Jornada de ciberdefensa stuxnet
-
Upload
alejandro-ramos -
Category
Technology
-
view
1.688 -
download
1
Transcript of Jornada de ciberdefensa stuxnet
![Page 1: Jornada de ciberdefensa stuxnet](https://reader034.fdocuments.in/reader034/viewer/2022052411/557b7c90d8b42af70c8b504f/html5/thumbnails/1.jpg)
Stuxnet, caso de estudio
Alejandro Ramos
http://www.securitybydefault.com
![Page 2: Jornada de ciberdefensa stuxnet](https://reader034.fdocuments.in/reader034/viewer/2022052411/557b7c90d8b42af70c8b504f/html5/thumbnails/2.jpg)
Yo. Ego - presentación
• Manager del TigerTeam de SIA
• Profesor en el MOSTIC de la Universidad
Europea de Madrid
• Editor de SecurityByDefault.com
![Page 3: Jornada de ciberdefensa stuxnet](https://reader034.fdocuments.in/reader034/viewer/2022052411/557b7c90d8b42af70c8b504f/html5/thumbnails/3.jpg)
Ralph Langner
• “Operation myrtus is the first real cyberwar operation in
history”
– uses a CYBER WEAPON
– created physical destruction
– hit a dedicated military target
– is lead by a coalition of nation states
– would have triggered a conventional military hardware
attack
• one could say Iran was Stuxnet’s designated beta tester
http://www.langner.com/english/?p=251
![Page 4: Jornada de ciberdefensa stuxnet](https://reader034.fdocuments.in/reader034/viewer/2022052411/557b7c90d8b42af70c8b504f/html5/thumbnails/4.jpg)
Definiciones de infraestructuras que
monitorizan y controlan procesos industriales
• ICS – Industrial control systems
• SCADA – Supervisory control and data acquisition
• DCS – Distributed control systems
• PLC – Programmable logic controllers
Control systems
Transport
Oil
Water
Manufacturing
Food and bevarage
Gas
Electricity
Chemical pharmaceutical
![Page 5: Jornada de ciberdefensa stuxnet](https://reader034.fdocuments.in/reader034/viewer/2022052411/557b7c90d8b42af70c8b504f/html5/thumbnails/5.jpg)
Algunos incidentes en SCADA
• (2000) Según Ministerio de Interior ruso, hackers entran
en Gazprom, colaboración con empleado que instalo
troyano dando acceso a un control del panel de un
centro. Podía haber generado un desastre nuclear
• (2001) Trabajador de planta de agua por rechazo en
nuevo puesto libera aguas tóxicas en ríos (Australia)
desde un portátil en el aparcamiento de las instalaciones
• (2003) Gusano Slammer infecta red de planta nuclear
David-Basse. Queda desactivado sistema de
monitorización durante 5 horas
![Page 6: Jornada de ciberdefensa stuxnet](https://reader034.fdocuments.in/reader034/viewer/2022052411/557b7c90d8b42af70c8b504f/html5/thumbnails/6.jpg)
Propagación de Stuxnet
![Page 7: Jornada de ciberdefensa stuxnet](https://reader034.fdocuments.in/reader034/viewer/2022052411/557b7c90d8b42af70c8b504f/html5/thumbnails/7.jpg)
Hosts infectados – 100.000
![Page 8: Jornada de ciberdefensa stuxnet](https://reader034.fdocuments.in/reader034/viewer/2022052411/557b7c90d8b42af70c8b504f/html5/thumbnails/8.jpg)
Propagación
![Page 9: Jornada de ciberdefensa stuxnet](https://reader034.fdocuments.in/reader034/viewer/2022052411/557b7c90d8b42af70c8b504f/html5/thumbnails/9.jpg)
Tipos de ataques según su objetivo
• Ataques a una organización o compañía
– Banca
– Sistemas SCADA
– Alta dirección / VIPs
– Espionaje industrial
• Ataques a un software específico o infraestructura
tecnológica concreta
– Adobe Acrobat
– Internet Explorer
– Dispositivos USB
![Page 10: Jornada de ciberdefensa stuxnet](https://reader034.fdocuments.in/reader034/viewer/2022052411/557b7c90d8b42af70c8b504f/html5/thumbnails/10.jpg)
Introducción
• El primero (detectado) con objetivos Industriales
• Ataca a sistemas PLC (Programming Logic Controllers)
que usan Siemens SIMATIC WinCC y Step 7 SCADA
• Métodos de infección:
– Explotando 4 vulnerabilidades de Windows no
parcheadas (0days)
– Recursos compartidos
– Contraseña por defecto
– Variante: Discos USB
• Infecta y se oculta así mismo usando drivers firmados
![Page 11: Jornada de ciberdefensa stuxnet](https://reader034.fdocuments.in/reader034/viewer/2022052411/557b7c90d8b42af70c8b504f/html5/thumbnails/11.jpg)
Introducción
• Se actualiza mediante C&C y P2P
• Incluye un rootkit que afecta a PLC
• Especialmente bien programado
• Diseñado para evitar errores
• Muy complejo, aproximadamente 1.5MB
• Intenta deshabilitar antivirus
