Jdi na obsah Jdi na menu
Reklama
Založte webové stránky zdarma - eStránky.cz
 


Stuxnet před .Ink souboru zabezpečení

20. 12. 2010

Kód využívá zero-day zranitelnosti lnk soubor (BID 43073) používá Stuxnet byl přidán do ohrožení v březnu 2010.

Starší verze nepoužívali chybu, ale místo toho AutoRun trikem šířit. Červ trikem vytvořil soubor autorun.inf v kořenovém adresáři vyměnitelných jednotek, které sloužily dva různé účely. speciálně vytvořený soubor by mohl být vykládán buď jako spustitelný soubor nebo správně formátovaný soubor autorun.inf. Když systém Windows analyzuje soubory autorun.inf parsování je poměrně tolerantní. Konkrétně, žádné znaky, které nejsou chápány jako součást legitimní příkazů AutoRun jsou přeskočeny jako smetí a parsování pokračuje. Stuxnet používá tuto skutečnost ve svůj prospěch tím, že se soubor MZ nejprve v rámci souboru autorun.inf. Když systém Windows analyzuje soubor autorun.inf veškerý obsah, MZ, budou ignorovány jako smetí, dokud legitimní AutoRun příkazy, které jsou připojeny na konec souboru se vyskytují. záhlaví a zápatí souboru autorun.inf lze vidět v následujících schématech:


Hlavička souboru autorun.inf:

http://kucera.petrik.sweb.cz/uploaded/web_files/_originald.png

Zápatí souboru autorun.inf

http://kucera.petrik.sweb.cz/uploaded/web_files/_originals.png

 

Tím, že získá pouze řetězce z zápatí můžeme vidět, že oni jsou složeni z legitimních příkazů AutoRun:

http://kucera.petrik.sweb.cz/uploaded/web_files/_originala.png

Všimněte si, že AutoRun příkazy zadat soubor autorun.inf sebe jako soubor má být vykonán (zvýrazněny červeně na obrázku výše). Pomocí tohoto triku soubor autorun.inf budou nejprve považuje za legitimní soubor autorun.inf a pak jako legitimní spustitelný soubor (a tak červ kód je vykonán).
Kromě této mazaný trik, Stuxnet používá jiný trik, aby se zvýšila pravděpodobnost, že bude popraven. AutoRun příkazy je uvedeno výše nejprve vypnout automatické přehrávání, a pak přidat nový příkaz ke kontextu (tj. vpravo-click) menu. Příkaz, který se přidává se nachází ve složce% Windir% \ system32 \ shell32.dll, -8496, který skutečně funguje, se, že je "Open" řetězec. To znamená, že při pohledu na kontextové menu pro přenosné zařízení uživatel skutečně uvidí dva "Open" příkazy, jak je vidět na následujícím obrázku:

http://kucera.petrik.sweb.cz/uploaded/web_files/_original.png

Jeden z těchto příkazů je legitimní a ostatní bylo přidáno Stuxnet. Pokud se uživatel rozhodne otevřít disk přes škodlivý "Open" příkaz pak červ bude provádět podle příkazu v souboru autorun.inf. Kód Stuxnet pak se otevře okno Průzkumníka a zobrazí obsah disku na uživatele, takže to vypadá, že nic neobvyklého nestalo. Je třeba poznamenat, že úspěch nebo jinak z výše uvedených triků záleží na Přehrát automaticky a AutoRun nastavení v počítači a že odpojení těchto funkcí může pomoci zmírnit proti červům, které je používají k šíření.


zdroj: symatec.com

 

Komentáře

Přidat komentář

Přehled komentářů

Zatím nebyl vložen žádný komentář