Wie sich Stuxnet (PLC-Virus) ausbreitet - Teil 3

Mikko Hypponen: Fighting viruses, defending the net (Juli 2019).

$config[ads_text] not found
Anonim

Fortsetzung von Wie sich Stuxnet (PLC-Virus) ausbreitet - Teil 2 » Lesen Sie hier

Das Netzwerk kompromittieren

Wie könnte ein Wurm wie Stuxnet angesichts des oben beschriebenen, gut abgesicherten industriellen Kontrollsystems den ganzen Weg bis zu den SPSen durchdringen? Aber klar hat es das getan - Siemens berichtet, dass es mindestens 22 Standorte kennt, die infizierte Kontrollsysteme erlebt haben und sicherlich gab es andere Sites, wie zum Beispiel Sites mit Produkten anderer Hersteller, die Infektionen nicht an Siemens gemeldet hätten. Mögliche Antworten auf diese Frage sind das Ziel dieses Papiers.

Nehmen Sie für diese Analyse an, dass das Datum der 1. Mai 2010 ist. Zu diesem Zeitpunkt wurde der Stuxnet-Wurm im Laufe von etwa 12 Monaten in seine ausgereifte Form verfeinert, wobei die Verknüpfung oder LNK-Schwachstelle anstelle von "autorun.inf" verwendet wurde propagieren über USB-Laufwerke. Für die vom Wurm verwendeten Zeroday-Schwachstellen gab es keine Patches. Für den Wurm gab es keine Antivirensignaturen.

Keine Sicherheitsforscher wussten, dass der Wurm existierte. Angesichts der Vielzahl von Verbreitungstechnologien, die dem Wurm zur Verfügung stehen, würden viele Szenarien dazu führen, dass das im vorherigen Abschnitt beschriebene Netzwerk aus dem Stand der Technik kompromittiert wird.

Die folgende Diskussion zeigt, wie das Ziel-ICS infiltriert werden konnte. In jedem Stadium werden auch alternative Wege genannt.

Abbildung 5: Kompromittierung der Netzwerke der Site

Anfängliche Übergabe des Wurms v

v - Eine Analyse von Symantec zeigt, dass der Wurm ursprünglich von seinen Entwicklern an mindestens fünf verschiedene Organisationen im Iran übergeben wurde. Mehrere dieser Organisationen wurden wiederholt über einen Zeitraum von einem Jahr ins Visier genommen.

In unserem Hauptszenario kehrt ein Mitarbeiter eines Unternehmens von einem Besuch außerhalb des Werks zu einem Unternehmen mit einem infizierten USB-Flash-Laufwerk zurück. Der Mitarbeiter hat das infizierte Laufwerk absichtlich von einem Saboteur erhalten, der bei der Auftragnehmereinrichtung angestellt ist.

Alternative Wege: Das infizierte Laufwerk wurde möglicherweise einfach an den Auftragnehmer gerichtet, mit der Annahme, dass der Wurm schließlich auf den Zielstandort übertragen wird. Die meisten Beziehungen zwischen Auftragnehmer und Kunden sind in der Branche bekannt, was die Auswahl eines geeigneten Auftragnehmers relativ einfach macht. Die erste Übergabe des Wurms an einen Mitarbeiter der Zielfirma könnte auch auf Branchenmessen stattfinden. Kostenlose "gebrandete" USB-Flash-Laufwerke werden häufig als Give-Aways von Anbietern oder als Alternative zu CD's zur Verteilung von Konferenzmaterial verwendet.

Im vergangenen Jahr wurde einem der Autoren dieses Papiers ein "neues" USB-Laufwerk auf einer großen Messe für Kontrollgeräte geschenkt. Das USB-Laufwerk wurde infiziert!

Der Wurm könnte auch durch eine gezielte E-Mail, die ein spezielles Tropferprogramm zur Installation von Stuxnet enthielt, an die Organisation gesendet werden. Zum Beispiel konnten die Autoren einen Proof-of-Concept-Dropper für Stuxnet erstellen, der auf einem infizierten PDF basiert.

Infektion des anfänglichen Unternehmens-Computers

Sobald der Mitarbeiter das infizierte USB-Flash-Laufwerk in seine Arbeitsstation einlegt und mithilfe von Windows Explorer zum Laufwerk navigiert, wird die Arbeitsstation sofort infiziert. Antivirus auf der Workstation generiert keine Warnungen, da zu diesem Zeitpunkt keine Signaturen für den Stuxnet-Wurm vorhanden sind. Die Tatsache, dass die Arbeitsstation vollständig gepatcht wurde, ist nicht hilfreich, da die LNK-Schwachstelle in Verknüpfungsdateien, die der Wurm zur Infektion der Maschine verwendet, zu diesem Zeitpunkt keinen Patch enthält. Auch die Eskalation von Sicherheitsanfälligkeiten, die der Wurm verwendet, um auf der Arbeitsstation Zugriff auf Systemebene zu erhalten. Der Wurm kann auch sogenannte "Rootkit" -Software installieren, die die Dateien versteckt, die der Wurm beim Durchsuchen des infizierten Flash-Laufwerks verwendet.

