Äîêóìåíò âçÿò èç êýøà ïîèñêîâîé ìàøèíû. Àäðåñ îðèãèíàëüíîãî äîêóìåíòà : http://www.iisi.msu.ru/UserFiles/File/publications/Project_2015.pdf
Äàòà èçìåíåíèÿ: Tue Dec 15 16:02:14 2015
Äàòà èíäåêñèðîâàíèÿ: Sat Apr 9 23:28:23 2016
Êîäèðîâêà:

: , , , (III , )

2015

2

.. ( ) ( ). , , (2009-2015 ..). . 1) (, , ) . 2) . 3) , . 4) . : .., : .., .., .., .., .., .., .., .., .., .., .., .., .., ..

3

4

...................................................................................................... 2 .................................................................................. 3 .................................................................................................... 4 ......................................................................................................... 6 1 , C ............................................................................. 9 1.1 ....................................................... 9 1.2 ........................................ 10 1.3 ................................... 12 2 .......................... 15 2.1 Stuxnet ...................................................... 15 2.1.1 Stuxnet .................................................. 15 2.1.2 Stuxnet .............................................. 16 2.1.3 Stuxnet .................................................. 17 2.1.4 Stuxnet .................................... 18 2.1.5 Stuxnet ................................ 19 2.1.6 Stuxnet ............................................ 20 2.1.7 ..................................................................... 23 2.1.8 ............................................................. 25 2.2 Wiper ........................................................ 26 2.3 Flame ........................................................ 33 2.4 Gauss ........................................................ 48 2.5 Duqu ......................................................... 50 2.5.1. Duqu 1.0 ........................................... 50 2.5.2. Duqu 2.0 ........................................... 53 2.6 Icefog ........................................................ 58 2.6.1 Icefog ........................ 59 2.6.2 Icefog ...................................................... 59

5

2.6.3 Icefog ............................................................. 60 2.6.4 Icefog .......................................................... 61 3 ...................................................................................... 62 3.1. ..................................................................... 62 3.2. Stuxnet ........................................................... 65 3.2.1. ....................................................... 65 3.2.2. ................................................................. 67 3.2.3. .......................................................... 68 4 ................................................................................................. 70 ........................................................ 72

6

() , . : ; ; () , , . , , , -, , , -. . , , , .. ( ). . «», «» , (). , ( , ,

7

), «back-door» . ( - ). , «» , « » .. , , , , IT- ( , ) , Stuxnet, Flame, Gauss, Duqu, Wiper Icefog. : , ( , ) . - , , , ; : , , , ; . ;

8

, , , , «» . , .

9

1 , C 1.1 , , . . , , , , (). () 1. , . , , , , , , . «» . (). , , -

1 , . .

10

-, , (), 2. , «», , . , , . 1.2 , . : , (« »);

(«» ); «» ;

2

. .

11

;

, (, ); ; , / ( ) ; ( ) ; () ; , / , , . , , : , , , / , ( ) , , , , ;

12

(.. ) ; (, , , , ) , . 1.3 ( ) . «» . , , . , , , .. , , . «» . . , Microsoft Windows (DLL) . , . , , .

13

. , , . . , , , , , , . , . , . , . . . , , . . . . , .

14

, . , , . , , , . , 2 3.

15

2 2.1 Stuxnet
2.1.1 Stuxnet

«» 9 2010 , Stuxnet. Stuxnet. , 2009 . , a o . Stuxnet , . , , , «» , . SCADA. Microsoft. , Stuxnet . , . , . , . , , , Stuxnet , , .

16

Stuxnet , . , .
2.1.2 Stuxnet

Stuxnet (. .1) , , . «» , Stuxnet, : , , : Microsoft Windows Shortcut ,,LNK/PIF Files Automatic File Execution Vulnerability (BID 41732); Windows: Microsoft Windows Print Spooler Service Remote Code Execution Vulnerability (BID 43073); SMB, Microsoft Windows Server Service RPC Handling Remote Code Execution Vulnerability (BID 31874). ; WinCC; Step 7 , , Step 7 .

