标记为“stuxnet”的条目

第1页共4页

发现新版本的火焰恶意软件

2012年发现火焰,连接到stuxnet,并被认为是美国血统。它最近已链接通过新的分析工具发现不同软件之间的联系,从而实现更现代的恶意软件。

似乎火焰在被发现后并没有消失,正如先前所想。(它的控制器使用一个终止开关来禁用和删除它。)它被重写并重新引入。

注意,这篇文章声称火焰的起源是以色列。那是错误的;大多数有意见的人都相信这是来自国家安全局的。

4月12日发布,2019年上午6:25查看评论

签名恶意软件

Stuxnet以使用合法数字证书签署恶意软件而闻名。A研究论文从去年开始,我们发现更常见比以前想象的要多。

现在,研究人员已经证明数字签名的恶意软件比以前认为的要普遍得多。另外,它早于Stuxnet,第一个已知的例子发生在2003年。研究人员说,他们发现了189个带有有效数字签名的恶意软件样本,这些样本是使用公认的证书权威机构颁发的受损证书创建的,并用于签署合法软件。总共,109份被滥用的证书仍然有效。研究人员,谁在星期三的计算机与通信安全会议,请找到另外136个由合法CA颁发的证书签名的恶意软件样本,尽管签名格式不正确。

结果很重要,因为数字签名软件通常能够绕过用户帐户控制以及其他旨在防止安装恶意代码的Windows措施。伪造的签名也代表了对信任的严重破坏,因为证书向最终用户提供了不可撤销的保证,即软件是由证书中指定的公司开发的,并且没有被其他人修改过。伪造也允许恶意软件逃避防病毒保护。令人惊讶的是,尽管签名无效,但大多数可用AV程序的弱点阻止了它们检测已知的经过数字签名的恶意软件。

2月2日发布,2018年上午6:38查看评论

网络罪犯使用的杜曲恶意软件技术

duqu 2.0是一个真令人印象深刻一个恶意软件,与stuxnet有关,可能由国家安全局编写。它的一个安全特性是,它保持驻留在主机的内存中,而不向系统的驱动器写入持久文件。现在,同样的方法正在使用罪犯:

现在,无文件恶意软件正在成为主流,由于经济上的动机,犯罪黑客模仿他们国家资助的同行。根据卡巴斯基实验室计划于周三发表的研究报告,拥有至少140家银行和其他企业的网络已经受到恶意软件的感染,这些恶意软件依靠相同的内存设计来保持几乎不可见。因为感染很难被发现,实际数字可能要高得多。另一个使感染难以检测的特征是使用合法和广泛使用的系统管理和安全工具,包括PowerShell,请原花斑,请和米米卡茨--…将恶意软件注入计算机内存。

[…]

研究人员在去年年底首次发现了恶意软件,当银行的安全小组发现计量器---metasploit的内存组件-Microsoft的物理内存中域控制器.在进行法医分析之后,研究人员发现MeterPreter代码是使用PowerShell命令下载并注入内存的。受感染的计算机也使用了微软的netsh网络工具将数据传输到攻击者控制的服务器。为了获得进行这些工作所需的管理特权,袭击者还依靠米米米卡兹。为了减少日志或硬盘中留下的证据,攻击者将PowerShell命令存储到Windows注册表中。

博宁博宁邮递.

2月16日发布,2017年上午10:28查看评论

美国还对朝鲜使用了stuxnet。

根据A路透社文章,请除了伊朗,美国军方还试图向朝鲜发射stuxnet:

据一位美国情报来源,Stuxnet的开发人员制造了一种相关的病毒,当它在受感染的机器上遇到韩语设置时,病毒就会被激活。

但美国特工们无法进入平壤核武器项目的核心机器,另一个消息来源说,一位前高级情报官员接受了该项目的简报。

这位官员说,由国家安全局领导的这场运动因朝鲜完全保密而受阻,以及通信系统的极端隔离。

发布于6月1日,2015年上午6:33查看评论

攻击归因与网络冲突

之后的激烈辩论索尼图片泄露让奥巴马政府在网络安全领域与我们中的许多人对抗没有接受华盛顿的要求朝鲜是罪魁祸首。

关于谁入侵索尼的争议,既令人惊讶,也可能有点吓人,首先是它的发生。

但它强调的是,我们生活在这样一个世界,我们无法轻易分辨地下室公寓里的两个人和估计有100亿美元军事预算的朝鲜政府之间的区别。这种模糊性对各国在互联网时代将如何实施外交政策具有深远的影响。

