Äîêóìåíò âçÿò èç êýøà ïîèñêîâîé ìàøèíû. Àäðåñ îðèãèíàëüíîãî äîêóìåíòà : http://iisi.msu.ru/UserFiles/File/publications/Project_2014.pdf
Äàòà èçìåíåíèÿ: Wed Sep 10 16:15:08 2014
Äàòà èíäåêñèðîâàíèÿ: Sat Apr 9 23:02:31 2016
Êîäèðîâêà:

: , , , (II , )

2014

2

.. ( ) ( ). , , (2009-2014 ..). . 1) (, , ) . 2) . 3) , . 4) . : .., : .., .., .., .., .., .., .., .., ..

3

4

...................................................................................................... 2 .................................................................................. 3 .................................................................................................... 4 ......................................................................................................... 6 1 , C ............................................................................. 9 1.1 ....................................................... 9 1.2 ........................................ 10 1.3 ................................... 12 2 .......................... 15 2.1 Stuxnet ...................................................... 15 2.1.1 Stuxnet .................................................. 15 2.1.2 Stuxnet .............................................. 16 2.1.3 Stuxnet .................................................. 17 2.1.4 Stuxnet .................................... 18 2.1.5 Stuxnet ................................ 19 2.1.6 Stuxnet .......................................... 20 2.1.7 ..................................................................... 23 2.1.8 ............................................................. 25 2.2 Wiper ........................................................ 26 2.3 Flame ........................................................ 33 2.4 Gauss ........................................................ 48 2.5 Duqu ......................................................... 50 2.6 Icefog ........................................................ 53 2.6.1 Icefog ........................ 54 2.6.2 Icefog ...................................................... 54 2.6.3 Icefog ............................................................. 55 2.6.4 Icefog .......................................................... 55

5

3 ...................................................................................... 57 4 ................................................................................................. 60 ........................................................ 62

6

() , . : ; ; () , , . , , , -, , , -. . , , , .. ( ). . «», «» , (). , ( , ,

7

), «back-door» . ( - ). , «» , « » .. , , , , IT- ( , ) , Stuxnet, Flame, Gauss, Duqu, Wiper Icefog. : , ( , ) . - , , , ; : , , , ; . ;

8

, , , , «» . , .

9

1 , C 1.1 , , . . , , , , (). () 1. , . , , , , , , . «» . (). , , -

, . .

1

10

-, , (), 2. , «», , . , , . 1.2 , . : , (« »);

(«» ); «» ;

2

. .

11

;

, (, ); ; , / ( ) ; ( ) ; () ; , / , , . , , : , , , / , ( ) , , , , ;

12

(.. ) ; (, , , , ) , . 1.3 ( ) . «» . , , . , , , .. , , . «» . . , Microsoft Windows (DLL) . , . , , .

13

. , , . . , , , , , , . , . , . , . . . , , . . . . , .

14

, . , , . , , , . , 2 3.

15

2 2.1 Stuxnet
2.1.1 Stuxnet

«» 9 2010 , Stuxnet. Stuxnet. , 2009 . , a o . Stuxnet , . , , , «» , . SCADA. Microsoft. , Stuxnet . , . , . , . , , , Stuxnet , , .

16

Stuxnet , . , .
2.1.2 Stuxnet

Stuxnet (. .1) , , . «» , Stuxnet, : , , : Microsoft Windows Shortcut ,,LNK/PIF Files Automatic File Execution Vulnerability (BID 41732); Windows: Microsoft Windows Print Spooler Service Remote Code Execution Vulnerability (BID 43073); SMB, Microsoft Windows Server Service RPC Handling Remote Code Execution Vulnerability (BID 31874). ; WinCC; Step 7 , , Step 7 .

17

;

--

Microsoft, , ; , ; Windows rootkit, ; ; «» Siemens, ; , , , rootkit .
2.1.3 Stuxnet

,

,

Stuxnet .dll , . .dll Stuxnet . (dropper) Stuxnet -, , stub. stub Stuxnet. , .dll stub, . stub . , , .dll stub, -

18

, .dll . stub . , , stub , . , .dll . .dll , Stuxnet .dll . .
2.1.4 Stuxnet

Stuxnet , - , . . , , , «» . , , Realtek Semiconductor Corp. JMicron Technology Corp. . , , , , , . , Stuxnet , .