17

;

--

Microsoft, , ; , ; Windows rootkit, ; ; «» Siemens, ; , , , rootkit .
2.1.3 Stuxnet

,

,

Stuxnet .dll , . .dll Stuxnet . (dropper) Stuxnet -, , stub. stub Stuxnet. , .dll stub, . stub . , , .dll stub, -

18

, .dll . stub . , , stub , . , .dll . .dll , Stuxnet .dll . .
2.1.4 Stuxnet

Stuxnet , - , . . , , , «» . , , Realtek Semiconductor Corp. JMicron Technology Corp. . , , , , , . , Stuxnet , .

19

Stuxnet . , , «» . SCADA- Siemens. SCADA WinCC/PCS7. SCADA- Siemens Desigo Insight, , .., . «» Stuxnet .
2.1.5 Stuxnet

Stuxnet: Stuxnet , ; () , Realtek JMicron, , «»; USB-Flash . 2009 autorun.inf (, , ), 2010 MS10-046 (zero-day ). MS08-067 ( 2009 Kido,

20

) MS10-061 (zero-day ); (zero-day ) MS10-073 (Windows 2000 XP) MS10-092 (Windows Vista, x64), , ; Stuxnet peer-to-peer (P2P) ; , , ; e SIMATIC,

Siemens, , , .
2.1.6 Stuxnet

, Stuxnet «» (). . : Stuxnet . - 2010 ; ; 1970-. , Siemens. 1979 , - , Siemens . Siemens

21

«» , . 2010 Siemens . , . Siemens . , , WinCC Siemens; . , , , , , , ; , , .

.

22

. 2. , Stuxnet . (). : . , ; B 2009 . , , , . , BBC, , , (IAEO), . , , IAEO ,

23

, Stuxnet.
2.1.7

, Stuxnet, , () . , Stuxnet «». «» . , «» «», ( ). 2012 «Confront and Conceal: Obama's Secret Wars and Surprising Use of American Power» (« : »), The New York Times . , Stuxnet . , Stuxnet . «Olympic Games». , . , , . New York Times , , Stuxnet

24

«» . , , , , , . Stuxnet . The Wall Street Journal, , . . «», . 2013 Symantec Stuxnet. 0.5 2007 2009 ., 2005 ., C&C-. 1.001, 0.5 . Symantec , , , Flame. Symantec , Stuxnet 0.5 Simatic 400 Station Simatic H-Station ( ) , . , . . , .

25

2.1.8

, : Stuxnet ,

- ; Stuxnet , , , USB-Flash ; Siemens WinCC , Stuxnet , , . , ( ); , ,

4-zero-day-, Siemens WinCC. Stuxnet - . -

26

, , «» 3. Stuxnet . Stuxnet , 0- , , , . «» , Stuxnet , . 2.2 Wiper
4

Wiper 2012 . « , , , . « » . « » , Wiper, . Wiper, , ,

«» , , , , . 4 « » Wiper.

3

27

(, ). , . « , , , 2012 ...». Wiper, ( ), Flame Gauss. Wiper , , , , . « , , Wiper . , « », - , , ». « » . «[] . ». :

28

«, 22 , , , , . RAHDAUD645. ~DF78.tmp C:\WINDOWS\TEMP ». Duqu. « ~DF78.tmp, , , , ». « , «» : RAHDAUD64, , , , . RAHDAUD64 , ~DF11.tmp ~DF3C.tmp . , ». , :

. , - ,
5

« ».

