Win32/Stuxnet.

Aku benar-benar tidak tahu di mana cacing ini berasal dari atau apa motivasi sebenarnya, tetapi ada beberapa aspek menarik cerita ini. Mari kita mulai dengan fakta bahwa serangan ini dieksploitasi sangat, kerentanan zero-day yang sangat berharga. Ini kerentanan yang memungkinkan. LNK file yang akan dijalankan hanya dengan menghubungkannya dengan USB drive dan melihat direktori tidak dikenal publik dan mungkin bisa dijual ratusan ribu dolar, jika tidak satu juta dolar atau lebih untuk pemerintah, utama perusahaan, atau kelompok kriminal. Ini merupakan mekanisme serangan yang sangat berharga. Jika orang-orang bajingan antivirus berhasil menguasai celah ini pertama mereka mungkin akan mengalami peningkatan besar dalam pendapatan. Tapi, ini terlalu berharga untuk mengekspos kerentanan secepat serangan frontal penuh pada PC akan menghasilkan rata-rata masuk Jangan berharap untuk melihat celah ini dimanfaatkan oleh orang-orang bajingan meskipun AV, banyak orang akan gagal patch ketika patch tersedia. Jika perbankan Zeus geng Trojan berhasil menguasai ini memanfaatkan pertama kemungkinan akan terjaring geng ratusan juta dolar sebelum orang mengetahui apa yang sedang terjadi. Itu akan dengan mudah telah senilai satu juta dolar untuk geng yang menjadi yang pertama untuk hari ini nol. Sekali lagi, ada sedikit keraguan bahwa sekarang kerentanan diketahui, Zeus akan mengeksploitasinya.

Fakta menarik berikutnya adalah bahwa malware itu ditandatangani secara digital dengan sertifikat milik Realtek. Realtek adalah perusahaan bermarkas di Taiwan. Taiwan telah lama menuduh bahwa Cina daratan telah hacking sistem mereka. Hal ini cenderung membuat argumen yang berasal dari serangan yang berasal dari Cina, tetapi orang dalam di Realtek juga bisa telah dibayar oleh sejumlah organisasi untuk memberikan sertifikat digital dan kunci pribadi. Benar-benar tidak ada informasi yang cukup untuk jari memberatkan atau titik di Cina, namun sudut jangan pergi tanpa diketahui.

Sudut lain yang menarik adalah bahwa ini adalah worm, menyebar. Untuk serangan yang ditargetkan akan benar-benar telah kode untuk membuat cek khusus untuk melihat bahwa hanya berlari di tempat yang seharusnya dan tidak menyebar. Penyebaran meningkatkan kemungkinan deteksi. Jika serangan itu ditujukan untuk sistem hanya di AS, maka penyerang tidak ingin kode yang muncul di seluruh dunia. Fakta ini mungkin menunjukkan sejumlah penyerang potensial. Sebuah organisasi teroris bisa merekrut orang dengan kecerdasan untuk menemukan kerentanan tersebut. Kemampuan untuk menyerang jaringan daya di seluruh dunia akan sangat menarik bagi kelompok teroris. kelompok teroris bukan satu-satunya orang yang mungkin menginginkan akses luas ke sistem SCADA though. Sebuah perusahaan yang bersaing untuk menjual perangkat lunak SCADA atau perangkat keras mungkin akan sangat berharga untuk memperoleh informasi rinci tentang lingkungan pelanggan potensial dan mengetahui apa kelemahan produk pesaing mereka. Hal ini juga dapat bernilai investasi banyak uang dari hari nol-sama berharganya dengan kerentanan LNK.. Namun, serangan yang ditargetkan tidak dapat sepenuhnya disingkirkan sebagai penyerang dapat mengabaikan data dari sistem mereka tidak tertarik

Mari kita lihat distribusi worm tersebut. Bagaimana cacing seperti ini mendapatkan distribusi luas seperti itu? Di sinilah aku akan menempatkan kemungkinan bahwa cacing itu pertama kali diperkenalkan pada konferensi SCADA internasional. Baru-baru ini di AusCERT IBM didistribusikan drive USB terinfeksi. Di lain konferensi keamanan salah satu USB drive menjadi terinfeksi dari PC yang digunakan presenter untuk mempresentasikan kertas mereka.

