Quantcast
Channel: hikol@Tumblr
Viewing all articles
Browse latest Browse all 16678

"Q:Stuxnetは何故、これほど複雑であると考えられているのか?A:同ワームは複数の脆弱性を利用し、自身のドライバをシステムにドロップするためだ。Q:同ワームは、自身のドライバをどのようにインストール..."

$
0
0
“Q:Stuxnetは何故、これほど複雑であると考えられているのか?
A:同ワームは複数の脆弱性を利用し、自身のドライバをシステムにドロップするためだ。

Q:同ワームは、自身のドライバをどのようにインストールし得るのか? ドライバはWindowsで動作するには、署名されている必要があるのではないか?
A:Stuxnetドライバは、Realtek Semiconductor Corpから盗まれた証明書により署名されていた。

Q:証明書をどのように盗むのか?
A:おそらくマルウェアが署名ファイルを探し、キーロガーを使用して、タイプされた時にパスフレーズを集めるのだろう。あるいは、押し入り、書名の道具を盗み、パスフレーズを総当たりする。

Q:盗まれた証明書は取り消されているのか?
A:Verisignが、7月16日に取り消した。JMicron Technology Corporationから盗まれた証明書で署名された亜種が、7月17日に発見された。

Q:RealtekとJmicronにはどんな関係があるのか?
A:関係はない。しかし、両社は台湾の同じオフィスパーク内に本社がある。奇妙なことだ…

Q:Stuxnetはどのような脆弱性を利用するのか?
A:Stuxnetは全般的に、5種の脆弱性を利用する。そのうちの4種はゼロデイだ

  •  LNK (MS10-046)
  •  印刷スプーラー (MS10-061)
  •  Serverサービス (MS08-067)
  •  キーボードレイアウトファイルを介した権限昇格(MS10-073
  •  Task Schedulerを介した権限昇格

Q:Microsoftがこれらにパッチを当てているのでは?
A:権限昇格の脆弱性2種のうち1つは修正された。最後に残っている脆弱性のパブリックエクスプロイトは、11月にリリースされた。

Q:「Stuxnet」の作者は、自身のゼロデイ脆弱性を見付けたのか、あるいはブラックマーケットで購入したのか?
A:分からない。

Q:そのような脆弱性はどのくらい高価なのか?
A:様々だ。Windowsのポピュラーなバージョンで、単一のリモートコード実行を行うゼロデイは5万ドルから50万ドルの間だろう。”

- エフセキュアブログ : 「Stuxnet」再び:質疑応答

Viewing all articles
Browse latest Browse all 16678

Trending Articles