Alternative Wege: Die Erstinfektion eines Computers im Zielfirmennetz könnte auch durch den Auftragnehmer erfolgen, der infizierte PLC-Projektdateien liefert. Aufgrund der Art der Beziehungen zwischen Auftragnehmer und Kunden und der Notwendigkeit einer kontinuierlichen Zusammenarbeit werden verschiedene Projektdateien zwischen den Teammitgliedern frei ausgetauscht. Diese Dateien enthalten nicht nur die PCS 7-Projektdateien, auf die der Stuxnet-Wurm zurückgreifen könnte, sondern auch andere potenziell gefährdete Dateiformate, einschließlich Zeichnungs-, Tabellenkalkulations-, Datenbank- und PDF-Dateien, die zukünftige Würmer nutzen könnten.

Es ist unwahrscheinlich, dass die Übertragung dieser Dateien vollständig verhindert werden kann, da viele für den Konstruktionsprozess unentbehrlich sind.

Weitergabe an andere Unternehmenscomputer

Wie bereits erwähnt, ist Stuxnet in einem Netzwerk so konzipiert, dass es sich aggressiv verbreitet. Innerhalb weniger Stunden würde sich der Wurm wahrscheinlich auf Druckerserver und Dateiserver im Enterprise Control Network ausbreiten, die direkt oder indirekt mit der kompromittierten Workstation verbunden sind.

An diesem Punkt kann der Wurm schlummern und neue USB-Sticks infizieren, wenn sie in kompromittierte Geräte eingesetzt werden. Er wartet darauf, dass jemand ein solches Flash-Laufwerk und den Wurm in ein geschütztes Netzwerk mitnimmt. Alternativ dazu kann es neue Befehle von einem Befehls- und Kontrollserver anfordern - siehe Abschnitt "Peer-to-Peer-Netzwerk" unten. Alle Mitarbeiter, die infizierte Flash-Laufwerke mit sich führen und verwenden, würden nicht bemerken, dass der Wurm auf ihren Laufwerken installiert ist, da das Rootkit die Dateien des Wurms vor dem Benutzer versteckt.

Alternative Wege: Einige zusätzliche alternative Pfade für Infektionen des Enterprise Control Network beinhalten:

  • Der Mitarbeiter hat möglicherweise während des Besuchs eines Auftragnehmers ein "genehmigtes" externes Laufwerk an eine infizierte Maschine angehängt und dieses Laufwerk anschließend wieder in das Unternehmensnetzwerk zurückgebracht.
  • Der Mitarbeiter hat möglicherweise seinen Laptop mit einem kompromittierten Netzwerk an einem anderen Standort verbunden und damit den Laptop infiziert und anschließend bei seiner Rückkehr mit dem Enterprise Control Network verbunden.
  • Möglicherweise hat ein Auftragnehmer die Website besucht und eine kompromittierte externe Festplatte in das Standortnetzwerk gebracht und dort verwendet.
  • Ein Auftragnehmer hat die Website möglicherweise besucht und einen kompromittierten Laptop im Standortnetzwerk mitgebracht und verwendet.
  • Ein Auftragnehmer oder Mitarbeiter einer anderen Einrichtung hat möglicherweise eine Dateifreigabe an dieser Site über das WAN verwendet und somit das Enterprise Control Network kompromittiert.

Eindringen in das Perimeter-Netzwerk

In unserem Hauptszenario gehen wir davon aus, dass eine der Arbeitsstationen im Enterprise Control Network einem Mitarbeiter gehört, der gelegentlich mit der Person interagiert, die den Historian-Server im Perimeter-Netzwerk verwaltet. Wie in der Branche üblich, verfügt der Manager über eine Dateifreigabe, die auf seiner Arbeitsstation konfiguriert ist, ebenso wie die meisten Mitarbeiter in dieser Gruppe.

Das Leitsystemteam verwendet die Freigaben auf ihren eigenen Arbeitsstationen, um große Dateien über das Enterprise Control Network auszutauschen, anstatt die Dateien über die platzbegrenzten Dateiserver im Enterprise Control Network auszutauschen. Natürlich sind nur bestimmte Domain-Accounts erlaubt
greifen Sie auf diese Aktien zu. Stuxnet verwendet die Domänenanmeldeinformationen des auf dem kompromittierten Computer angemeldeten Benutzers, um eine Kopie von sich selbst an die Arbeitsstation des Managers zu senden, und aktiviert diese Kopie, wodurch diese Arbeitsstation kompromittiert wird.