秘密军事行动并不新鲜。恐怖主义很难归类,尤其是国家资助的恐怖主义的阴暗边缘。网络空间的不同之处在于攻击者很容易掩盖自己的身份,以及各种各样的人和机构可以匿名攻击。

在现实世界中,你经常可以通过武器识别攻击者。2006年,以色列袭击了叙利亚的一个核设施。这是一次常规攻击——军用飞机飞过叙利亚并轰炸了核电站——毫无疑问是谁做的。这个速记在网络空间不起作用。

当美国和以色列在2010年攻击伊朗的核设施时,他们用了网络武器他们的参与是多年来的秘密。在互联网上,技术广泛传播能力。从孤独的黑客到罪犯,从假想的网络恐怖分子到国家的间谍和士兵,每个人都在使用相同的工具和战术。网络流量没有返回地址,攻击者很容易通过一些无辜的第三方来掩盖自己的行踪。

虽然现在看来朝鲜的确攻击索尼,它最相似的攻击是由黑客组织匿名组织的成员发起的。反对公司2011年被称为HBGary Federal。同年,其他匿名成员受到威胁的北约,请2014年,还有一些人宣布他们将攻击ISIS.不管你如何看待团队的能力,当一群黑客威胁到一个国际军事联盟时,这是一个新的世界。

即使受害者确实设法将网络攻击归因于它,这个过程可能需要很长时间。美国花了数周时间公开指责朝鲜对索尼的攻击。这是相对较快的;大部分时间可能都花在了寻找如何回应的问题上。中国对美国公司的攻击许多的比较长的属性。

这种拖延使国防政策变得困难。微软的Scott Charney说明这一点:当你受到人身攻击时,你可以召集各种组织来保卫你——警察,军队,在你们国家从事反恐安全工作的人,你的律师。辩护的法律结构取决于两件事:谁在攻击你,为什么呢?不幸的是,当你在网络空间受到攻击时,你经常不知道的两件事是谁在攻击你,为什么呢?

为索尼辩护是谁的工作?是美军的,因为它相信袭击是来自朝鲜?是FBI吗?因为这不是战争吗?是索尼自己的问题吗?因为这是一家私人公司?在最初的几个星期里,当没有人知道袭击者是谁时?这些只是一些我们没有很好答案的政策问题。

当然,索尼需要足够的安全保护自己,不管攻击者是谁,我们都一样。对于网络攻击的受害者,攻击者是谁可以是学者。损失是一样的,不管是几个黑客还是一个国家。

在地缘政治领域,尽管如此,归因至关重要。不仅归因困难,提供任何归因的证据更加困难。因为联邦调查局的很多证据都是机密的由国家安全局提供--它无法解释为什么朝鲜这么肯定地做到了这一点。作为我最近写的:“该机构可能有关于黑客计划过程的情报。可能,说,打电话讨论这个项目,每周PowerPoint状态报告,甚至是金正恩在计划上的签字。任何公开的信息都会揭示国家安全局的“来源和方法”。这是一个非常重要的秘密。

不同类型的归因需要不同程度的证据。在索尼的案例中,我们看到美国政府能够产生足够的证据来说服自己。也许它有必要的额外证据来说服朝鲜,这是肯定的,并通过外交渠道提供。但如果期望公众支持政府的任何报复行动,他们需要足够的公开证据来说服他们。今天,对美国情报机构的信任度很低,尤其是在2003年伊拉克大规模杀伤性武器崩溃之后。

所有这些都意味着我们正处于攻击者和那些想要识别他们的人之间的军备竞赛中:欺骗和欺骗检测。这是一场军备竞赛,美国通过扩展,它的盟友——拥有独特的优势。我们花在电子窃听上的钱比世界上其他国家的总和还要多,我们拥有比其他国家更多的技术公司,互联网的架构确保了世界上大部分的流量通过国家安全局可以窃听的网络。

2012年,当时的美国国防部长利昂·帕内塔公开说美国——大概是国家安全局——在……确定起源”网络攻击。我们不知道这是否意味着他们已经取得了一些基本的技术进步,或者他们的间谍活动非常好,以至于他们在监视计划过程。其他美国政府官员私下里说他们已经解决了归属问题。

