Miesiąc: lipiec 2022

Kimon był takim fanem Sparty i jej konstytucji, że nazwał swojego syna Lakedaimonios, co dosłownie oznacza „Sparta” lub „Spartan”. Odesłanie z powrotem do Aten było dla niego ogromnym ciosem, ponieważ tak ciężko pracował, aby kampania została zatwierdzona. Konsekwencje jego powrotu poniósł ostracyzm (zesłanie na wygnanie) przez dziesięć lat. Kimon próbował (bezskutecznie) powrócić dwa lata później, ale ostatecznie został odwołany w 451 r. p.n.e., kiedy Ateńczycy potrzebowali jego doświadczenia, aby pomóc im wynegocjować traktat pokojowy ze Spartą, i wznowił swoją wiodącą rolę w życiu politycznym miasta.

Program ładujący (Jminet7.sys) jest odpowiedzialny za wstrzyknięcie głównej biblioteki DLL (netp191 .pnf) do określonego procesu. Wstrzyknięty proces to zazwyczaj services.exe. Plik Netp191.pnf zawiera ładunek i zaszyfrowany blok danych. Odszyfrowuje dane konfiguracyjne przechowywane w netp192.pnf i sprawdza w nich wartość „żywotności”. Jeśli działa dłużej niż 36 dni, oczyszcza rutynę. W przeciwnym razie nadal działa. Następnie Netp191.pnf wstrzykuje się do jednego z plików

następujące cztery procesy [15]:

1. Explorer.exe
2. IExplorer.exe
3. Firefox.exe
4. Pccntmon.exe

Duqu sprawdza, czy w systemie działają procesy antywirusowe, podobnie jak robi to Stuxnet. Następnie sprawdza procesy wymienione w tabeli 18.2. Jeśli którykolwiek z nich zostanie znaleziony, Duqu wstrzykuje się w ten proces. Wykonuje tę samą procedurę, co w przypadku Stuxneta, włączając w to przechodzenie do funkcji ntdll.dll. Rootkit zapewnia funkcjonalność instalacji i uruchamiania keyloggera. Keylogger  jest dostarczany za pośrednictwem CCS do celu po początkowej infekcji. Keylogger .exe zawiera osadzony plik jpeg, obraz służy tylko do oszukiwania i zawiera zaszyfrowaną bibliotekę DLL. Biblioteka DLL zawiera wywołania funkcji związanych z keyloggerem. Keylogger przechowuje dane w katalogu% TEMP% na komputerze docelowym. Gromadzi następujące dane [17]:

• Dane dotyczące naciśnięć klawiszy
• Informacje o maszynie
• Lista procesów
• Informacje o sieci
• Lista udostępnionych folderów
• Lista komputerów w tej samej sieci
• Zrzuty ekranu

Następnie wysyła zebrane dane do zdalnych systemów CCS przy użyciu protokołów http i https.

Ateńczycy bardzo dobrze wyszli z wojen perskich – zakładając Ligę Deliańską i tworząc rozległe imperium – ale lata, które nastąpiły po 478 r.  p.n.e. nie były tak łaskawe dla Sparty. Spartanie byli wielkimi graczami w tak zwanej Lidze Peloponeskiej. Ta luźna grupa miast, w tym Korynt i Elis, połączyła siły, by stawić czoła zagrożeniu perskiemu w latach 480. p.n.e. Po pokonaniu Persji w 478 r. p.n.e. liga się rozpadła, a Spartanie nie byli w stanie wezwać członków ligi o wsparcie w taki sposób, jak Ateńczycy zrobili z Ligą Deliańską. Pod wieloma względami 464 r. p.n.e. był annus horribilis Sparty (okropny rok). W tym roku Sparta doznała ogromnego trzęsienia ziemi, które spowodowało ogromne zniszczenia miasta i śmierć wielu ludzi. Po trzęsieniu ziemi cierpliwa populacja helotów wykorzystała szansę na bunt. Spartanom udało się odzyskać i przygwoździć zbuntowanych helotów na górze Ithome, gdzie zbudowali ufortyfikowane obozowisko, które ostatecznie stało się miastem. Był to ogromny problem dla Spartan, ponieważ populacja helotów była ogromna – co najmniej pięciokrotnie większa niż liczba obywateli spartańskich. W tym momencie Spartanie zaapelowali do innych greckich miast – w tym do Aten – o pomoc w przeprowadzeniu ostatecznego ataku na obóz helotów.