Cacing ini hampir pasti membutuhkan pengetahuan dari satu atau lebih orang yang dikenal dengan sistem SCADA. Artikel Wired menyatakan bahwa “Untuk memulai, sistem ini jarang terhubung langsung ke Internet umum. Dan yang membuat mendapatkan akses ke jaringan grid mengendalikan tantangan untuk semua tapi yang paling berdedikasi, termotivasi dan terampil – negara-bangsa, dengan kata lain. “Pada kenyataannya, mendapatkan akses tidak berarti akses fisik atau akses jaringan di awal adalah diperlukan, dapat semudah membagi-bagikan perangkat USB pada konferensi industri. Target satu atau lebih SCADA konferensi terus penyebaran awal cacing dalam target audiens yang diinginkan, yang membantu menunda penemuan penggunaan mengeksploitasi. Jika keinginan untuk mengumpulkan informasi dari beberapa negara, maka biaya yang jauh lebih efektif untuk membawa malware ke konferensi di mana ditargetkan profesional dari seluruh dunia hadir. Sebuah perusahaan penargetan orang-orang seperti telah deniability masuk akal pengetahuan jika malware yang ditemukan pada drive USB dengan bahan-bahan pemasaran mereka.

Ini mungkin tidak akan pernah datang ke cahaya di mana cacing itu berasal dari, di mana data dicuri akhirnya ditakdirkan untuk, atau apa motivasi dari penyerang itu, tapi jelas, ada beberapa pemain potensial yang memiliki sarana dan motivasi untuk melakukan ini .

Salah satu pengamatan terakhir … worm ini menginfeksi komputer yang tidak menjalankan perangkat lunak SCADA. Adanya cacing di banyak negara tidak saja menunjukkan bahwa sistem SCADA di negara-negara itu terganggu, itu berarti mereka mungkin telah diserang. Jika seorang karyawan pembangkit listrik mengambil rumah USB stick terinfeksi, tetapi tidak pernah membawa perangkat eksternal untuk bekerja, maka cacing tidak masuk Kebijakan, perangkat lunak, perangkat keras, dan lapisan lain pertahanan mungkin telah mencegah cacing dari benar-benar menembus kekuasaan grid di banyak negara yang kita lihat pelaporan infeksi. Infeksi harga dari berbagai perusahaan mungkin sekali tidak terkait dengan tingkat kompromi sistem SCADA di negara-negara.

Semua dalam semua, jika saya harus bertaruh, saya akan sisi dengan Wired. Ini adalah Kolonel Mustard, di lobi, dengan 4 iPhone.

UPDATE 6

Kami mulai terbiasa melihat beberapa hasil positif di Autorun seluruh mengeksploitasi hal malware: sementara Microsoft tetap samar-samar tentang menggelar patch yang meringankan untuk XP dan Vista, setidaknya ada cukup banyak informasi di sekitar mengenai bagaimana Anda dapat menonaktifkannya.

malware yang kami mendeteksi sebagai Win32/Stuxnet, sayangnya, adalah cacing (dan rootkit) dari warna sedikit berbeda. Hal ini dapat menyebarkan memanfaatkan kelemahan 0-hari yang diuraikan di sini dan juga terdaftar oleh CVE sebagai CVE-2010-2568, meskipun tidak ada informasi yang nyata di kanan CVE sekarang – link Knowledgebase dalam Penasehat Microsoft tidak pergi ke mana pun pada saat itu tulisan, baik, jadi kurasa ini penampung.

Tidak Klik Diperlukan

Masalah terbesar adalah bahwa Windows (khusus, Shell Windows) dapat tertipu untuk mengeksekusi kode berbahaya yang disajikan dalam cara pintas khusus-crafted (LNK). Menghubungkan file, pada gilirannya, ke berbahaya DLL (Dynamic Link Library). (Kami mendeteksi pintas seperti LNK / Autostart.A.)

menyatakan bahwa penasehat Microsoft malcode tersebut dijalankan ketika ikon ini diklik, tapi ini menyesatkan: karena masalah adalah dengan cara yang Windows Shell gagal untuk mengurai jalan pintas dengan benar ketika beban ikon, maka tidak perlu untuk mengklik ikon untuk kode berbahaya yang akan dieksekusi.

penasehat ini juga menunjukkan bahwa bagi sistem di mana Autoplay dinonaktifkan, korban secara manual harus browse ke direktori root dari perangkat yang terinfeksi (biasanya, menggunakan Windows Explorer). Meskipun hal ini benar sejauh it goes, penelitian menunjukkan bahwa hal ini tidak banyak mitigasi sebuah. Kode masih akan dilaksanakan tanpa tindakan pada bagian pengguna sekali folder yang terbuka untuk mengakses file apapun yang sah pada perangkat.