我们不知道其中有多少是真实的,多少是虚张声势。事实上,自信地指责朝鲜符合美国的最大利益,即使不确定,因为它向世界其他地方传递了一个强烈的信息:“不要以为你可以躲在网络空间里。如果你尝试什么,我们会知道是你。”

强烈的归因导致威慑。爱德华·斯诺登透露的详细的国家安全局能力有助于解决这个问题,因为他们支持一个几乎无所不知的国家安全局的形象。

不是,不过,这让我们回到了军备竞赛。一个黑客和政府拥有相同能力的世界,政府可以伪装成黑客或其他政府,情报机构收集的大部分归因证据仍然是秘密的,是个危险的地方。

世界各国在欺骗和侦查欺骗方面都有秘密能力,并且一直在努力做到最好。这就是今天的世界,尽管如此,我们需要做好准备。

这篇文章以前出现过基督教科学监视器.

发表于3月9日,2015年上午7:09查看评论

归因于索尼的攻击

没有人承认破坏了朝鲜的互联网。它可能是一个报复的行为美国政府,但它也可能是一个普通的ddos攻击.下一步攻击对索尼PlayStation的比赛显然是工作黑客与政府无关。

不知道是谁做了不新鲜的事。这叫做“归因问题”。它还困扰着互联网安全。但随着政府越来越多地参与网络攻击,它也有政策含义。去年,我写的以下内容:

通常,你可以通过武器确定袭击者是谁。当你看到一辆坦克在你的街道上行驶时,你知道军队参与了,因为只有军队才买得起坦克。网络空间是不同的。在网络空间,技术正在广泛传播其能力,每个人都在使用同样的武器:黑客,罪犯,有政治动机的黑客分子,国家间谍,军队,甚至是潜在的网络恐怖分子。他们都在利用同样的漏洞,使用同样的黑客工具,采取同样的进攻战术,留下同样的痕迹。他们都窃听或窃取数据。他们都参与拒绝服务攻击。他们都在探测网络防御,并尽最大努力掩盖自己的踪迹。

尽管如此,了解攻击者至关重要。作为社会成员,我们有几种不同类型的组织可以保护我们免受攻击。我们可以报警或报警。我们可以拜访我们的国家反恐局和公司律师。或者我们可以用各种商业产品和服务来保护自己。视情况而定,所有这些都是合理的选择。

任何防御行动的法律制度取决于两件事:谁在攻击你,为什么。不幸的是,当你在网络空间受到攻击时,你经常不知道的两件事是谁在攻击你和为什么。并不是所有的东西都可以定义为网络战;我们越来越看到在更广泛的网络冲突中使用的好战战术。这使得国防和国家网络防御政策变得困难。

2007年,以色列空军轰炸和摧毁叙利亚的al-kibar核设施。叙利亚政府立即知道是谁干的,因为飞机很难伪装。2010年,美国和以色列共同破坏了伊朗的纳坦兹核设施。但这次他们用的是网络武器,震网,请直到细节泄露了几年后。中国经常否认它的网络传播活动。2009年针对美国和韩国的网络攻击被归咎于朝鲜,尽管朝鲜可能起源于来自伦敦或迈阿密。

当有可能确定网络攻击的起源时——就像法医专家能够处理许多中国人攻击针对美国网络——这是经过数月详细分析和调查的结果。这种时间框架对攻击的时候没有帮助,当你必须在几毫秒内决定你的网络将如何反应,几天内你的国家将如何反应。这个,在某种程度上,解释了相对的混乱在奥巴马政府内部,如何处理朝鲜问题。美国政府和国际机构的官员根本没有法律或概念框架处理这些类型的场景。

网络空间中,个人行动者和国家政府之间的界限越来越模糊。被称为第一次网络战争,俄罗斯vs.爱沙尼亚2007年,是部分是工作一个20岁的俄罗斯人住在塔林,和部分是工作与俄罗斯政府有联系的亲克里姆林宫青年组织。许多针对西方网络的中国黑客似乎无关联关系与中国政府合作。2011年,黑客组织匿名受到威胁的北约.

