تبلیغات
آموزش حرفه ای کامپیوتر و شبکه - بد افزار استاکس نت

آموزش حرفه ای کامپیوتر و شبکه

به وبلاگ گروه Persiansec خوش آمدید

 

  
 
  
. با کلیک روی ستاره ها به وبلاگ امتیاز دهید 

www.persiansec.com

جمعه 28 آبان 1389

بد افزار استاکس نت

نویسنده: Ehsan A   

 

. معرفی استاکس‏نت و تاریخچه آن

با توجه به گسترش روز افزون کرم استاکس نت و مباحث مطرح شده در خصوص منشأ و هدف انتشار این کرم، در این گزارش به بررسی فنی این کرم، نحوه انتشار، نحوه پیشگیری و رفع آلودگی آن می پردازیم.

استاکس‏نت یک کرم کامپیوتری است که در سال 2010 شناسایی شده است. هدف اصلی كرم استاكس نت سیستم‏های كنترل صنعتی است. البته كارشناسان شركت زیمنس آلمان دریافتند كه این كرم، برنامه سیستم‏های كنترل صنعتی زیمنس به نام اسكادا را هدف قرار داده است. اسكادا در كارخانه‏های تولیدی، نیروگاه‏های برق ، تصفیه‏خانه‏های آب، صنایع نفت و گاز و برخی از آزمایشگاه‏های پیشرفته استفاده می شود. این سیستم‏ها حتی در برخی از كشتی‏ها و نیروی دریایی نیز كاربرد دارد.
 محققان پس از بررسی  payload آن به این نتیجه رسیدند که كرم استاكس‏نت پس از رسیدن به این سیستم‏ها، شروع به جمع آوری اطلاعات محصولات آن كارخانه، روند تولید و حتی اطلاعات ذخیره موجود در سیستم Siemens SIMATIC WinCC Database Applications می كند. سپس از طریق اتصال به اینترنت اطلاعات را به مقصد نامعلومی ارسال می‏كند. استاکس‏نت نه تنها قادر به جاسوسی در سیستم آلوده است، بلکه می‏تواند مدارات PLC را دوباره برنامه‏ریزی کرده و تغییرات را هم مخفی نگه دارد، علاوه بر این یك back door را نیز بر روی سیستم قربانی قرار می‌دهد تا بتواند از راه‌دور و به طور مخفیانه كنترل عملیات زیرساخت‌های مذكور را در اختیار گیرد.

آلودگی به استاکس‏نت اولین بار در نیمه ماه ژوئن 2010 گزارش شد و ریشه‏ آن به سال 2009 برمی‏گردد. این کرم سیستم‏های ویندوز را با استفاده از 4 آسیب‏پذیری 0-day (شامل آسیب‏پذیری CPLINK و آسیب‏پذیری‏ای که کرم کانفیکر  از آن استفاده کرده بود)، مورد حمله قرار می‏دهد. این كرم جاسوس توانایی انتقال از طریق USB به كامپیوتر را دارد و بعد از ورود به اولین كامپیوتر می تواند به صورت خزنده از طریق هر شبكه ای از جمله اینترنت به كامپیوترهای دیگر وارد شود.

یك ماه قبل از گزارش سیمانتك، اولین بارشركت VirusBlokAda در بلاروس این كرم را شناسایی كرد. كرم دركامپیوتر یكی از مشتریان ایرانی این شركت پیدا شد.

 

آمار سیمانتك نیز گویای اختلاف زیاد آلودگی‏ها در ایران در مقایسه با سایركشورهاست.
ایران با گزارش حدود ۵۹ درصد آلودگی، با اختلاف زیادی بالاتر از رقیب بعدی خود اندونزی با بیش از ۱۸ درصد آلودگی قرار گرفته است.

