Miesiąc: lipiec 2022

Nie udawaj Greka! Spotkanie z VIP-ami: Bardzo ważni politycy

Mimo pełnej demokracji panującej w Atenach niektórzy obywatele byli ważniejsi niż inni. Pod wieloma względami prawdziwymi przywódcami ludu ateńskiego była Rada Aereopagus, dziewięciu arkhonów wybieranych co roku. Rada została tak nazwana, ponieważ spotkała się w przestrzeni znanej jako „urwisko Ares” między wzgórzem Akropolu a Pynx. Choć spotykali się na własną rękę, archonci ci uczestniczyliły również we wszystkich spotkaniach bule i ekklesia. Solon zdecydował w 594 r. p.n.e., że tylko dwie osoby z dwóch najwyższych klas majątkowych mogą kiedykolwiek zostać arkhonami. Sięgając początków Aten, dawni arkhonowie automatycznie stawali się częścią Rady Aereopagus. Początkowo rada zarządzała większością spraw miasta, ale stopniowo większość tych obowiązków przejmowała ekklesia i bule. Aereopagus stał się sądem rozpatrującym poważne przestępstwa kryminalne. Arkhons i strategoi (wybierani generałowie) byli najbardziej dominującymi ludźmi w Atenach. Byli bardzo wpływowi w ekklesii, ale ich wpływ nie wynikał z lęku ludzi przed ich władzą. Wyróżnienie tych ludzi wynikało raczej z tego, że byli doskonałymi mówcami, którzy wiedzieli, jak pracować z publicznością i przekonać ludzi do głosowania na ich pomysły. Jednym z najbardziej godnych uwagi VIP-ów był Perykles. Był zaangażowany w zmiany, które ograniczyły uprawnienia Rady Aereopagus, ale dokonał także znaczących zmian w innym wielkim chlubie starożytnych Aten – systemie ławy przysięgłych.

Zaufanie w Cyberspace : Stuxnet: Architektura i organizacja

Architektura Stuxneta jest jedną z najbardziej wyrafinowanych. Stuxnet składa się z dużego pliku dynamicznie połączonej biblioteki (DLL) z rozszerzeniem typu „.dll”, który zawiera około 32 eksporty i 15 zasobów. Dropper Stuxnet to plik o nazwie ~ WTR4132.TMP, zawierający wszystkie powyższe elementy w określonej sekcji pliku o nazwie „stub”. Rysunek  przedstawia cykl życia operacji Stuxneta, który przedstawia kluczowe operacje podczas ładowania Stuxneta.

Najpierw ładuje plik o nazwie ~ WTR4141.TMP, a następnie inny plik DLL ~ WTR4132.TMP.

Plik ~ WTR4132.TMP ładuje główny plik Stuxnet.dll. Poniżej omówiono ważne funkcje wywoływane przez ładowanie tych plików. Zewnętrzny dysk USB zainfekowany robakiem Stuxnet zazwyczaj zawiera sześć następujących plików [5], których funkcje wyjaśniono w następujący sposób:

  1. ~ WTR4141.TMP
  2. ~ WTR4132.TMP
  3. „Kopia skrótu do .lnk”
  4. „Kopia kopii skrótu do .lnk”
  5. „Kopia kopii kopii skrótu do .lnk”
  6. „Kopia kopii kopii kopii skrótu do .lnk”

Stuxnet rozprzestrzenia się na wszystkie dyski wymienne, upuszczając pliki skrótów (.lnk), które są automatycznie uruchamiane, gdy dostęp do dysku wymiennego uzyskuje się za pomocą aplikacji wyświetlającej ikony skrótów. Dysk zewnętrzny zawiera również kopię skrótu do tego pliku „.lnk”. Zawiera również kopię kopii tego skrótu, kopię kopii kopii tego skrótu, a także kopię kopii kopii kopii tego skrótu

~ WTR4141.TMP

Zaraz po załadowaniu tego pliku przechwytuje on szereg funkcji zarówno w kernel32.dll, jak i ntdll.dll. W kernel32.dll wywoływane są następujące funkcje: (1) FindFirstFileW (.), (2) FindNextFileW (.) I (3) FindFirstFileExW (.). Funkcje wywoływane z pliku ntdll.dll to NtQueryDirectoryFile (.) I ZwQueryDirectoryFile (.).

~ WTR4132.TMP

~ WTR4132.TMP to plik DLL załadowany do pliku explorer.exe. Po załadowaniu rozpoczyna wykonywanie, wyszukując w nim sekcję o nazwie „.stub”. Ta sekcja .stub zawiera główny plik .dll, który zawiera wszystkie funkcje i mechanizmy, takie jak rootkity. Następnie ładuje główny plik .dll, najpierw przydzielając bufor pamięci, a następnie poprawiając sześć plików ntdll.dll o następujących nazwach:

  1. ZwMapViewOfSection (.)
  2. ZwCreateSection (.)
  3. ZwOpenFile (.)
  4. ZwZamknij (.)
  5. ZwQueryAttributesFile (.)
  6. ZwQuerySection (.)

Te poprawki powodują, że plik DLL jest ładowany nie z dysku twardego, ale z pamięci. Kolejność ładowania plików i cały cykl życia szkodliwego oprogramowania Stuxnet pokazano na rysunku .