Duqu wykorzystuje lukę w zabezpieczeniach dokumentów programu Microsoft Word. Dokument Word zawiera exploita jądra typu zero-day, który umożliwia atakującym zainstalowanie Duqu na komputerze bez wiedzy użytkownika. Sam proces instalacji jest bardzo długi i można go podzielić na dwie części: (1) wykorzystaj kod powłoki i (2) instalator.

1. Wykorzystaj kod powłoki. Gdy tylko dokument Word, którego dotyczy problem, zostanie otwarty, uruchamiany jest exploit. Ten exploit zawiera kod powłoki trybu jądra, który najpierw sprawdza, czy komputer jest już zagrożony, czy nie. Jeśli został już przejęty, kod powłoki kończy działanie. Jeśli komputer nie został jeszcze zainfekowany, kod powłoki odszyfrowuje dwa pliki wykonywalne z dokumentu programu Word: (a) plik sterownika i (b) bibliotekę DLL instalatora. Następnie wykonanie jest przekazywane do pliku sterownika, który następnie wstrzykuje kod do services.exe. Następnie kod wykonuje bibliotekę DLL instalatora. Następnie kod powłoki wymazuje się z pamięci.

2. Instalator. Instalator odszyfrowuje od siebie trzy pliki: (a) główną bibliotekę DLL Duqu, (b) plik sterownika .sys, który jest punktem ładowania uruchamianym przez Duqu po reboot i (c) plik konfiguracyjny instalatora. Plik konfiguracyjny instalatora zawiera dwa znaczniki czasu reprezentujące czas instalacji. Zakończy się, jeśli zostanie wykonany poza tym przedziałem czasowym. Instalator przekazuje wykonanie do głównej biblioteki DLL, przechodząc do ntdll.dll w taki sam sposób, jak w Stuxnecie. Po instalacji na dysku pozostały tylko trzy pliki: sterownik, zaszyfrowana główna biblioteka DLL i jej plik konfiguracyjny.

Zawsze prawdopodobne było starcie Aten ze Spartą. Od czasu ostatecznej klęski Persów w 478 r. p.n.e. różne państwa greckie walczyły o dominację. Ze wszystkich stanów Ateny i Sparta były najlepiej przygotowane do przejęcia władzy. Spartanie były rywalami z kilku powodów:

* Historycznie Spartanie byli przywódcami wojskowymi Greków, a Ateńczycy byli siłą założycielską Ligi Deliańskiej i wykorzystywali tę jednostkę polityczną do budowy imperium.

* Politycznie Ateny były demokracją uczestniczącą, ale Sparta była rządzona przez dominującą arystokrację i miała dwóch królów oraz grupę eforów (nadzorców), którzy kierowali państwem.

* Kulturowo Ateny rozwinęły się w artystyczną stolicę świata greckiego, a Sparta była surową, wojenną cywilizacją, która mocno trzymała się swoich surowych i zdyscyplinowanych zasad.

Ateny i Sparta miały wiele różnic, ale to, co ich łączyło, to agresywna polityka zagraniczna wobec innych greckich miast i miasteczek i zdobywali kontrolę nad coraz większą ich liczbą, kiedy tylko mogli. Podobnie jak Stany Zjednoczone i ZSRR w XX wieku, Ateny i Sparta stały się zbyt duże, aby nie być rywalami. I podobnie jak zimna wojna w ubiegłym stuleciu, każda konfrontacja między rywalami miała potencjał, by być brutalna, ostateczna i mieć ogromny koszt ludzki.