19

Stuxnet . , , «» . SCADA- Siemens. SCADA WinCC/PCS7. SCADA- Siemens Desigo Insight, , .., . «» Stuxnet .
2.1.5 Stuxnet

Stuxnet: Stuxnet , ; () , Realtek JMicron, , «»; USB-Flash . 2009 autorun.inf (, , ), 2010 MS10-046 (zero-day ). MS08-067 ( 2009 Kido,

20

) MS10-061 (zero-day ); (zero-day ) MS10-073 (Windows 2000 XP) MS10-092 (Windows Vista, x64), , ; Stuxnet peer-to-peer (P2P) ; , , ; e SIMATIC,

Siemens, , , .
2.1.6 Stuxnet

, Stuxnet «» (). . : Stuxnet . - 2010 ; ; 1970-. , Siemens. 1979 , - , Siemens . Siemens

21

«» , . 2010 Siemens . , . Siemens . , , WinCC Siemens; . , , , , , , ; , , .

.

22

. 2. , Stuxnet . (). : . , ; B 2009 . , , , . , BBC, , , (IAEO), . , , IAEO ,

23

, Stuxnet.
2.1.7

, Stuxnet, , () . , Stuxnet «». «» . , «» «», ( ). 2012 «Confront and Conceal: Obama's Secret Wars and Surprising Use of American Power» (« : »), The New York Times . , Stuxnet . , Stuxnet . «Olympic Games». , . , , . New York Times , , Stuxnet

24

«» . , , , , , . Stuxnet . The Wall Street Journal, , . . «», . 2013 Symantec Stuxnet. 0.5 2007 2009 ., 2005 ., C&C-. 1.001, 0.5 . Symantec , , , Flame. Symantec , Stuxnet 0.5 Simatic 400 Station Simatic H-Station ( ) , . , . . , .

25

2.1.8

, : Stuxnet ,

- ; Stuxnet , , , USB-Flash ; Siemens WinCC , Stuxnet , , . , ( ); , ,

4-zero-day-, Siemens WinCC. Stuxnet - . -

26

, , «» 3. Stuxnet . Stuxnet , 0- , , , . «» , Stuxnet , . 2.2 Wiper
4

Wiper 2012 . « , , , . « » . « » , Wiper, . Wiper, , ,

«» , , , , . 4 « » Wiper.

3

27

(, ). , . « , , , 2012 ...». Wiper, ( ), Flame Gauss. Wiper , , , , . « , , Wiper . , « », - , , ». « » . «[] . ». :

28

«, 22 , , , , . RAHDAUD645. ~DF78.tmp C:\WINDOWS\TEMP ». Duqu. « ~DF78.tmp, , , , ». « , «» : RAHDAUD64, , , , . RAHDAUD64 , ~DF11.tmp ~DF3C.tmp. , ». , :

. , - ,
5

« ».

29

. . « , , Kaspersky Security Network (KSN) , ». Wiper: 1) 6. « PNF-. , Duqu Stuxnet ». 2) (, Documents and Settings, Windows, Program Files) USB-. 3) . . « , Wiper. ( 256 ) . , . (.. )».

dat, jar, rpt, xls,

C : accdb, acl, acm, amr, apln, asp, avi, ax, bak, bin, bmp, cdx, cfg, chk, com, cpl, cpx, db, dbf, dbx, dll, dmp, doc, docx, dot, drv, dwg, eml, exe, ext, fdb, gif, H, hlp, hpi, htm, html, hxx, ico, inc, ini, jpg, js, json, lnk, log, lst, m4a, mid, nls, one, pdf, pip, pnf, png, pps, ppt, pptx, pro, psd, rar, rdf, resources, rom , rsp, sam, scp, scr, sdb, sig, sql, sqlite, theme, tif, tiff, tlb, tmp, tsp, txt, vbs, wab, wav, wma, wmdb, wmv, xdr, xlsx, xml, xsd, zip.

6

30

« , Wiper . , . , . , , , , , ». « , , %PNG / iHDR». :

31

, 75% «» Wiper, . « Wiper « » , 64- , Wiper . %TEMP%, PNG/iHDR, ». :

« , , %TEMP%, , , Wiper. 20 512 ~DF820A.tmp ~DF9FAF.tmp. ». «, , PNF INF Windows -

32

, . Wiper Duqu Stuxnet, .PNF». , Wiper , . , . Wiper .. Flame. «[], Wiper , ~DF*.tmp ~DE*.tmp TEMP, KSN. , ~DEB93D.tmp »:

, Duqu Stuxnet. « , 6F C8. PNF-, Duqu, , 3 2010 . , , ~DEB93D.tmp, , , ».

33

, 7 « » , , . « , , , , mssecmgr.ocx, EF_trace.log to961.tmp. , , : Flame». «... , , Wiper, (, , ) 2012 ». Wiper. « , , , . , , , : , , Wiper; , ». 2.3 Flame Flame , Microsoft Windows XP, Vista, 7. , Wiper, ,
; , 4096 .
7

34

28 2012 . , , , , , . «» , «» , . Flame , Duqu. «backdoor, , «» . Flame , , . , MS10-033, . Flame , , , , .. Flame. , Flame. 20 , .

35

, , . , -. vxarchiv.at. . , , . « , Worm.Win32.Flame.a www.virustotal.com. VirusTotal , (URL) , , ». , .

36

, 2013-09-09. MSSECMGR -. :

Flame DLL- mssecmgr.ocx. . «» 6 , . «» 900 . C&C- .

37

Mssecmgr - (, , ). , wavesup3.drv, ~zff042.ocx, msdclr64.ocx, etc. Flame. :

«» . Flame? Flame , , . 1992, 1994, 1995 .. , . - SIGCheck SYSINTERNALS:

, , Windows Authentication Client Manager Microsoft Corporation. Link date, , 1992 , .

38

- :
http://www.securelist.com/ru/blog/207764003/Flame_Bunny_Frog_Munch_i_BeetleJuic e

Hiew.

, , DLL.

39

: WMI, MOF-, MS10-061, BAT-: s1 = new ActiveXObject("Wscript.Shell"); s1.Run("%SYSTEMROOT%\\system32\\rundll32.exe msdclr64.ocx,DDEnumCallback"); mssecmgr Windows: HKLM\SYSTEM\CurrentControlSet\Control\Lsa Authentication Packages = mssecmgr.ocx [ ] . . , MSSECMGR.OCX, bat- : rundll32.exe MSSECMGR.OCX,DDEnumCallback : HKLM\SYSTEM\CurrentControlSet\Control\Lsa

40

:

mssecmmgr.ocx lsass.exe, .

41

, , TotalUninstall. , . . %windir%\system32\: mssecmgr.ocx advnetcfg.ocx msglu32.ocx nteps32.ocx soapr32.ocx ccalc32.sys boot32drv.sys , %windir%\ : Ef_trace.log , Flame, , 146: C:\Program Files\Common Files\Microsoft Shared\MSSecurityMgr : dstrlog.dat lmcache.dat mscrypt.dat (or wpgfilter.dat) ntcache.dat rccache.dat (or audfilter.dat) ssitable (or audache) secindex.dat wavesup3.drv (a copy of the main module, mssecmgr.ocx, in the MSAudio directory)

42

, , , . MSSecurityMgr , :

43

system32 : mssecmgr.ocx advnetcfg.ocx , DLL nteps32.ocx , DLL boot32drv.sys ccalc32.sys :

Flame: Bluetooth: , Beetlejuice . «»

44

Bluetooth base64 . . Microbe , , . Infectmedia , .. USB-. : Autorun_infector, Euphoria. autorun.inf, , Autorun_infector open. Stuxnet, LNK-. Euphoria desktop.ini

target.lnk, LINK1 LINK2 146 ( ). Flame. Limbo backdoor- HelpAssistant, . Frog ,

. ,

45

, HelpAssistant. Limbo. Munch HTTP-, /view.php /wpad.dat. , NBNS -. Snack , Munch. . , Boot_dll_loader , . Weasel . «» . . Gator , . , Security Flame, .. . Bunny Dbquery

Boost Telemetry

46

Driller Gadget

Headache .

:

Flame? , Flame , , 20 . . Flame , , (zlib, libbz2, ppmd) (sqlite3), Lua. Lua , .. , , C. Flame Lua

47

, , C++. , flame: , , . :

, . Flame ( ). Sleep API 10 . :

48

2.4 Gauss Gauss , , Flame. , . : cookie- ; ; USB- , ; ; , , ; , .

49

, , , , , . Gauss , , . , .

, Gauss , . :

2011 . 2011 . . 2011 .

d:\projects\gauss d:\projects\gauss_for_macis_2 c:\documents and set-

50

2012 .

tings\flamer\desktop\gauss_white_1

Gauss Flame: , , , , . , Gauss 64- , Firefox , , Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank Credit Libanais. , , , Citibank PayPal. 2.5 Duqu , CrySyS ( ), (), Duqu. Microsoft Word win32k.sys (MS11-087, Microsoft 13 2011), TTF . Word, , : ; ; ; ; ( DLL).

51

, win32k.sys 'System', Duqu , ( ). , : (sys); (dll); (pnf).

Symantec , , « », Duqu. (.exe), . dll-. . :

52

,

; , ; ; , ; - ; ; (sharing resources); , ; . , , , Duqu, , . : , , , ; B ; C ; D ; E ; F .

53

, , , , . 2.6 Icefog 2011 , , Icefog. , , , , , , , . Icefog , Microsoft Windows Apple Mac OS X. . Icefog «» .

54

2.6.1 Icefog

, Icefog, (spear-phishing) . «» , . , -, , «» . . « »: . . Icefog, , , . , .
2.6.2 Icefog

, Icefog «», , . , . Icefog- «» «» . «» , , :

55

, Icefog; Icefog ; Icefog; () ; SQL-, Icefog, MSSQL- .
2.6.3 Icefog

, APT- - . Icefog, , : . «» ; - Microsoft .NET; , , -; HWP- ; Mac OS X .
2.6.4 Icefog

A Icefog , ; , -

56

, «» . , Icefog . « ». , , , , « ». , Icefog, , , . , , .

57

3 8 ()9 «». IRATEMONK , MBR. West ern Digital, Seagate, Maxtor Samsung. FAT, NTFS, EXT3 UFS. RAID . IRATEMONK . SWAP BIOS HPA . (Windows, FreeBSD, Linux, Solaris) c (FAT32, NTFS, EXT2, EXT3, UFS 1.0). : ARKSTREAM BIOS, TWISTEDKILT HPA SWAP . COTTONMOUTH-I USB, , . . OTTONMOUTH. TRINITY, -

8 9

http://www.habrahabr.ru .

58

HOWLERMONKEY. MOCCASIN, USB. FIREWALK , Gigabit Ethernet, Ethernet . VPN- . HOWLERMONKEY- . COTTONMOUTH-III, (RJ45 USB) . TRINITY, HOWLERMONKEY. NIGHTSTAND Wi-Fi-, Windows ( Win2k WinXP SP2). , . Linux . 13 . DEITYBOUNCE Dell PowerEdge BIOS SMM . ARKSTREAM, USB--. . Dell PowerEdge 1850/2850/1950/2950 BIOS 02, A05, A06, 1.1.0, 1.2.0 1.3.7. FEEDTROUGH BANANAGLEE ZESTYLEAK, «» Juniper Netscreen. Juniper: ns5xt, ns25, ns50, ns200, ns500 ISG 1000. , ,

59

, . FEEDTROUGH . CTX4000 , . PHOTOANGLO. NIGTHWATCH . (, CTX4000 PHOTOANGLO RAGEMASTER), . HOWLERMONKEY . . . , USB- USB-, WiFi-, Bluetooth-, GSM- , . , «», , , «», , . , , - , , , .

60

4 , , . . , , Stuxnet, , . Stuxnet «» , . Stuxnet , , , , . , : ; , , « » - ; (, , «», ) 10. , Stuxnet , . : 2007 2013 ..

10

/ ( -

).

61

. 20% , . . , , , , , «», . , . ( ) . 2013
11

, ,

, «» 50 000 . , . .

11

..

62

1. 2. 3. 4. 5. 6. 7. 8. 9. http://www.kaspersky.ru/news?id=207733835 http://www.habrahabr.ru http://www.securelist.com/ru/ http://www.infosecurity-magazine.com http://www.securitylab.ru/blog/personal/tsarev/28372.php http://www.securitylab.ru/blog/personal/tsarev/30693.php http://www.securelist.com/ru/analysis/208050779/Kaspersky_Security_ bulletin_2012_Kiberoruzhie http://www.securelist.com/ru/blog/207764148 http://compsmir.ru/ .: , 2009. 464 . 11. .., .. // . «. . ». 2013. 15. .58-74. 12. - . / .. , .. , .. . .: , 2000. 168 .

10. .. .