您的位置:网站首页 > 未解之谜 > 正文

卡巴斯基实验室被攻陷后的四个未解之谜

类别:未解之谜 日期:2015-7-1 19:31:25 人气: 来源:

  【编者按】卡巴斯基实验室被Duqu 2.0攻陷后许多安全界人士对代码和0Day进行了深入分析,但目前还有很多不清楚的地方,除了卡巴斯基之外还有别的者吗?使用的是哪种0Day?者到底做了什么?在一篇外电中我们看到了一些资料。

  以下是:

  前几天,卡巴斯基实验室被Duqu 2.0攻陷的消息传出来后,尽管安全厂商对Duqu 2.0的代码和对者采用的0Day进行了深入分析,目前仍有许多未解之谜。

  先不说这事儿是谁干的,所有人的研究都仅限于把来源确定为以色列,除此之外,还有很多方面我们还不知道:

  除了卡巴斯基实验室以外还有别的被黑的安全公司吗?

  Symantec,FireEye,Trend Micro都表示没有受到Duqu 2.0的,其它的厂商也没有报告Duqu的信息。但我们了解到Duqu 2.0是在内存中的病毒,电脑一旦重启就会消失,入侵者可以轻松消除痕迹,所以,很难说谁没被黑过。

  尤金卡巴斯基说,我们在这件事上花了好几个月的时间,当初意识到一些奇怪的东西后,就开始展开调查寻求突破口。

  卡巴斯基实验室首席安全研究员库尔特鲍姆加特纳发布了被入侵的一些指标,并表示者肯定远远不止卡巴这一家。的范围很广,的目标很多,可能有100个。就目前所知,Duqu 2.0曾被用于对最复杂、难度等级最高的目标进行,包括地缘政绩利益。

  在第一次卡巴斯基实验室的时候使用的是哪种0Day?

  卡巴斯基实验室在Duqu 2.0中识别出了两到三种0Day手法,目前正在调查者利用了哪些漏洞来对最初的者下手的,亚太区的一位员工认为是通过鱼叉式钓鱼来进行的。

  鲍姆加特纳(Baumgartner)表示对方利用的可能是CVE-2014-4148,对方可以通过一个Word文档接触到内核。但是目前尚没有确认具体的第一次是如何实施的。

  赛门铁克也没有什么进展。“问题是,我们还不知道Duqu 2.0感染的载体到底是什么!”,赛门铁克安全响应中心高级经理维克拉姆塔库尔说。 “我们还在调查这次事件的具体细节。”

  者到底做了什么?

  尤金卡巴斯基表示,他们还不确定Duqu 2.0的者到底访问了公司的那些信息。“我们还不知道他们究竟想找什么”。

  塔库尔表示Duqu 2.0最厉害的地方在于他侵入和掩埋痕迹的能力。“它没有在你的电脑上留下任件,重启之后什么都没了”。“这些者有目的的这么做,这样他们还可以随意偷取他想要的东西,一关机,啥都没了。”

  塔库尔表示他们的团队还在分析恶意软件的模块,他们也还不知道到底者是如何秘密盗取数据(exfiltrated)的。

  也有安全专家表示,主要还是因为他们不知道到底那些信息被窃取了,所以他们无法准确的找到到底哪些数据和系统被接触过。

  Bay Dynamics的首席营销官Gautam Aggarwal认为,这些者的目的是在搜寻卡巴斯基Secure OS和Anti-APT产品的漏洞。Duqu 2.0是一个内存(in-memory),他不会增删改任何硬盘上的文件或者系统设置,这才让卡巴斯基的调查举步维艰。如果他们一旦找到卡巴斯基产品的一些漏洞,入侵使用他们产品和解决方案的客户就是轻而易举的事儿了。

  卡巴斯基实验室调查过2011年那次Duqu木马,这次非常有针对性,他说。这让人感觉APT小组是把卡巴斯基实验室作为Duqu 2.0的一个支点,它可以其内部的防御,然后达到某种目的。

  直觉告诉我们,卡巴斯基这事儿只是个开始,陆续我们还会看到更多这样的事儿。

  神秘模块里的ICS/SCADA线索有什么含义?

  卡巴斯基实验室全球研究和分析团队总监Costin Raiu发布了一条推特,发图片截屏了Duqu 2.0模块的一个文件名,说:“有谁认识Duqu2 模块访问的这些文件名和径吗?来说说”

  研究人员在研究这些样本的时候在文件名中发现了“HMI”一词,指向ICS / SCADA系统的链接。HMI(human-machine intece)指的是工业产品领域的人机界面。

  【编者按】卡巴斯基实验室被Duqu 2.0攻陷后许多安全界人士对代码和0Day进行了深入分析,但目前还有很多不清楚的地方,除了卡巴斯基之外还有别的者吗?使用的是哪种0Day?者到底做了什么?在一篇外电中我们看到了一些资料。以下是:前几天,卡巴斯基实验室被Duqu 2.0攻陷的消息传出来后,尽管安全厂商对Duqu 2.0的代码和对者采用的0Day进行了深入分析,目前仍有许多未解之谜。先不说这事儿是谁干的,所有人的研究都仅限于把来源确定为以色列,除此之外,还有很多方面我们还不知道:除了卡巴斯基实验室以外还有别的被黑的安全公司吗?Symantec,FireEye,Trend Micro都表示没有受到Duqu 2.0的,其它的厂商也没有报告Duqu的信息。但我们了解到Duqu 2.0是在内存中的病毒,电脑一旦重启就会消失,入侵者可以轻松消除痕迹,所以,很难说谁没被黑过。尤金卡巴斯基说,我们在这件事上花了好几个月的时间,当初意识到一些奇怪的东西后,就开始展开调查寻求突破口。卡巴斯基实验室首席安全研究员库尔特鲍姆加特纳发布了被入侵的一些指标,并表示者肯定远远不止卡巴这一家。的范围很广,的目标很多,可能有100个。就目前所知,Duqu 2.0曾被用于对最复杂、难度等级最高的目标进行,包括地缘政绩利益。在第一次卡巴斯基实验室的时候使用的是哪种0Day?卡巴斯基实验室在Duqu 2.0中识别出了两到三种0Day手法,目前正在调查者利用了哪些漏洞来对最初的者下手的,亚太区的一位员工认为是通过鱼叉式钓鱼来进行的。鲍姆加特纳(Baumgartner)表示对方利用的可能是CVE-2014-4148,对方可以通过一个Word文档接触到内核。但是目前尚没有确认具体的第一次是如何实施的。赛门铁克也没有什么进展。“问题是,我们还不知道Duqu 2.0感染的载体到底是什么!”,赛门铁克安全响应中心高级经理维克拉姆塔库尔说。 “我们还在调查这次事件的具体细节。”者到底做了什么?尤金卡巴斯基表示,他们还不确定Duqu 2.0的者到底访问了公司的那些信息。“我们还不知道他们究竟想找什么”。塔库尔表示Duqu 2.0最厉害的地方在于他侵入和掩埋痕迹的能力。“它没有在你的电脑上留下任件,重启之后什么都没了”。“这些者有目的的这么做,这样他们还可以随意偷取他想要的东西,一关机,啥都没了。”塔库尔表示他们的团队还在分析恶意软件的模块,他们也还不知道到底者是如何秘密盗取数据(exfiltrated)的。也有安全专家表示,主要还是因为他们不知道到底那些信息被窃取了,所以他们无法准确的找到到底哪些数据和系统被接触过。Bay Dynamics的首席营销官Gautam Aggarwal认为,这些者的目的是在搜寻卡巴斯基Secure OS和Anti-APT产品的漏洞。Duqu 2.0是一个内存(in-memory),他不会增删改任何硬盘上的文件或者系统设置,这才让卡巴斯基的调查举步维艰。如果他们一旦找到卡巴斯基产品的一些漏洞,入侵使用他们产品和解决方案的客户就是轻而易举的事儿了。卡巴斯基实验室调查过2011年那次Duqu木马,这次非常有针对性,他说。这让人感觉APT小组是把卡巴斯基实验室作为Duqu 2.0的一个支点,它可以其内部的防御,然后达到某种目的。直觉告诉我们,卡巴斯基这事儿只是个开始,陆续我们还会看到更多这样的事儿。神秘模块里的ICS/SCADA线索有什么含义?卡巴斯基实验室全球研究和分析团队总监Costin Raiu发布了一条推特,发图片截屏了Duqu 2.0模块的一个文件名,说:“有谁认识Duqu2 模块访问的这些文件名和径吗?来说说”研究人员在研究这些样本的时候在文件名中发现了“HMI”一词,指向ICS / SCADA系统的链接。HMI(human-machine intece)指的是工业产品领域的人机界面。

关键词:未解之谜吧
0
0
0
0
0
0
0
0
下一篇:没有资料

相关阅读

网友评论 ()条 查看

姓名: 验证码: 看不清楚,换一个

推荐文章更多

热门图文更多

最新文章更多

关于联系我们 - 广告服务 - 友情链接 - 网站地图 - 版权声明 - 人才招聘 - 帮助

声明:网站数据来源于网络转载,不代表站长立场,如果侵犯了你的权益,请联系站长删除。

CopyRight 2010-2016 历史风云网- All Rights Reserved

币安app官网下载