Stuxnet - Le funzioni in background [chiusa]

Question

Stuxnet - Le funzioni in background [chiusa]

#1 da (3 voti)

-2

Stuxnet era un worm intelligente che mirava a malfunzionare i controllori logici programmabili sulle reti nucleari (l'Iran era il più colpito). Le reti nucleari erano reti private, non supportate dal protocollo Internet (per ragioni di sicurezza). Stuxnet infetterà i computer con IP. Chiunque abbia collegato un USB, sarebbe stato infettato anche da Stuxnet. L'obiettivo era quello di ottenere qualcuno dalla centrale nucleare per collegare l'USB nel loro computer, quindi nella rete nucleare e quindi la rete nucleare era infetta. (Leggi ulteriori informazioni qui )

La mia domanda è: come si fa a un worm a inviare pacchetti per eseguire byte su un computer senza che l'utente legittimo scarichi Stuxnet? Che tipo di servizio, quale porta, quale tipo di connessione, come viene sfruttato? Come è stato raggiunto anche questo.

Ad esempio, Stuxnet è stato appena inviato su Internet ed eseguito su qualsiasi computer che ha raggiunto, ma l'utente legittimo dei computer non l'ha mai eseguito personalmente. Normalmente, qualsiasi cosa per eseguire sul proprio dispositivo deve essere scaricato. Il virus Trojan Horse deve essere scaricato, ma questo worm no?

Ho notato che sono cose piuttosto avanzate, ma non riesco a capire come funziona

internet network malware virus

posta Shane 11.04.2015 - 06:42

fonte

1 risposta

Leggi altre domande sui tag internet network malware virus

Impedisci a qualcuno di accedere al mio sito web da teamviewer Overflow del buffer basato su stack il programma interpreta lo shellcode da solo

score 3 · Answer 1

how does one make a worm to send packets to execute bytes on a computer without the legitimate user downloading the Stuxnet?

È stato ampiamente pubblicizzato che Stuxnet ha utilizzato almeno quattro vulnerabilità di 0 giorni in Windows per aggirare le misure che altrimenti avrebbero potuto impedire l'esecuzione di codice arbitrario senza che l'utente ne fosse a conoscenza. Queste erano fondamentalmente vulnerabilità sconosciute a Microsoft e alla comunità generale fino a quando Stuxnet non è stato scoperto e analizzato.

Ecco le vulnerabilità di 0day attribuite a Stuxnet:

allows local users or remote attackers to execute arbitrary code via a crafted (1) .LNK or (2) .PIF shortcut file, which is not properly handled during icon display in Windows Explorer

CVE-2010-2568

when printer sharing is enabled, does not properly validate spooler access permissions, which allows remote attackers to create files in a system directory, and consequently execute arbitrary code

CVE-2010-2729

do not properly manage a window class, which allows local users to gain privileges by creating a window, then using (1) the SetWindowLongPtr function to modify the popup menu structure, or (2) the SwitchWndProc function with a switch window information pointer

CVE-2010-2744

does not properly determine the security context of scheduled tasks, which allows local users to gain privileges via a crafted application

CVE-2010-3338

Utilizzo di queste vulnerabilità Stuxnet potrebbe eseguire codice su una macchina remota, elevarne i privilegi, quindi ripetere il ciclo più e più volte. Questo è il modo in cui funziona qualsiasi worm.

Inoltre Stuxnet utilizzava due certificati rubati per firmare i driver di cui Windows si sarebbe fidato, consentendogli di accedere al kernel.

How is this even achieved.

Non potevi usare le stesse vulnerabilità per costruire un worm come Stuxnet oggi, dovresti trovare nuove vulnerabilità. Come puoi immaginare, questi tipi di vulnerabilità sono estremamente rari e preziosi per un utente malintenzionato.

Trojan Horse virus needs to be downloaded, but this worm does not?

Si arriva a economia , se ogni creatore di malware avesse accesso a questo tipo di vulnerabilità, allora sono sicuro che avrebbero creato worm invece di trojan. D'altra parte un Trojan potrebbe essere più economico e altrettanto efficace a seconda dello scenario.

Se stai solo tentando di diffondere l'adware, sarebbe inutile utilizzare una vulnerabilità così preziosa quando puoi convincere un numero significativo di persone a installare il tuo malware semplicemente mostrando loro un banner pubblicitario che dice "Raddoppia la tua RAM oggi! ".

Tuttavia, se il tuo obiettivo è infiltrare le strutture nucleari di un paese straniero, le pubblicità popup non lo taglieranno.