این موضوع سبب شده است بسیاری از كارشناسان، ایران را هدف اصلی طراحان این كرم جاسوس بدانند.
ازجمله رابرت مك میلان، كارشناس معروف امنیت كامپیوتر از سیلیكون ولی سانفرانسیسكو، مقالات زیادی در این مورد در نشریاتی مانند كامپیوترورلد و پی سی ورلد نوشته است. او در مصاحبه اختصاصی با بی بی سی فارسی و به نقل از یكی از كارشناسان سیمانتك می گوید: "درتاریخ بیست ساله صنعت امنیت كامپیوتر هرگز نشنیده بود كه آلودگی كرمی از ایران شروع شود. این اولین بار است كه نوعی از بدافزار در ایران شروع به گسترش می كند. دلیل آن را كسی به درستی نمی داند و این موضوع را رمز آلودتر می كند".

اطلاعات بی بی سی فارسی نشان می دهد آخرین آزمایش‏های زیمنس حاكی از غیرفعال بودن سرور دریافت كننده درحال حاضر است كه امكان ردیابی مقصد كرم را غیر ممكن می‏سازد.

اما ویلاند سیمون سخنگوی شركت زیمنس معتقد است این نظریه كه ایران هدف اصلی كرم استاكس نت است می تواند تنها یك توهم باشد. چرا كه ما فقط به گزارش شركت سیمانتك كه تولید كننده ضد ویروس نورتون است استناد می كنیم. شاید گزارش شركت‏های دیگر نشان بدهد آلودگی‏ها در كشورهای دیگر بیشتر است.  از طرفی ۹ اسكادا آلوده كه كرم فعال در آنها پیدا شده در اروپا قرار دارند و یكی از ۹ سیستم آلوده در آلمان است.
به نظر نمی رسد این استدلال بتواند در مورد كاهش آلودگی در ایران درست باشد. چرا كه سیمانتك یكی از بزرگترین تولید كننده‏های ضد ویروس در جهان است و در ایران هم نمایندگی فروش دارد. از طرفی هنوز گزارشی از بررسی سیستم‏های اسكادا در ایران به وسیله كارشناسان غربی منتشر نشده است. بنابراین، نباید انتظار داشت به همان سرعتی كه در اروپا سیستم‏های آلوده اسكادا پیدا می شوند، در ایران هم كه این سیستم‏ها می توانند در صنایع حساس به كار رفته باشند، به وسیله كارشناسان غربی پیدا شوند.

همچنین سخنگوی زیمنس معتقد است بسیاری از این گزارش‏های آلودگی متعلق به كامپیوترهای شخصی است كه البته می تواند استدلال درستی باشد. اما با درنظر گرفتن تعداد بالای نسخه‏های ضدویروس غیراصل و قفل شكسته در كامپیوترهای شخصی كه امكان ارسال گزارش را ندارند می توان نتیجه گرفت گزارش‏های ارسالی از كامپیوترهای شركت‏های معتبر، مراكز تولیدی و حتی دولتی ارسال شده است.آقای مك میلان می گوید: "این كرم به كامپیوترهای شخصی نیز وارد می شود، تكثیر می یابد اما فقط در سیستم‏های صنعتی فعالیت خود را شروع می كند".

آلودگی كامپیوترهای صنعتی ایران به این كرم جاسوس می تواند از این جهت برای مسئولین ایرانی نگران كننده باشد كه توسط كرم جاسوس اطلاعات مربوط به فعالیت‏های هسته ای و نظامی ایران درناشناخته ترین واحدهای صنعتی یا دانشگاهی ایران قابل پیگیری است. دسترسی كشورهای غربی و اسراییل به این اطلاعات می تواند مدارك لازم برای تحریم شبكه‏های ناشناخته درگیر با صنایع هسته ای و نظامی ایران را فراهم كند.
مك میلان معتقد است پیچیدگی‏های این كرم كامپیوتری و اهداف آن نشان می دهد كه این كرم به وسیله یك نفر یا هكرهای خانگی برنامه نویسی نشده است. این مطلب را سیمون، سخنگوی زیمنس نیز تایید می كند. او همچنین به بی بی سی فارسی گفت: " كسی كه این كرم را ساخته اطلاعات دقیقی از سیستم‏های كنترل صنعتی زیمنس داشته است". سرمایه زیادی لازم است تا بتوان اسكادا در اختیار داشت و برای آن بدافزار طراحی كرد. علاوه بر این‏ دلایل، موارد دیگر مثل پیچیدگی‏های فنی آن مانند تعداد کدهای مخرب 0-day یا استفاده از زبان‏های برنامه نویسی مختلف مثل C یا C++، باعث شده كه كارشناسان به این باور برسند كه یك سازمان بزرگ یا دولت كشوری این كرم جاسوس را طراحی كرده است.

سخنگوی زیمنس همچنین گفت: "شانزده سال از ساخت و فروش اسكادا در جهان می گذرد و چندین هزار اسكادا درصنایع مختلف سراسر جهان فعال هستند. از طرفی زیمنس پیشرو سیستم‏های كنترل صنعتی درجهان است، بنابراین سیستم‏های زیمنس می تواند بهترین طعمه برای كسب اطلاعات صنعتی باشد". 


 

2. استاکس‏نت از چه آسیب‏پذیری‏ای استفاده می‏کند

شرح:Microsoft windows shortcut ‘LNK/PIF’ files automatic file execution vulnerability

شناسه Bugtraq: 41732

نوع: خطای طراحی

CVE: CVE-2010-2568

تاریخ انتشار: Jul 15 2010 12:00AM

تاریخ بروزرسانی: Aug 11 2010 08:14PM

منبع: VirusBlokAda

توسطdisassemble  کردن یکی از پر کاربردترین کدهای مخرب در حملاتی که از این آسیب‏پذیری استفاده می‏کنند (مرجع کد : http://www.ivanlef0u.tuxfamily.org/?p=411)، می‏توان دریافت که رویه‏ مربوط به کنترل‏پنل، با پیشوند _CPL شروع می‏شود.

با دنبال کردن شکل زیر می‏توان روال کار را بهتر دریافت:

رویه‏ی مربوط به استخراج شمایل، CPL_FindCPLInfo را فراخوانی می‏کند تا اطلاعات مربوط به شمایل فایل مورد نظر را پیدا کند. رویه‏ی CPL_FindCPLInfo در واقع در برگیرنده‏ی همه‏ی رویه‏های مربوط به CPL است.

بارگذاری و آغاز CPLModule قبل از این‏که هیچ اطلاعاتی در مورد آن کسب کند، شروع می‏شود.

یکی از رویه‏های آغاز  _LoadCPLModule می‏باشد که API  LoadLibraryW را فراخوانی کرده تا CPL dll مورد نظر را بارگزاری کند و module handleای که از این بارگزاری به دست می‏آید، در رویه‏ی _InitializeControl توسط  LoadImage API مورد استفاده قرار می‏گیرد.

روش‏هایی وجود دارد که بتوان Icon handle موردنظر را از یک dll، بدون نیاز به بارگزاری آن به دست آورد و در عوض برنامه نویسان dll موردنظر خود را بارگزاری ‏کنند، که در واقع نقطه‏ آسیب‏پذیر همین‏جاست.

 

جریان رویه‏ها و اطلاعات بین بخش‏های مرتبط

3. نحوه‏ی عملکرد استاکس‏نت

استاکس‏نت به صورت خودکار خود را اجرا کرده و با بهره برداری از آسیب‏پذیری موجود، فایل‏هایی را بر روی سیستم به جای می‏گذارد و باعث می‏شود در هنگام نمایش یک میانبر، کد مخربی اجرا شود.

در اثر اجرای این بدافزار، فایل‏های زیر بر روی سیستم کپی می‏شود:

  • 2 files ( mrxcls.sys and mrxnet.sys) - Dropped in C:\Windows\System32\Drivers folder

  • C:\Windows\inf\oem7a.PNF - An encrypted DLL file, the trojan-dropper's main component

  • C:\Windows\inf\mdmcpq3.PNF - An encrypted data file

  • C:\Windows\inf\mdmeric3.PNF

  • C:\Windows\inf\oem6c.PNF

و دو registry key متناسب با دو فایلی که در  پوشه‏ی C:\Windows\System32\Drivers قرار داده شد، مشاهده می‏شود :

-HKLM\System\CurrentControlSet\Services\Services\MRxNet
-HKLM\System\CurrentControlSet\Services\Services\MRxCls

یک فایل dll رمز شده که در  oem7a.PNFقرار دارد، با استفاده از ساختار نام زیر به یک پروسس تزریق می‏شود:

 [normaldll].ASLR.[random] - e.g., Kernel32.dll.aslr.21af34

تزریق توسط فایل mrxcls.sys صورت می‏گیرد که در واقع مسئولیت کپی کردن و اتصال dll به پروسس هدف را بر عهده دارد و ادامه‏ی تزریق توسط دو جزء دیگر که در فایل mrxcls.sys  تعبیه شده اند، انجام می‏شود.
mrxcls.sys، کد را به پروسس‏های زیر نیز تزریق می‏کند:

  • services.exe

  • svchost.exe

  • lsass.exe

فایل mrxnet.sys به دنبال فایل‏هایی با یکی پسوند های زیر بر روی سیستم می‏گردد:

  • .TMP

  • ~WTR

  • .LNK

و اگر همچین فایل‏هایی یافت، آن‏ها را به کمک ساختار FileInfo صورت پنهان در می‏آورد.

در همین بین، dll تلاش می‏کند تا با استفاده از نام کاربری و پسوردهای مدیریتی که به صورت کد شده در برنامه هستند، به نرم‏افزارهای Siemens SIMATIC WinCC  متصل شوند و در صورت موفقیت، سعی می‏کند مکان فایل \GraCS\cc_tlg7.sav  را یافته و آن را از حالت فشرده خارج نموده و به اطلاعات آن دست یابد.

Dll سعی می‏کند به همه‏ی دامنه‏هایی که در فایل mdmcpq3.PNFقرار دارند، وصل شود.

اگر فایلی  با پسوند مورد نظر یافت نشد،  استاکس‏نتکپی‏هایی از خود را با اسامی زیر:

  • ~WTR4132.tmp - Main installer from the USB drive

  • ~WTR4141.tmp - First driver loader in the USB drive

 بر روی removable drive های موجود ذخیره می‏نماید.

فایل‏های زیر نیز در removable drive قرار داده می‏شوند:

  • Copy of Shortcut to.lnk

  • Copy of Copy of Shortcut to.lnk

  • Copy of Copy of Copy of Shortcut to.lnk

  • Copy of Copy of Copy of Copy of Shortcut to.lnk

این میانبرها مسئول بارگزاری فایل ~WTR4141.tmp روی سیستم‏هایی هستند که removable drive در آن‏ها قرار داده می‏شود. سپس این فایل، ~WTR4132.tmp را بارگزاری می‏نماید.

فایل ~WTR4141.tmp، با کمک APIهای زیر، فایل‏های بدافزار را در removable drive پنهان و غیر قابل مشاهده می‏نماید:

  • FindFirstFileW

  • FindNextFileW

  • FindFirstFileExW

  • NtQueryDirectoryFile

  • ZwQueryDirectoryFile

4. نحوه‏ی پیش‏گیری

تا قبل از انتشار اصلاحیه توسط شرکت مایکروسافت(Microsoft )  در ۱۱ مرداد ۱۳۸۹ تنها راه حل موقت برای جلوگیری از سوء‌استفاده از این آسیب‌پذیری، غیرفعال کردن نمایش تصویر متناظر با میانبرها بود که پس از انتشار اصلاحیه نیاز به راه حل موقت بر طرف شده است.