29

. . « , , Kaspersky Security Network (KSN) , ». Wiper: 1) 6. « PNF-. , Duqu Stuxnet ». 2) (, Documents and Settings, Windows, Program Files) USB-. 3) . . « , Wiper. ( 256 ) . , . (.. )».

dat, jar, rpt, xls,

C : accdb, acl, acm, amr, apln, asp, avi, ax, bak, bin, bmp, cdx, cfg , chk, com, cpl, cpx, db, dbf, dbx, dll, dmp, doc, docx, dot, drv, dwg, eml, exe, ext, fdb, gif, H, hlp, hpi, htm, html, hxx, ico, inc, ini, jpg, js, json, lnk, log, lst, m4a, mid, nls, one, pdf, pip, pnf, png, pps, ppt, pptx, pro, psd, rar, rdf, resources, rom, rsp, sam, scp, scr, sdb, sig, sql, sqlite, theme, tif, tiff, tlb, tmp, tsp, txt, vbs, wab, wav, wma, wmdb, wmv, xdr, xlsx, xml, xsd, zip.

6

30

« , Wiper . , . , . , , , , , ». « , , %PNG / iHDR». :

31

, 75% «» Wiper, . « Wiper « » , 64- , Wiper . %TEMP%, PNG/iHDR, ». :

« , , %TEMP%, , , Wiper. 20 512 ~DF820A.tmp ~DF9FAF.tmp. ». «, , PNF INF Windows -

32

, . Wiper Duqu Stuxnet, .PNF». , Wiper , . , . Wiper .. Flame. «[], Wiper , ~DF*.tmp ~DE*.tmp TEMP, KSN. , ~DEB93D.tmp »:

, Duqu Stuxnet. « , 6F C8. PNF-, Duqu, , 3 2010 . , , ~DEB93D.tmp, , , ».

33

, 7 « » , , . « , , , , mssecmgr.ocx, EF_trace.log to961.tmp. , , : Flame». «... , , Wiper, (, , ) 2012 ». Wiper. « , , , . , , , : , , Wiper; , ». 2.3 Flame Flame , Microsoft Windows XP, Vista, 7. , Wiper, ,
; , 4096 .
7

34

28 2012 . , , , , , . «» , «» , . Flame , Duqu. «backdoor, , «» . Flame , , . , MS10-033, . Flame , , , , .. Flame. , Flame. 20 , .

35

, , . , -. vxarchiv.at. . , , . « , Worm.Win32.Flame.a www.virustotal.com. VirusTotal , (URL) , , ». , .

36

, 2013-09-09. MSSECMGR -. :

Flame DLL- mssecmgr.ocx. . «» 6 , . «» 900 . C&C- .

37

Mssecmgr - (, , ). , wavesup3.drv, ~zff042.ocx, msdclr64.ocx, etc. Flame. :

«» . Flame? Flame , , . 1992, 1994, 1995 .. , . - SIGCheck SYSINTERNALS:

, , Windows Authentication Client Manager Microsoft Corporation. Link date, , 1992 , .

38

- :
http://www.securelist.com/ru/blog/207764003/Flame_Bunny_Frog_Munch_i_BeetleJuic e

Hiew.

, , DLL.

39

: WMI, MOF-, MS10-061, BAT-: s1 = new ActiveXObject("Wscript.Shell"); s1.Run("%SYSTEMROOT%\\system32\\rundll32.exe msdclr64.ocx,DDEnumCallback"); mssecmgr Windows: HKLM\SYSTEM\CurrentControlSet\Control\Lsa Authentication Packages = mssecmgr.ocx [ ] . . , MSSECMGR.OCX, bat- : rundll32.exe MSSECMGR.OCX,DDEnumCallback : HKLM\SYSTEM\CurrentControlSet\Control\Lsa

40

:

mssecmmgr.ocx lsass.exe, .

41

, , TotalUninstall. , . . %windir%\system32\: mssecmgr.ocx advnetcfg.ocx msglu32.ocx nteps32.ocx soapr32.ocx ccalc32.sys boot32drv.sys , %windir%\ : Ef_trace.log , Flame, , 146: C:\Program Files\Common Files\Microsoft Shared\MSSecurityMgr : dstrlog.dat lmcache.dat mscrypt.dat (or wpgfilter.dat) ntcache.dat rccache.dat (or audfilter.dat) ssitable (or audache) secindex.dat wavesup3.drv (a copy of the main module, mssecmgr.ocx, in the MSAudio directory)

42

, , , . MSSecurityMgr , :

43

system32 : mssecmgr.ocx advnetcfg.ocx , DLL nteps32.ocx , DLL boot32drv.sys ccalc32.sys :

Flame: Bluetooth: , Beetlejuice . «»

44

Bluetooth base64 . . Microbe , , . Infectmedia , .. USB-. : Autorun_infector, Euphoria. autorun.inf, , Autorun_infector open. Stuxnet, LNK-. Euphoria desktop.ini

target.lnk, LINK1 LINK2 146 ( ). Flame. Limbo backdoor- HelpAssistant, . Frog ,

. ,

45

, HelpAssistant. Limbo. Munch HTTP-, /view.php /wpad.dat. , NBNS -. Snack , Munch. . , Boot_dll_loader , . Weasel . «» . . Gator , . , Security Flame, .. . Bunny Dbquery

Boost Telemetry

46

Driller Gadget

Headache .

:

Flame? , Flame , , 20 . . Flame , , (zlib, libbz2, ppmd) (sqlite3), Lua. Lua , .. , , C. Flame Lua

47

, , C++. , flame: , , . :

, . Flame ( ). Sleep API 10 . :

48

2.4 Gauss Gauss , , Flame. , . : cookie- ; ; USB- , ; ; , , ; , .

49

, , , , , . Gauss , , . , .

, Gauss , . :

2011 . 2011 . . 2011 .

d:\projects\gauss d:\projects\gauss_for_macis_2 c:\documents and set-

50

2012 .

tings\flamer\desktop\gauss_white_1

Gauss Flame: , , , , . , Gauss 64- , Firefox , , Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank Credit Libanai s. , , , Citibank PayPal. 2.5 Duqu
2.5.1. Duqu 1.0

, CrySyS ( ), (), Duqu. Microsoft Word win32k.sys (MS11-087, Microsoft 13 2011), TTF . Word, , : ; ; ; ; ( DLL).

51

, win32k.sys 'System', Duqu , ( ). , : (sys); (dll); (pnf).

Symantec , , « », Duqu. (.exe), . dll-. . :

52

,

; , ; ; , ; - ; ; (sharing resources); , ; . , , , Duqu, , . : , , , ; B ; C ; D ; E ; F .

53

, , , , .
2.5.2. Duqu 2.0

2015 « » . , Duqu, 2011 . Duqu 2.0. « » , , , . « » Duqu 2.0 , , , . «» , -

54

-, « » . , «» . zero-day , «» . , , - , , . , , , zero-day-, , « » . « » , Kerberos, Microsoft 2014 . , zero-day-, . Duqu 2.0 , . « » , « ». , , . , , , , . «» « », ,

55

. , « » , , . , , . . , , . «», Duqu 2.0 , - , . «» . , , , . Duqu 2.0 «» «» . «», . , . , . , . 64- Windows . « » , . Duqu 2.0 , , , , , . -

56

, : , - . , , . «», . , « », : «romanian.antihacker» «ugly.gorilla». ( «romanian.antihacker»). IP , , 443 445 (SMB) 3389 (Remote Desktop) . SMB (. . ) Remote Desktop ; HTTPS ( 443). «romanian.antihacker», , , . «ugly.gorilla1», IP 443 (HTTPS) 445 (SMB). «ugly.gorilla2», IP 443 (HTTPS) 3389 (RDP).

57

«ugly.gorilla3», IP 443 (HTTPS) 135 (RPC). «ugly.gorilla4», IP 443 (HTTPS) 139 (NETBIOS). «ugly.gorilla5», IP 1723 (PPTP) 445 (SMB). «ugly.gorilla6», IP 443 (HTTPS) 47012 ( ). «romanian.antihacker». 64 «termport.sys», «portserv.sys». , , , . , «23 , 18:14:28 2004», , . «C:\Windows\System32\drivers\». , , 64- . , 64- Windows. «HON HAI PRECISION INDUSTRY CO. LTD.». , «Foxconn Technology Group» - (-, ). , , 19 2015 ., 20:31. -

58

WatchDog Timer Kernel (WDTKernel.sys) Dell 2013 . Stuxnet Duqu ( « » Jmicron Realtek). , , Duqu. , , : , Duqu, , Foxconn, Realtek Jmicron. « » «» , . Duqu 2014-2015 « 5+1» , 70 - . « » , . , , , . , , , Duqu 2.0 . 2.6 Icefog 2011 , , Icefog. , , , , , -

59

, , . Icefog , Microsoft Windows Apple Mac OS X. . Icefog «» .
2.6.1 Icefog

, Icefog, (spear-phishing) . «» , . , -, , «» . . « »: . . Icefog, , , . , .
2.6.2 Icefog

, Icefog «», , -

60

. , . Icefog- «» «» . «» , , : , Icefog; Icefog ; Icefog; () ; SQL-, Icefog, MSSQL- .
2.6.3 Icefog

, APT- - . Icefog, , : . «» ; - Microsoft .NET;

61

, , -; HWP- ; Mac OS X .
2.6.4 Icefog

A Icefog , ; , , «» . , Icefog . « ». , , , , « ». , Icefog, , , . , , .

62

3 3.1. 8 ()9 «». IRATEMONK , MBR. Western Digital, Seagate, Maxtor Samsung. FAT, NTFS, EXT3 UFS. RAID . IRATEMONK . SWAP BIOS HPA . (Windows, FreeBSD, Linux, Solaris) c (FAT32, NTFS, EXT2, EXT3, UFS 1.0). : ARKSTREAM BIOS, TWISTEDKILT HPA SWAP . COTTONMOUTH-I USB, , . .
8 9

http://www.habrahabr.ru .

63

OTTONMOUTH. TRINITY, HOWLERMONKEY. MOCCASIN, USB. FIREWALK , Gigabit Ethernet, Ethernet . VPN- . HOWLERMONKEY- . COTTONMOUTH-III, (RJ45 USB) . TRINITY, HOWLERMONKEY. NIGHTSTAND Wi-Fi-, Windows ( Win2k WinXP SP2). , . Linux . 13 . DEITYBOUNCE Dell PowerEdge BIOS SMM . ARKSTREAM, USB--. . Dell PowerEdge 1850/2850/1950/2950 BIOS 02, A05, A06, 1.1.0, 1.2.0 1.3.7. FEEDTROUGH BANANAGLEE ZESTYLEAK, «» Juniper Netscreen. Juniper: ns5xt, ns25, ns50, ns200, ns500 ISG 1000.

64

, , , . FEEDTROUGH . CTX4000 , . PHOTOANGLO. NIGTHWATCH . (, CTX4000 PHOTOANGLO RAGEMASTER), . HOWLERMONKEY . . . , USB- USB-, WiFi-, Bluetooth-, GSM- , . , «», , , «», , . , , - , , , .