It’s Not A Bug, It’s … ..

malware ini memiliki sejumlah fitur yang menarik.

Dua pembalap yang turun telah digital ditandatangani oleh Realtek Semiconductor, perusahaan yang sah, yang seharusnya menyebabkan ketakutan di antara mereka yang berpikir bahwa penandatanganan kode program merupakan suatu penggantian yang komplit untuk produk anti-malware. (Sertifikat sejak dicabut oleh Verisign.)
Kode serangan telah banyak digunakan di seluruh dunia untuk menembus SCADA (Supervisory Control Dan Data Acquisition) sistem digunakan untuk menjalankan proses industri besar, proses infrastruktur seperti pembangkit listrik, dan proses fasilitas lainnya.
Ancaman volume, sesuai dengan sistem kami sendiri ® ThreatSense.Net peringatan dini sudah cukup tinggi untuk menunjukkan bahwa infeksi telah menyebar jauh melampaui dinding tanaman industri dan pembangkit listrik, dan penelitian telah menghasilkan beberapa pola distribusi yang menarik. Namun, ada diskusi lebih lanjut pada pada akhir posting ini. Grafik berikut menunjukkan distribusi relatif laporan oleh lokal.

Ada sedikit diskusi lebih lanjut tentang apa angka-angka benar-benar bisa berarti pada akhir artikel ini.

Terima kasih untuk Berbagi

Perhatikan juga bahwa perangkat USB tidak hanya vektor yang potensial: saham jaringan dan saham WebDAV juga dapat digunakan untuk mendistribusikan berbahaya. LNKs. platform yang terkena dampak (dasarnya semua versi Windows saat ini) tercatat di penasehat: kemungkinan bahwa tidak akan ada sebuah patch untuk XP SP2 atau Windows 2000, yang telah mencapai akhir kehidupan dukungan mereka.

Dan Sekarang untuk Kabar Baik

Microsoft menyarankan tiga mitigasi:

* Autorun menonaktifkan (selalu ide yang baik, tetapi tidak banyak membantu dalam hal ini)

* Membatasi hak pengguna (kepatuhan terhadap prinsip paling keistimewaan, yaitu tidak memberikan hak akses pengguna lebih dari yang mereka butuhkan, adalah sesuatu yang kami sangat tertarik di sini, juga)

* SMB memblokir koneksi di firewall perimeter untuk mengurangi resiko dari saham file

Microsoft juga menyarankan dua workarounds, dan menjelaskan cara untuk mempengaruhi mereka:

* Menonaktifkan tampilan jalan pintas

* Menonaktifkan layanan WebClient

Sayangnya, pilihan kedua akan berdampak signifikan pada beberapa pengguna Windows, karena yang pertama melibatkan memodifikasi Registry (eek) dan! Yang kedua akan berdampak pada pengguna SharePoint.

Chester Wisniewski menyarankan penggelaran sebuah GPO (Group Policy Object) untuk mencegah pengguna melakukan program-program kecuali dari drive C: ini tidak akan semua orang cocok, tapi jelas menawarkan alternatif, terutama di lingkungan perusahaan.

Jadi Apa yang Mereka Angka Really Mean?

Berikut adalah rincian dari pie chart sebelumnya:

Amerika Serikat 57,71%
Iran 30,00%
Rusia 4,09%
Indonesia 3,04%
Kepulauan Faroe 1,22%
Inggris 0,77%
Turki 0,49%
Spanyol 0,44%
India 0,29%
Seluruh dunia 1,73%
Namun, sementara angka dari Microsoft menunjukkan peringkat agak mirip (posting di sini menunjukkan bahwa AS, India dan Indonesia. Iran adalah yang paling locales dilaporkan), pasca anjak juga menunjukkan angka dalam mesin MMPC-dimonitor, hal itu menunjukkan volume laporan dari Iran dan Indonesia sebagai yang jauh lebih tinggi daripada rata-rata global, sedangkan bahkan angka untuk negara-peringkat berikutnya – dalam urutan India, Ekuador, AS, Pakistan / Libanon (terikat) dan Taiwan – jauh lebih dekat dengan rata-rata global.