دریافت و نصب بروزرسانی‏ای که توسط شرکت مایکروسافت ارائه شد(MS10-046)، آسیب‏پذیری مذکور را از سیستم حذف می‏نماید، برای این منظور باید سیستم بروز رسانی شود، گام‏های زیر برای ایمنی بیشتر سیستم و محافظت در مقابل آسیب‏پذیری‏های اینچنین کمک می‏کند:

  •      فعال‎سازی دیواره آتش بر روی سیستم
  •      دریافت آخرین بروزرسانیبرای کلیه‏ی نرم‏افزارهای نصب شده بر روی سیستم
  •      استفاده از آنتی ویروس‏های بروز
  •      محدود کردن مجوزهای کاربر بر روی سیستم، مثلاً با استفاده از امکانات UAC
  •      احتیاط در هنگام بازکردن فایل‏های پیوست و قبول درخواست‏های انتقال اطلاعات
  •      احتیاط در هنگام کلیک پیوندهای صفحات وب
  •      اجتناب از نصب نرم‏افزارهای مشکوک
  •     محافظت سیستم در مقابل حملات مهندسی اجتماعی استفاده از کلمات عبور قوی

 

5. نحوه‏ی ترمیم سییتم‏های آلوده

5.1  حذف دستی

ابتدا Registry keyهای زیر را پاک نمایید:

 - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxCls 
 - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxNet

  •      سپس فایل‏های زیر را از روی سیستم حذف کنید:

1. %windir%\inf\mdmcpq3.PNF 
2. %windir%\inf\mdmeric3.PNF 
3. %windir%\inf\oem6C.PNF 
4. %windir%\inf\oem7A.PNF 
5. %windir%\system32\drivers\mrxcls.sys 
6. %windir%\system32\drivers\mrxnet.sys

  •      Autopaly را برای همه‏ی driverها خاموش نمایید(http://support.microsoft.com/kb/967715)
  •      سیستم را restart  نمایید
  •      فایل‏های مربوط به بدافزار را مطابق با روند زیر از removable drive حذف نمایید:

1. Open Command Prompt 
2. Change drive to USB drive 
3. Run command "del *.lnk" 
4. Run command "del *.tmp"

5.2  حذف با استفاده از نرم‏افزار Stuxnet Remover

 دانلود نرم افزار از آدرس http://www.securitysoftwarereview.info/stuxnet-remover-1-0-1-3.htm و اجرای آن. 

5.3  حذف با استفاده از IS2010

  • بر روی My Computers > Properties > Hardware > Device Manager کلیک راست نمایید:
  • به View > Show Hidden Devices رفته و Non-Plug and Play Drivers را باز نمایید. 
  •       MRXNET و MRXCLS را غیر فعال نمایید.


   

سیستم را restart نموده و F-Secure Internet Security 2010 را اجرا نمایید :


در این مرحله کلیه‏ی نصب‏کننده‏ها ، driverها  و فایل‏های LNK از روی سیستم پاک شده‏اند.

5.4  سایر روش‏ها

در حال حاضر بسیاری از نرم‏افزارهای آنتی ویروس موجود قدرت شناسایی و حذف این بدافزار را دارند.

 منبع : پیشتاز پردازش پارس

  • برچسب ها: بد افزار استاکس نت،  
  • Persian Security

    مطالب نوشته شده در این وبلاگ  بعضاً  از منابع دیگری گردآوری شده

() نظرات
                                           رفتن به بالای صفحه




آمار وبلاگ

  • تاریخ افتتاح بلاگ:   1388/7/1
  • کل بازدید :
  • بازدید امروز :
  • بازدید دیروز :
  • بازدید این ماه :
  • بازدید ماه قبل :
  • تعداد نویسندگان :
  • تعداد کل پست ها :
  • آخرین بروز رسانی :
  • آخرین بازدید :

 

سرویس و نگهداری در کل کشور


جستجوی پیشرفته

Google

در این وبلاگ
در كل اینترنت