In vielen Kraftwerken würde der Historian-Manager routinemäßig von seinem Arbeitsplatz aus über einen VPN auf den Historian-Server WinCC Central Archive Server (CAS) von Siemens zugreifen.

In der Regel verwendet der Administrator sowohl die Webschnittstelle als auch den Siemens OS-Client für den Historian, um auf den CAS-Server zuzugreifen. Die Webschnittstelle bietet eine Ansicht der Funktionen, die der Historian den Benutzern zur Verfügung stellt, und der Betriebssystemclient ermöglicht dem Administrator den Zugriff auf erweiterte Funktionen des Historian, die hauptsächlich für Konfigurations- und Administrationsaufgaben verwendet werden.

Da die Workstation des Managers nun kompromittiert ist, kontaktiert der Stuxnet-Wurm die lokale Instanz der SQLServer-Datenbank "client" auf der kompromittierten Workstation und erkennt die Verbindung der OS-Clients zur WinCC-Datenbank, die als Teil aller CAS-Server installiert ist. Der Wurm kontaktiert die WinCC SQLServer-Datenbank auf dem CAS-Server und verbreitet sich über diese Datenbankverbindung zum CAS-Server im Perimeter-Netzwerk. Der Wurm installiert sich auf dem CAS-Server, indem er sowohl den Inhalt der CAS-Datenbank als auch gespeicherte Prozeduren innerhalb der Datenbank manipuliert. Der Wurm hat jetzt im Perimeter-Netzwerk Fuß gefasst.

Alternative Wege: Einige alternative Infektionswege des Perimeter Network beinhalten:

    • An vielen "echten" Standorten werden die Perimeter-Netzwerk-Hosts nicht routinemäßig gepatcht. Daher ist jede VPN-Verbindung von einem kompromittierten Host im Enterprise Control Network zu einem Host im Perimeter-Netzwerk mit der üblichen Windows RPC-Kommunikation gefährdet. Insbesondere jeder Host im Perimeter-Netzwerk ohne Patch für die Sicherheitslücke MS08-067 2008 würde den Wurm in das Perimeter-Netzwerk eindringen lassen.
    • Obwohl die Sicherheitsempfehlungen von Siemens nicht eingehalten werden, ist es nicht ungewöhnlich, dass die VPN-Verbindungen von Workstations des Enterprise Control Network zum Perimeter-Netzwerk die Kommunikation nicht auf bestimmte Ports und Hosts beschränken. Häufig können Workstations mit VPN-Verbindungen zum Perimeternetzwerk mit jedem Port auf jedem Host im Perimeter-Netzwerk kommunizieren. In solchen Fällen gefährdet jede Workstation des Enterprise Control Network mit einer VPN-Verbindung zum Perimeter-Netzwerk jeden Server oder jede Workstation im Perimeter-Netzwerk, wenn die Dateifreigabe aktiviert oder ein Drucker angeschlossen ist.
    • Ein Auftragnehmer oder Anbieter, der einen Remote-Zugriffsmechanismus verwendet, um Unterstützung bei der Unterstützung von Hosts im Perimeter-Netzwerk bereitzustellen, kann von einem kompromittierten Laptop oder einer betroffenen Arbeitsstation aus auf dieses Netzwerk zugreifen. Wenn der Auftragnehmer mit freiliegenden Dateifreigaben oder Druckspoolern im Umkreisnetzwerk kommunizieren kann, würde dies eine Kompromittierung dieser Hosts ermöglichen. Wenn die Workstation des Anbieters oder Anbieters mit ungepatchten Hosts kommunizieren kann, die die Sicherheitsanfälligkeit MS08-067 aufweisen, ermöglicht dieser Kanal auch die Kompromittierung von Hosts im Perimeter-Netzwerk.
  • Obwohl dies nicht den Sicherheitsempfehlungen von Siemens entspricht, ist es bekannt, dass Site-Administratoren im Enterprise Control Network Dateifreigaben verwenden, um Informationen mit Servern im Perimeter-Netzwerk auszutauschen. Solche Dateifreigaben setzen das Perimeter-Netzwerk einem Kompromiss aus.

Quelle: Wie sich Stuxnet ausbreitet - Eine Studie über Infektionswege in Best-Practice-Systemen von: Eric Byres, P. Eng. ISA-Fellow, Andrew Ginter, CISSP, Joel Langill, CEH, CPT und CCNA (www.tofinosecurity.com www.abterra.ca www.scadahacker.com) - Entwickeln Sie Best-Practice-Richtlinien, um die Sicherheit und Zuverlässigkeit Ihrer Infrastruktur und Informationsressourcen zu zertifizieren

Verwandte elektrische Anleitungen und Artikel

SUCHE: Artikel, Software und Anleitungen