W szkodliwym oprogramowaniu Duqu znajdują się następujące trzy grupy komponentów.

1. Narzędzie Keylogger (keylogger.exe)
2. Grupa Jminet7 (grupa sterowników Jminet7.sys)
3. Grupa CMI4432 (grupa sterowników CMI4432.sys)

Te trzy grupy komponentów przedstawiono na rysunku

Narzędzie Keylogger to samodzielny plik wykonywalny, który nie wymaga wcześniejszej instalacji. Zawiera bibliotekę DLL, która jest wewnętrznie zaszyfrowana i zapewnia funkcje keyloggera. Główny keylogger wstrzykuje i kontroluje procesy keyloggera. W rejestrze zdefiniowana jest usługa, która ładuje sterownik Jminet7.sys podczas uruchamiania systemu Windows. Ten sterownik ładuje dane konfiguracyjne i wstrzykuje ładunek DLL netp191.pnf do procesu systemowego. Dane konfiguracyjne są przechowywane w pliku netp192.pnf, który jest zaszyfrowanym plikiem konfiguracyjnym. Podobnie w rejestrze definiowana jest usługa, która ładuje sterownik CMI4432.sys podczas procesu uruchamiania systemu Windows. Ten sterownik wprowadza ładunek DLL CMI4432.pnf do procesu systemowego, a dane konfiguracyjne są przechowywane w zaszyfrowanym pliku konfiguracyjnym CMI4464.pnf. Grupy Jminet7.sys i CMI4432.sys różnią się tylko ładunkiem. CMI4432.sys zawiera ważny podpis cyfrowy tajwańskiego producenta C-Media

Tukidydes, Ateńczyk napisał historię wojny między Atenami a Spartą.”. . . w przekonaniu, że będzie to wielka wojna, o której warto pisać bardziej niż te, które miały miejsce w przeszłości.” – Tukidydes, Historia wojny peloponeskiej.

Wojna peloponeska trwała ponad 30 lat. Kiedy zaczęło się w 431 pne, Ateny i Sparta były prawie niekwestionowane jako dwa dominujące miasta-państwa w całej Grecji. Ateny miały swoje międzynarodowe imperium i dominującą flotę, a Sparta kontrolowała duże obszary Grecji kontynentalnej i jej słynną armię. Pod koniec wojny obie strony znalazły się w sytuacji, z której nigdy tak naprawdę się nie podniosły. W zasadzie ich czas minął. Wojna peloponeska położyła kres jednej epoce starożytnej Grecji.

Duqu to złośliwe oprogramowanie komputerowe, które jest bardzo podobne do Stuxneta; jednak Duqu został napisany w innym celu. Wykryte we wrześniu 2011 r. Złośliwe oprogramowanie nazywa się Duqu, ponieważ zawiera pewne komponenty wykradające informacje, które tworzą w zainfekowanym systemie pliki o nazwach rozpoczynających się od ciągu „~ DQ”. Celem firmy Duqu jest zbieranie informacji od producentów infrastruktury przemysłowej i systemów w celu przeprowadzenia procesu potencjalnego przyszłego atak. Podobnie jak Stuxnet, dotyczy tylko systemów opartych na MS Windows. Ponadto ma budowę modułową. Można go również przekonfigurować z poziomu CCS. Szkodliwe oprogramowanie jest przeznaczone do samodzielnego usuwania po 36 dniach.

Na rozprawie wstępnej w sądach ateńskich obie strony przedstawiały swoje stanowisko. W tym momencie podjęta zostanie próba rozwiązania problemu, ponieważ wyznaczony arkhon zachęcałby obie strony do negocjacji. Jeśli to się nie powiedzie, wszelkie fizyczne dowody zostaną zapakowane i przekazane arkhonowi, a on wyznaczy datę procesu, która może nastąpić za kilka tygodni lub nawet miesięcy w przyszłości. Na rozprawie zegar wodny mierzył czas trwania postępowania tak, że żadna ze stron nie mogła dominować i obie miały wystarczająco dużo czasu na przedstawienie swojej sprawy. Obie strony przedstawiły swoje dowody, a następnie ława przysięgłych głosowała. Jeśli ława przysięgłych wydała wyrok skazujący, ponownie głosowała nad formą kary. Bardzo często prokuratura sugerowała własną karę w trakcie procesu. Najczęściej kara przysięgłych była grzywna. Trzy najcięższe kary to śmierć, wygnanie (wyrzucenie z miasta na czas nieokreślony lub na określony czas, podczas którego prawa obywatelskie zostałyby utracone) lub atimia. Atimia polegała na odebraniu praw obywatelstwa ateńskiego. Chociaż ludzie mogli nadal mieszkać w Atenach, nie mogli już uczestniczyć w żadnych oficjalnych funkcjach. Ateńczycy często nazywali atimię stanem „żywej śmierci”. Przewodniczący archon był odpowiedzialny za dopilnowanie wykonania kar oraz uczestniczył i nadzorował egzekucje.

Rysunek pokazuje żywotność działania Flame’a, począwszy od wejścia do systemu, aż do użycia komendy kill.

Początkowo wchodzi przez aktualizację systemu Windows lub USB. Po ponownym uruchomieniu ładuje główny moduł Mssecmgr.ocx, który może być w większej lub mniejszej wersji. Mniejsza wersja wyodrębnia inne moduły za pośrednictwem serwerów dowodzenia i kontroli. Moduły te wykonują swoje funkcje i wysyłają zebrane dane do CCS, a na koniec usuwa wszystkie ślady z systemu, wykonując komendę kill. Flame wykorzystuje słabość starej kryptograficznej funkcji skrótu MD5, aby udawać legalną aktualizację systemu Microsoft Windows. Flame wykorzystuje również lukę w zabezpieczeniach bufora drukarki i zadania zadań zdalnych, które zostały już wykorzystane przez złośliwe oprogramowanie Stuxnet. Początkowy punkt wejścia Flame jest nieznany, ale istnieje możliwość wykorzystania przez niego luki MS10-033 [14]. Ta luka może pozwolić na zdalne wykonanie kodu, jeśli użytkownik otworzy specjalny plik multimedialny lub otrzyma specjalnie spreparowaną zawartość strumieniową z witryny sieci Web lub dowolnej aplikacji dostarczającej treści internetowe. Flame użył ataku typu man-in-the-middle na inne komputery w sieci. Gdy system próbuje połączyć się z usługą aktualizacji Microsoft Windows, przekierowuje połączenie przez zainfekowany system i wysyła fałszywą szkodliwą aktualizację systemu Windows dla klienta. Dwa z trzech certyfikatów unieważnionych przez firmę Microsoft w tej aktualizacji korzystały ze schematu mieszania MD5, który jest podatny na kolizje. Firma Microsoft przypadkowo wystawiła certyfikaty, których można użyć do podpisania kodu przy użyciu nieaktualnych szyfrów. W ten sposób autorom Flame udaje się sprawić, że złośliwe oprogramowanie wygląda tak, jakby pochodziło od firmy Microsoft. Złośliwe oprogramowanie rozprzestrzenia się również przez lukę w programie buforującym drukarki za pośrednictwem sieci LAN, exploita „.lnk” lub przy użyciu pliku „.BAT”. Podczas następnego rozruchu systemu główny moduł (mssecmgr.ocx) jest automatycznie ładowany przez system operacyjny. Po zaktualizowaniu rejestru systemu Windows mssecmgr.ocx wyodrębnia dodatkowe moduły, które są obecne w postaci zaszyfrowanej i skompresowanej, i instaluje je. Po zakończeniu instalacji mssecmgr.ocx ładuje dostępne moduły i uruchamia wiele wątków w celu zaimplementowania kanału do hosta CCS i interpretera Lua.