Jika perbedaan dalam statistik memberitahu kita apa-apa – selain dari betapa sulitnya untuk meramalkan arti dari cukup besar, populasi memilih diri-mesin yang dilindungi untuk seluruh Internet – itu adalah bahwa ada sesuatu yang sangat kompleks dan dinamis terjadi di sini. Sementara insiden ini mungkin dimulai dengan serangan yang ditargetkan pada situs SCADA, ini tampaknya menghilang ke suara latar belakang sebagai jumlah serangan escalates mencoba.

Ada aspek kode menyarankan bahwa serangan yang asli berasal dengan pengembang “normal” daripada perangkat lunak dengan geng kriminal yang paling bertanggung jawab untuk malcode, atau bahkan pemerintah atau kelompok hacker yang didanai militer kita sering bergaul dengan serangan yang ditargetkan. Ini mungkin bahwa apa yang kita lihat adalah seorang pengembang perangkat lunak konvensional pada awal kurva belajar.

Industri keamanan selalu menghindari replikasinya bahkan kode untuk “baik” proyek-proyek dan pengembang malware pidana juga pindah dari malware mereplikasi diri terhadap Trojans ditularkan melalui berbagai saluran lainnya. Dan salah satu alasan yang paling menarik untuk itu adalah bahwa sekali kode replikasinya dilepaskan, sangat sulit untuk melakukan kontrol penuh atas mana ia pergi dan apa yang dilakukannya. Untuk orang-orang jahat, ia memiliki tambahan yang merugikan karena menjadi lebih menonjol dan karena itu lebih terlihat, kegunaannya sebagai sumber daya jahat habis oleh kesadaran masyarakat dan ketersediaan perlindungan.

Tapi itu tidak berarti bahwa serangan tertentu akan lenyap dalam waktu dekat, meskipun deteksi AV. Sekarang kerentanan tertentu dikenal, tentunya akan dimanfaatkan oleh pihak lain, setidaknya sampai Microsoft menghasilkan memperbaikinya efektif untuk itu, dan itu akan mempengaruhi pengguna akhir beberapa lama setelah itu.

Ucapan Terima Kasih

Angkat berat nyata pada penelitian ini dilakukan dengan Juraj Malcho dan rekan-rekannya di Bratislava, dan oleh Aleksander Matrosov di Rusia, meskipun untuk artikel ini saya juga telah diambil (tentu saja) pada penelitian dari orang lain dalam komunitas keamanan, termasuk peneliti dari Internet Storm Center, Sophos, Kaspersky, F-Secure dan Microsoft. peneliti Tidak ada sebuah pulau ….

Link Lainnya

http://news.softpedia.com/news/Microsoft-Confirms-Zero-Day-Crticial-Vulnerability-147964.shtml
http://www.informationweek.com/news/security/attacks/showArticle.jhtml?articleID=225900068&cid=alert_art_sec_d_f
http://isc.sans.edu/diary.html?storyid=9181
http://www.theregister.co.uk/2010/07/16/windows_shortcut_trojan/
http://krebsonsecurity.com/2010/07/experts-warn-of-new-windows-shortcut-flaw/
http://www.kb.cert.org/vuls/id/940193
http://youtu.be/1UxN7WJFTVg
http://www.h-online.com/security/news/item/Trojan-spreads-via-new-Windows-hole-1038992.html
http://eddywillems.blogspot.com/2010/07/microsoft-lnk-usb-worm-rootkit-issue.html
http://www.h-online.com/security/news/item/Microsoft-confirms-USB-trojan-hole-1040028.html
http://go.theregister.com/i/cfh/http://www.theregister.co.uk/2010/07/19/win_shortcut_vuln/
http://blogs.technet.com/b/msrc/archive/2010/07/16/security-advisory-2286198-released.aspx

  1. No comments yet.
  1. No trackbacks yet.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: