Wirus Stuxnet – zasada działania oraz usuwanie infekcji

Ostatnio dosyć głośno zrobiło się w świecie bezpieczeństwa (nie tylko komputerowego) za sprawą wirusa nazwanego Stuxnet. Przy próbie oceny realnego zagrożenia dla poszczególnych stanowisk warto pozanć jego metody działania w systemie oraz sposoby na wykrycie i usunięcie tego typu trojana.

Stuxnet został wykryty w czerwcu 2010 roku, jest to rodzaj wirusa działającego w systemach Windows. Jego sposób działania daje podstawy aby przypuszczać, że został on najprawdopodobniej stworzony w celu szpiegowania, przeprogramowywania instalacji przemysłowych i w efekcie paraliżu centralnych jednostek w dużych zakładach przemysłowych. Strach przed Stuxnet-em jest tym większy im lepiej uzmysłowimy sobie skale tego problemu – specjalnie napisany wirtualny kod może być przyczyną fizycznych (realnych) zmian w fabrykach, przedsiębiorstwach, a nawet w elektrowniach nuklearnych. Po raz kolejny mamy kolejny dowód na to jak cienka w dzisiejszych czasach jest granica między światem wirtualnym, a rzeczywistością.

Z technicznego punktu widzenia Stuxnet jest nazwą trojana będącego jedynie elementem całego zagrożenia. Komponenty tego trojana złożone są z dwóch zainfekowanych sterowników mrxnet.sys oraz mrxcls.sys, obydwa zrzucane są do katalogu systemowego: System32\drivers\ podczas ataku.

Analiza działania wirusa Stuxnet w wirtualnym środowisku:

 

Stuxnet atakuje m.in. systemy SCADA (ang. Supervisory Control And Data Acquisition) czyli te, które odpowiedzialne są za nadzór przebiegu procesów technologicznych lub produkcyjnych oraz za zbieranie aktualnych danych, sterowanie procesami, alarmowanie oraz za archiwizację danych – w tym przypadku jego celem jest uzyskanie dostępu do systemu operacyjnego Siemens WinCC.
Wirus ten dysponuje dostępem do wprowadzania zmian w Programowalnych Sterownikach Logicznych PLC (ang. Programmable Logic Controller).

Podczas prezentacji na konferencji Virus Bulletin 2010 w Vancouver ekspert ds. bezpieczeństwa w laboratoriach Symantec-a – Liam O’Murchu, za pomocą elektronicznej pompki powietrza podłączonej do kontrolera SIEMENS S7-300 PLC oraz oprogramowania SIMATIC Step 7 – zaprogramował czas pracy pompki aby działała ona przez 3 sekundy od włączenia. Następnie wprowadził do systemu wirusa Stuxnet, który zainfekował kontroler PLC i zmienił wprowadzone wcześniej parametry czasu pracy pompki wydłużając jej czas pracy do 140 sekund powodując pęknięcie balona – w sytuacji gdyby kontroler PLC był podłączony np. do rurociągu, elektrowni atomowej lub znajdował się na międzynarodowych lotniskach – nie trudno wyobrazić sobie konsekwencje.

Liam O’Murchu podczas prezentacji efektu wirusa Stuxnet – VB 2010, Vancouver

Należało by również wspomnieć, że Stuxnet oprócz pierwotnie zidentyfikowanej luki dotyczącej przetwarzania plików LNK oraz PIF wykorzystuje również cztery luki w systemach Windows.

Jedną z nich jest luka MS08-067, którą wykorzystywał również robak Kido (aka. Conficker) na początku 2009 roku. Pozostałe trzy luki nie były wcześniej znane i dotyczą aktualnych wersji systemu Windows.

Kolejną luką wykorzystywaną przez wirusa Stuxnet jest luka, która znajduje się w usłudze Windows Print Spooler. Może ona być wykorzystywana do wysyłania zainfekowanego kodu do komputerów zdalnych powodując rozprzestrzenianie infekcji na komputery wykorzystujące drukarki sieciowe. Po zainfekowaniu komputera podłączonego do sieci Stuxnet próbuje rozprzestrzeniać się na inne komputery.

Infekcja wirusa Stuxnet przebiega etapowo:

W fazie pierwszej, Stuxnet próbuje rozprzestrzenić się poprzez komputery pracujące pod systemami Windows, jednocześnie ukrywając swoją obecność przed oprogramowaniem zabezpieczającym przy wykorzystaniu dwóch znanych i dwóch nieopublikowanych luk bezpieczeństwa. Stuxnet:

• rozprzestrzenia się poprzez dyski wymienne (w systemach z włączona funkcją autostartu po włożeniu nośnika) – komputerowe systemy sterujące urządzeniami przemysłowymi – a już szczególnie strategicznymi, takimi jak np. instalacje nuklearne – nie mają dostępu do Internetu ze względów bezpieczeństwa. Microsoft Windows Shortcut ‚LNK/PIF’ Files Automatic File Execution Vulnerability (BID 41732),
• rozprzestrzenia się w sieciach LAN przy wykorzystaniu luki w usłudze Windows Print Spooler. Microsoft Windows Print Spooler Service Remote Code Execution Vulnerability (BID 43073),
• poprzez System Message Block (SMB aka. Common Internet File System, CIFS), wykorzystując usługę RPC. Microsoft Windows Server Service RPC Handling Remote Code Execution Vulnerability (BID 31874),
• wykonuje kopie i uruchamia swój kod na komputerach zdalnych via udziały sieciowe,
• wykonuje kopie i uruchamia swój kod na komputerach zdalnych pracujących pod kontrolą serwera bazy danych WinCC.

W fazie drugiej Stuxnet szuka jednej rzeczy: stacji roboczej z systemem Windows, która prawie zawsze jest oddzielnym stanowiskiem używanym do monitorowania i kontrolowania Przemysłowych Systemów Kontroli – ICS (ang. Industrial Control Systems), a w szczególności takiej, która działa w oparciu o Programowalny Sterownik Logiczny PLC firmy Siemens. Twórcy Stuxnet-a zdawali sobie sprawę z tego, że tego typu stacje robocze najczęściej są osiągalne dla różnego rodzaju wirusów i malware tylko poprzez nośniki wymienne. Dlatego kiedy Stuxnet znajdzie to czego szuka (specyficzne urządzenie PLC marki Siemens), ukrywa swoją obecność oraz wprowadzone zmiany – zaczyna modyfikować komputerowy system kontroli przemysłowej sabotując przy tym cały system niczym rootkit.

Ponadto Stuxnet wykorzystywał ważne, podpisane cyfrowo certyfikaty – zainfekowane sterowniki wspomniane wyżej były podpisane przez dwie zaufane firmy – Realtek oraz JMicron. Certyfikaty te najprawdopodobniej zostały skradzione (obie firmy posiadają biura w Hsinchu Science Park w Tajwanie).

Biorąc pod uwagę powyższe dane w postaci mapy z ogniskami infekcji Stuxnet-a oraz ogólną statystykę infekcji opublikowaną przez firmę Symantec, obrazującą w procentach ilość infekcji stacji roboczych z zainstalowanym oprogramowaniem Siemens w poszczególnych krajach – można przypuszczać, że głownym celem ataku Stuxnet-a był Iran i najprawdopodobniej jego przemysł nuklearny, a jego twórcom nie zależało na stworzeniu cybernetycznej "bomby atomowej"”, która zniszczy wszystko wkoło, tylko precyzyjnego narzędzia, uaktywnijącego się w określonym środowisku. Nawet chińska agencja Xinhua poinformowała, że obecność Stuxnet-a stwierdzono w komputerach 115 krajów, a w samych Chinach miał zainstalować się na 6 milionach jednostkach roboczych. Mimo takiego spektrum działania Stuxnet wyrządził szkody tylko w jednym kraju – w Iranie. Same irańskie władze przyznały, iż wirus zainfekował w całym kraju przeszło 30 tys. komputerów, w tym sprzęt personelu budowanej elektrowni atomowej w miejscowości Busher.

W chwili zarejestrowania pierwszych doniesień o atakach Stuxnet-a, firmy antywirusowe nie były kompletnie przygotowane na ten rodzaj zagrożenia i wirus ten został oznaczony jako “0-day threat”. Obecnie sprawa wygląda nieco lepiej, wiekszość producentów oprogramowania zabezpieczającego dodała w swoich bazach sygnatur odpowiednią szczepionkę wykrywającą tego robaka.

Specjalistyczna wiedza z zakresu technologii SCADA jak również wiedza z zakresu luk 0-day i legalnych certyfikatów może być dowodem na to, że Stuxnet został stworzony przez zespół wysoce wykwalifikowanych specjalistów posiadających ogromne zasoby i wsparcie finansowe.

Jak zdiagnozować obecność trojana Stuxnet w systemie i jak go usunać?

Jeśli Twoje obecne oprogramowanie zabezpieczające nie wykrywa lub nie jest w stanie usunąć Stuxnet-a, z pomocą przychodzi firma produkująca oprogramowanie zabezpieczające Trend Micro. Opublikowała ona do pobrania darmowy program Sysclean. Program ten wykrywa i usuwa malware z systemu w tym, również rootkit-y takie jak m.in. omawiany trojan Stuxnet.

Po pobraniu i zapisaniu pliku sysclean.exe, należy go uruchomić i pozwolić programowi na pobranie ostatnich aktualizacji ze strony Trend Micro. Po zaktualizowaniu wszystkich komponentów, program nie jest jeszcze gotowy do skanowania, zanim do tego przystąpisz wykonaj następujące czynności:

1. Upewnij się, że posiadasz zainstalowaną ostanią krytyczną łatkę wydaną przez Microsoft oznaczoną jako MS10-046,
2. Odłącz swój komputer od sieci w celu uniknięcia ponownego zainfekowania,
3. Podłącz podejrzany przez Ciebie nośnik danych pod USB. Powinieneś to uczynić aby być pewnym, że USB jest również skanowane przez Sysclean I nie będzie źródłem ponownej infekcji Twojego komputera.

Po tych czynnościach Twój system jest gotowy na skanowanie, uruchom skaner upewniając się, że zaznaczona jest opcja “Automatically Clean Infected Files”. Kliknij na przycisk "Scan" i pozwól programowi na przeskanowanie systemu. Jeśli wcześniej zamknąłeś Sysclean, będziesz musiał raz jeszcze otworzyć folder w którym został on zapisany i uruchomić Sysclean.com raz jeszcze. Wszystkie te wyżej opisane kroki pozwolą Ci usunąć trojana Stuxnet z systemu oraz z nośników USB.

Według Kaspersky Lab, Stuxnet to działający i groźny – prototyp cyberbroni, który doprowadzi do powstania nowego wyścigu zbrojeń na świecie. Tym razem będzie to cybernetyczny wyścig zbrojeń.

Tak czy inaczej jedno jest pewne – bezpieczeństwo światowe nigdy już nie bedzie wyglądało tak samo jak przed pojawieniem się wirusa Stuxnet!

—
Piotr Pawelec

Written by Creer

7 października, 2010 @ 16:55

Napisane w Aktualności, Artykuły, Computers and Internet

Tagged with bezpieczeństwo, bot, conficker, it, kido, siemens, stuxnet, usb, wincc, windows, wirus