弁財天

ゴフマン「専門家を信じるのではなく、自分自身で考えて判断せよ」

「プロジェクト・サウロン(Project Sauron)」標的型攻撃のトラフィックからイタリア語のキーワードが発見される。 update5

One bug to rule them all: 'State-supported' Project Sauron malware attacks world's top PCs
「ひとつのバグが彼らのすべてを支配する:国策「プロジェクト・サウロン」のマルウェアが世界のトップのPCを攻撃。」w

カスペルスキーがマルウェアのコードに「Sauron」の文字を見つけたので命名。 シマンテックによればチーム「サウロン」は 少なくとも2011年10月から違法データの収集 を開始してる。

カスペルスキー 「ネットすべてのパスワード収集と 感染したPCと刺したUSBスティックから ドキュメントを盗み、キー入力を記録、暗号化キーを盗むような 特定の機能を実行するようにモジュール設計されている。」

「グループは今までおとなしくしていて、今、国家情報機関の職員や組織を目標とするようになった。」

「ストライダー(Strider、Project Sauronの別名)が目標を高度に選択し、 最近シマンテックが7つの独立した機関の36のコンピュータに 感染しているのを発見した。」

「グループの目標にはロシアの多くの組織と個人、中国の航空会社、スウェーデンの機関、ベルギー大使館が含まれる。」

露は電通イージス、 中国の航空会社てエアバスのLENR、ベルギー大使館はSWIFT関連だな。

スウェーデンのターゲットてFILTRAか?w

いやウィキリークスだわ。

「カスペルスキーの感染リストにはルワンダ、イタリア語を喋らない国家なのに 政府の科学研究センター、軍、通信会社、金融機関すべてが目標になっていた。」

イタリア語w

カスペルスキー、 「そのような作戦の複雑さと、機密情報を盗む目的と、犠牲者との共謀や司法機関が彼らに情報を渡すような国家支援がある場合にのみ実行できると考えている。」

「カスペルスキーには正確なデータはないが、プロジェクトサウロンの開発と作戦には いくつものスペシャリストチームが必要で、維持予算はおそらく数百万ドルだろう。」

ぐげ。もろ土人だわ。Flame → Duqu → Stuxnet → ProjectSauron(別名Strider)

12. Does ProjectSauron target isolated (air-gapped) networks?

Yes. We registered a few cases where ProjectSauron successfully penetrated air-gapped networks.

The ProjectSauron toolkit contains a special module designed to move data from air-gapped networks to Internet-connected systems. To achieve this, removable USB devices are used. Once networked systems are compromised, the attackers wait for a USB drive to be attached to the infected machine.

These USBs are specially formatted to reduce the size of the partition on the USB disk, reserving an amount of hidden data (several hundred megabytes) at the end of the disk for malicious purposes. This reserved space is used to create a new custom-encrypted partition that won’t be recognized by a common OS, such as Windows. The partition has its own semi-filesystem (or virtual file system, VFS) with two core directories: ‘In’ and ‘Out’.

This method also bypasses many DLP products, since software that disables the plugging of unknown USB devices based on DeviceID wouldn’t prevent an attack or data leakage, because a genuine recognized USB drive was used.

ネットを隔離してもUSBを媒介して侵入。うーむ。イランのナタンツの遠心分離施設へのStuxnet感染もUSBでしたな。

THE PROJECTSAURON APT.
TECHNICAL ANALYSIS
Global Research and Analysis Team
Version 1.02 (August 9, 2016)

The module spawns one thread, creates a named pipe “\\.\pipe\rpchlp_0”, and waits for connections to that pipe.
ぐは、またしても名前付きパイプ(named pipe “\\.\pipe\rpchlp_0”)
パケットキャプチャー内臓、名前付きパイプ、DNS、HTTPのプラグイン実装。パイプやヌルセッションで裏口を作る。ロジックはluaスクリプトかぁ。 すっげー。 初期のOS/2から最新のAndroidまで詳細に把握してるかんじか。 たしかに国策の開発部隊がどこかに存在するよーですな。 なんつか複数分野のスペシャリストチームの集合体。 2011年10月から活動開始w 名前付きパイプからLUAまで駆使する開発部隊なんてスキル的にかなり絞られるだろう。 しかし国策なので警察は決して動かないってかw

Luaのウィキ
【Luaにおけるテーブル(連想配列)の実装はかなり最適化されており、特にキーに数値のみを使用した場合は、単純な配列としてさらに高速に動作するようになる。】
高速に実行環境をテキスト分析しながら実行するにはLUAかぁ。
これ

function WinMain()
    wcex = WNDCLASSEX:new()
    wcex.cbSize        = WNDCLASSEX.size
    wcex.style         = 0
    wcex.lpfnWndProc   = alien.callback(WndProc, { ret = "long", abi = "stdcall"; "pointer", "uint", "uint", "long" })
    wcex.cbClsExtra    = 0
    wcex.cbWndExtra    = 0
    wcex.hInstance     = nil
    wcex.hIcon         = nil
    wcex.hCursor       = nil
    wcex.hbrBackground = GetStockObject(COLOR_WINDOW+1)
    wcex.lpszMenuName  = nil
    wcex.lpszClassName = CLASS_NAME
    wcex.hIconSm       = nil
 
    RegisterClassEx(wcex())
 
    hwnd = CreateWindowEx(
        0,
        CLASS_NAME,
        WINDOW_NAME,
        WS_OVERLAPPEDWINDOW,
        CW_USEDEFAULT,
        CW_USEDEFAULT,
        640,
        480,
        nil,
        nil,
        nil)
 
    ShowWindow(hwnd, SW_SHOWNORMAL)
    UpdateWindow(hwnd)
 
    msg = MSG:new()
    msg_ptr = msg()
 
    while (GetMessage(msg_ptr, nil, 0, 0) ~= 0) do
        TranslateMessage(msg_ptr)
        DispatchMessage(msg_ptr)
    end
end
スクリプトだけでWindowsのAPIを呼びだして
hwnd = CreateWindowEx()、
while (GetMessage(msg_ptr, nil, 0, 0) ~= 0) do で、
WM_メッセージのイベントループを作ってる。 やるなー。

WindowsのWM_PAINTレベルのイベントループを スクリプト(lua)だけでGUIプログラムを実装できる。

C++とwin32とDirectXとBoostとLuaで作る弾幕シューテイング講座
あ、わかったネトゲ屋だ。
プロジェクト・サウロン→lua→スクリプトからWinAPI呼び出し→DirectX→ゲーム→ネトゲ→CoD
な関連ですな。

投稿されたコメント:

コメント
コメントは無効になっています。