当我们无法分辨随机黑客和主要政府之间的区别时,我们生活在一个奇怪的未来,或者当这些随机黑客可以可信地威胁到国际军事组织时。

这就是为什么全世界的人都应该关心索尼黑客。在未来,我们将看到警察之间的传统界线更加模糊,军队,私人行动作为一种技术,广泛地将攻击能力分配给各种行动者。这种归属的困难是留在这里的,至少在可预见的未来。

如果朝鲜负责网络攻击,与一名朝鲜特工闯入索尼办公室的情况有什么不同?复印了很多文件,让公众可以使用它们?是中国企业间谍活动政府要解决的问题,或者我们应该让公司为自己辩护?国家安全局应该保卫美国公司网络,或者只有美国的军事网络?当像国家安全局这样的组织声称有他们不想披露的机密证据时,我们应该允许他们在没有证据的情况下坚持相信他们吗?我们应该如何应对一个政府对他人实施制裁基于这个秘密证据?更重要的是,当我们不知道谁发起攻击或为什么,谁负责回应,在什么法律制度下,这些负责人应该运作?

我们需要弄清楚这一切。我们需要国家指导方针来决定什么时候军队应该介入,什么时候是警察的事情,以及在每种情况下,什么样的比例响应是可用的。我们需要国际协议来界定什么是网络战争,什么不是网络战争。而且,最重要的是现在,我们需要降低所有网络战言论.闯入一家公司的办公室并复印他们的文件不是战争行为,不管是谁干的。两者都不是通过互联网做同样的事情。让我们把重要的话保留下来。

这篇文章以前出现过在theatlantic.com上。

杰克·戈德史密斯已响应对这篇文章。

发表于1月7日,2015年上午11:16查看评论

更多关于stuxnet的信息

拉尔夫·兰格撰写了对Stuxnet的决定性分析:短,流行版本,请和长,技术版本.

Stuxnet不是真正的武器,但是两个。绝大多数的注意力都集中在Stuxnet更小更简单的攻击程序上,即改变离心机转子速度的程序。用来浓缩铀。但第二个和“遗忘”日常生活是一个数量级的更复杂和隐秘。对于那些了解工业控制系统安全性的人来说,这是一场噩梦。奇怪的是,这次更复杂的袭击第一.越简单,只有几年后,人们才发现了更为熟悉的规律,而且发现的时间相对较短。

也:

stuxnet还为未来的攻击者提供了一个有用的蓝图,突出了渗透硬目标的皇家道路。而不是试图通过15个防火墙直接渗透,三个数据二极管,以及入侵检测系统,攻击者通过感染软目标而间接采取行动,合法进入地面零点:承包商。不管这些承包商多么认真地对待他们的网络安全,它当然不符合纳坦兹燃料浓缩设施的保护标准。把恶意软件放在承包商的移动设备和U盘上就足够了,他们迟早会把这些设备运到现场,并连接到纳坦兹最关键的系统上,不受任何守卫的挑战。

任何后续攻击者在考虑攻击硬目标时都会探索这种渗透方法。清醒的现实是,在全球范围内,几乎每一个在一定规模上使用工业控制系统的工业或军事设施都依赖于其承包商网络,其中许多都非常擅长狭义工程任务,但在网络安全方面很糟糕。工业控制系统安全专家多年来一直在讨论内部威胁,无意中帮助部署网络武器的内部人员已经完全不受关注。直到Stuxnet。

尽管stuxnet显然是一个国家的工作——需要大量的资源和大量的情报——未来对工业控制和其他所谓的“网络物理”的攻击系统可能不是。由于攻击者的自我约束,stuxnet的成本特别高。损坏被伪装成可靠性问题。我估计超过50%的stuxnet开发成本都是为了隐藏攻击,其中大部分费用用于超压攻击,这代表了最终的伪装——代价是必须建立一个功能齐全的原型IR-1离心机级联,使用真正的六氟化铀。受到stuxnet启发的攻击者不一定把同样的重点放在伪装上;他们可以希望受害者知道他们受到了网络攻击,甚至可能想公开宣称他们受到了网络攻击。

相关:本月早些时候,尤金·卡巴斯基那个Stuxnet还损坏了一个俄罗斯核电站和国际空间站。

11月29日发布,2013年上午6:18查看评论

Stuxnet比我们想象的要老得多

赛门铁克找到的证据从2005年开始的stuxnet变体。这比我们最初认为的2009年创建日期要早得多。更多在这里在这里.

令人印象深刻的是,美国的网络攻击能力有多先进。那时以色列回来了。

发表于3月15日,2013年5:46 AM查看评论

乔·麦金尼斯的布鲁斯·施耐尔侧边栏照片。