65

3.2. Stuxnet
3.2.1.

Stuxnet , USB- . , USB- : ~WTR4141.tmp. USB , 4 lnk. LNK «», Windows, , : «Copy of Copy of Copy of Copy of Shortcut to.lnk» .STORAGE#RemovableMedia#7&[ID]&0&RM#{53f5630d-b6bf11d0-94f2-00a0c91efb8b}~WTR4141.tmp «Copy of Copy of Copy of Shortcut to.lnk» .STORAGE#RemovableMedia#8&[ID]&0&RM#{53f5630d-b6bf11d0-94f2-00a0c91efb8b}~WTR4141.tmp «Copy of Copy of Shortcut to.lnk» .STORAGE#Volume#1&19f7e59c&0&_??_USBSTOR#Disk&Ven_ &Prod_USB_FLASH_DRIVE&Rev_PMAP#0798018356734E4F&0 #{53f56307-b6bf-11d0-94f2-00a0c91efb8b}#{53f5630d-b6bf-11d094f2-00a0c91efb8b}~WTR4141.tmp «Copy of Shortcut to.lnk» .STORAGE#Volume#_??_USBSTOR#Disk&Ven_&Prod_USB_FLA SH_DRIVE&Rev_PMAP#0798018356734E4F&0#{53f56307-b6bf11d0-94f2-00a0c91efb8b}#{53f5630d-b6bf-11d0-94f200a0c91efb8b}~WTR4141.tmp , Stuxnet .

66

: , , . : Foolad Technic Engineering Co (FIECO) - . ( ) 300 . PLC. Behpajooh Co. Elec & Comp. Engineering. Foolad Techic, , SCADA . «» Neda Industrial Group. , , Stuxnet . , Siemens STEP 7 , Stuxnet. . (11 2010 ), . , , Kalaye Electric Co. Institute for Science and International Security, Kala Electric IR-1 . , , , , , SCADA Step7. -

67

, , Stuxnet «» Step7.
3.2.2.

Stuxnet .dll , . .dll Stuxnet . , , Stuxnet, DLL , . Stuxnet . . Windows . , , : Kaspersky KAV (avp.exe) Mcafee (Mcshield.exe) AntiVir (avguard.exe) BitDefender (bdagent.exe) Etrust (UmxCfg.exe) F-Secure (fsdfwd.exe) Symantec (rtvscan.exe) Symantec Common Client (ccSvcHst.exe) Eset NOD32 (ekrn.exe) Trend Pc-Cillin (tmpproxy.exe) , , : KAV v6 v9, McAfee, Trend PcCillin. , .

68

. , , . : Lsass.exe Winlogon.exe Svchost.exe. .dll . Windows, , , , , . .dll « ». Stuxnet 32- : Win2K, WinXP, Windows 2003, Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2. Stuxnet , , , , , . Stuxnet win32k.sys, . 12 2010 . , . , , - . «Win32k.sys Local Privilege Escalation (MS10-073)», DLL .
3.2.3.

. , , , , , . , Stuxnet ,

69

. Stuxnet . , , «» . SCADA- Siemens. SCADA WinCC/PCS7. Stuxnet , - , . . , , , , Realtek Semiconductor Corp. JMicron Technology Corp. Stuxnet : WinCC ; ; (MS10-061); Windows (MS08067); Stuxnet , , SCADA WinCC, Siemens.

70

4 , , . . , , Stuxnet, , . Stuxnet «» , . Stuxnet , , , , . , : ; , , « » - ; (, , «», ) 10. , Stuxnet , . : 2007 2013 ..

10

/ ( -

).

71

. 20% , . . , , , , , «», . , . ( ) .

72

1. 2. 3. 4. 5. 6. 7. 8. 9. http://www.kaspersky.ru/news?id=207733835 http://www.habrahabr.ru http://www.securelist.com/ru/ http://www.infosecurity-magazine.com http://www.securitylab.ru/blog/personal/tsarev/28372.php http://www.securitylab.ru/blog/personal/tsarev/30693.php http://www.securelist.com/ru/analysis/208050779/Kaspersky_Security_ bulletin_2012_Kiberoruzhie http://www.securelist.com/ru/blog/207764148 http://compsmir.ru/ .: , 2009. 464 . 11. .., .. // . «. . ». 2013. 15. .58-74. 12. - . / .. , .. , .. . .: , 2000. 168 .

10. .. .