AUTOMA 2012-12

| Kategorie: Časopis  | Tento dokument chci!

Spolehlivé sítě průmyslového Ethernetu s velkou dostupností. Inteligentní modul I/O řady X20 zvyšuje dostupnost strojů. Rozšíření zorného pole snímače čárového kódu DataMan. Nové řádkové kamery Basler Racer. Programovatelné relé pro všechny bezpečnostní funkce ... skokové automaty ATS-C od společnosti Eaton. Podnikání. Společnost ZAT dokončila modernizaci další elektrárny na Kubě ...

Vydal: FCC Public s. r. o.

Strana 13 z 68

Jak získat tento dokument?






Poznámky redaktora
sys JMicron Technology Corporation JMicron Volume Snapshot ne nfrd965. Následně virus odešle získané úda- je z napadeného systému řídicího serve- ru. Jeden z těchto ovladačů byl digitálně podepsán při použití zcizeného privátního klíče tchajwanské spo- lečnosti C-Media, opět podobně jako v pří- padě viru Stuxnet (obr. 5). Dále instalační DLL postará o nahrání hlavní DLL, která pokračuje v dal- ší instalaci viru.sys Intel Corporation Intel Matrix Storage SCSI driver ne mcd9x86. Hlavní funkcí řídicího serveru vedle sběru získaných údajů také schopnost aktuali- zovat a rozšiřovat virus o nové moduly. Údaje jsou nejprve zašifrovány při použití symetrické šifry AES a dále pomocí stegano- grafie skryty obrázku formátu JPG po- jmenovaného dsc00001. 3).sys Adaptec Inc Adaptec Windows 321 Family Driver ne iaStor451. Detail již revokovaného certifikátu Obr. 4). Takovéto chování viru možné brát jako další důkaz, že virus Duqu byl vytvořen pro útok spe- cifické cíle.jpg. HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\Inter­ net Settings\Zones\4\“CF1D“ Obr. Nejprve je však prostřednictvím protokolu HTTP nebo HTTPS navázáno spojení s řídicím serve- rem, označovaným jako C&C (Command & Control). Duqu: sběr dat Dokončenou instalací začíná hlavní úkol viru Duqu, jímž sběr údajů. Poté pokračuje již z nově nahrané knihovny, následně nahra- je adresáře %System%\Drivers\, např. V případě použití HTTP odpovídá na první dotaz řídicí server prázdným soubo- rem *.exe prvně dešifrovaný ovladač. 2). Dalším dešifrovaným souborem ovladač, jehož účelem spus- tit virus, tj. C:\ Windows\System32\drivers\, již dříve dešif- rovaný ovladač, který následně zaveden jako systémová služba.sys) hlavní DLL konfigurační soubor hlavní DLL e-mail obsahující v příloze soubor *.C:\Windows\inf\. Použitý ovladač se liší podle verze viru (tab.sys a spuštění programu zero-day exploit injektáž instalační DLL services. 1). Samotný proces instalace je značně komplikovaný a je vytvořen tak, aby co nejvíce ztížil možnost detekce antivirovým softwarem (viz také obr. už Obr. V tomto konfiguračním souboru na- cházejí dva časové údaje. Klíč viru Duqu v registrech operačního systému Windows Jestliže tento klíč v registrech již na- chází, instalace viru u konce. V opačném případě instalace pokračuje dešifrováním tří souborů zdrojů instalační DLL.11AUTOMA 12/2012 téma Tab. Schéma instalace viru Duqu vyvolání chyby v ovladači win32k.sys C-Media Electronics Incorporation C-Media Electronics Incorporation ano, revokováno jminet7. Jakmile spuštěn operační systém po- čítače, jsou posledně dva jmenované soubo- ry automaticky dešifrovány. tohoto data bude virus Duqu dní aktivně sbírat úda- je a komunikovat s řídicím serverem, a jest- liže řídicí server tuto lhůtu neprodlouží, vir se jejím uplynutí automaticky odinstaluje. hlavní DLL spuštění operační- ho systému, a posledním dešifrovaným sou- borem konfigurační soubor pro instalaci viru. Instalační DLL kontrolou klíče v registru systému Windows nejprve ověří, zda daný počítač již není infi- kován (obr. Nejprve hlavní DLL nahraje sama sebe dalšího procesu, který vybrán podle určitých pravidel. Právě tuto DLL nahraje systémo- vého procesu services.sys Microsoft Corporation High changer class Driver ne obsahuje další části viru a stará o jejich in- stalaci. Poté předá vykonávání dalšího kódu dané DLL, samotný shellcode již není třeba a je smazán z paměti. V rámci dokončení instalace jsou smazány již nepotřebné soubory a na pevném disku zůstá- vají pouze ovladač a zašifrovaná hlavní DLL spolu zašifrovaným konfiguračním soubo- rem. Časové rozpětí liší podle verze samotného viru, nejčastěji šlo o rozpětí od několika dní jednoho měsíce. Následně z hlavní DLL extrahován nový konfigurační soubor, jenž bude spolu sa- motnou DLL zašifrován a nahrán adre­sáře %Windir%\inf\, např. Autoři viru zvolili pro každou verzi viru jiný řídicí server, který dále nacházel v různých zemích, jako Německo, Belgie, Indie atd. Těmito třemi dešifrovanými soubory jsou DLL ob- sahující hlavní část viru, dále proto označo- vané jako hlavní DLL.sys IBM Corporation IBM ServeRAID Contoller ne adpu321.jpg. Několik ovladačů použitých v různých verzích viru Duqu Jméno Původce Produkt Digitální podpis cmi4432. V tom- to novém konfiguračním souboru bude také uloženo datum instalace viru. Při použití HTTPS celá komu- nikace šifrována a skrývání údajů soubo- ru JPG není použito.exe reálný dokument zero-day exploit shellcode ovladač (*. O tuto činnost se stará právě ovladač viru; ten také postará o spuštění DLL v rámci některého z vybra- ných procesů. Takto přenášené údaje nevyvolají zvýšenou pozornost ani při poměrně pečlivém sledování síťového provo- zu (obr.sys) instalační DLL dokument Microsoft Word dešifrování a injektáž hlavní DLL viru, dešifrování spouštěcího ovladače a konfiguračního souboru instalace ověření, zda virus již není přítomen kontrola data útoku dokončení instalace viru ovladač (*.doc s virem shellcode dešifruje ovladač a instalační DLL, ovladač spuštěn . Jestliže aktuální datum nenachází v rozpětí těchto dvou hod- not, instalace viru ukončena, jinak pokra- čuje dále