• No se ha completado su análisis
• Se desconoce el objetivo real
![Page 12: Jornada de ciberdefensa stuxnet](https://reader034.fdocuments.in/reader034/viewer/2022052411/557b7c90d8b42af70c8b504f/html5/thumbnails/12.jpg)
Introducción
• Detectado por primera vez el 17 de junio de 2010
• Por la compañía VirusBlokAda Bielorusa
(http://www.anti-virus.by)
• En base al timestamp de ~wtr4141.tmp. Compilación de
03 Febrero 2010
![Page 13: Jornada de ciberdefensa stuxnet](https://reader034.fdocuments.in/reader034/viewer/2022052411/557b7c90d8b42af70c8b504f/html5/thumbnails/13.jpg)
Fima digital
• Objetivo de saltarse listas blancas en antivirus y
advertencias en Windows Vista y 7
• Firmado digitalmente por Realtek y JMicron (variante)
![Page 14: Jornada de ciberdefensa stuxnet](https://reader034.fdocuments.in/reader034/viewer/2022052411/557b7c90d8b42af70c8b504f/html5/thumbnails/14.jpg)
Fima digital - revocados
![Page 15: Jornada de ciberdefensa stuxnet](https://reader034.fdocuments.in/reader034/viewer/2022052411/557b7c90d8b42af70c8b504f/html5/thumbnails/15.jpg)
Firma digital - Drivers
Driver Compilado Firmado Software
~wtr4141.tmp 3/2/2010 3/2/2010 MS Visual Studio 2009
Mrxcls.sys 1/1/2009* 25/1/2010 MS Visual Studio 2005
Mrxnet.sys 25/1/2010 25/1/2010 MS Visual Studio 2005
Jmidebs.sys 14/7/2010
* tal vez obtenida de otro proyecto
![Page 16: Jornada de ciberdefensa stuxnet](https://reader034.fdocuments.in/reader034/viewer/2022052411/557b7c90d8b42af70c8b504f/html5/thumbnails/16.jpg)
Teorías
• Realtek y JMicron son empresas físicamente cercanas
(Hschinchu Sciense Park, Taiwan), por lo que han
podido sufrir un robo del certificado
• Los certificados han sido robados con ZeuS (conocido
malware que tiene esa característica)
• Distintos drivers firmados por distintas compañías y
usando distinto lenguaje hacen pensar en un equipo de
desarrolladores de malware
![Page 17: Jornada de ciberdefensa stuxnet](https://reader034.fdocuments.in/reader034/viewer/2022052411/557b7c90d8b42af70c8b504f/html5/thumbnails/17.jpg)
¿Myrtus?
• Referencias en el código a «Myrtus», similar al hebreo
«Esther»
• El Libro de Esther relata un complot persa para destruir
Israel
• Sospechas de que el gobierno israelí esté detrás
• My RTUs”, RTU = Remote Terminal Units
![Page 18: Jornada de ciberdefensa stuxnet](https://reader034.fdocuments.in/reader034/viewer/2022052411/557b7c90d8b42af70c8b504f/html5/thumbnails/18.jpg)
Otras fechas
• Clave en el registro con valor «19790509» (no infecta si
existe)
– ¿Fecha del nacimiento del autor?
– Fecha de Habib Elghanian empresario judío
ejecutado en Irán acusado de espía para Israel
• Fecha de expiración «kill date» 24 de Junio, 2012,
incluida en fichero de configuración
![Page 19: Jornada de ciberdefensa stuxnet](https://reader034.fdocuments.in/reader034/viewer/2022052411/557b7c90d8b42af70c8b504f/html5/thumbnails/19.jpg)
Vulnerabilidades
• MS10-046: Archivos LNK, propagación por USB
• MS10-061: Servicio printer Spooler, escalada de
privilegios y ejecución remota en XP
• MS10-073: Keyboard, windows 2000 y XP, escalada de
privilegios
• MS08-067: Servicio RPC, ejecución remota.
• MS10-0xx: Task Scheduler, escalada de privilegios
• CVE-2010-2772: Contraseña en el código de la
aplicación.
![Page 20: Jornada de ciberdefensa stuxnet](https://reader034.fdocuments.in/reader034/viewer/2022052411/557b7c90d8b42af70c8b504f/html5/thumbnails/20.jpg)
CVE-2010-2772
http://www.wilderssecurity.com/showthread.php?p=1712146
openrowset(''SQLOLEDB'',''Server=.\WinCC;uid=WinCCConnect;pwd=2WSXcder'','
![Page 21: Jornada de ciberdefensa stuxnet](https://reader034.fdocuments.in/reader034/viewer/2022052411/557b7c90d8b42af70c8b504f/html5/thumbnails/21.jpg)
![Page 22: Jornada de ciberdefensa stuxnet](https://reader034.fdocuments.in/reader034/viewer/2022052411/557b7c90d8b42af70c8b504f/html5/thumbnails/22.jpg)
MS10-046
Dispositivos
removibles
MS08-067
Red local
MS10-061
MS10-073
Win2000/XP
MS10-0XX
Vista/7/Server 2008
Propagación y
vectores de
instalación
propagación instalación
escalada de privilegios
escalada de privilegios vector general de ataque
ataques adicionales
http://www.eset.com/resources/white-
papers/Stuxnet_Under_the_Microscope.pdf
![Page 23: Jornada de ciberdefensa stuxnet](https://reader034.fdocuments.in/reader034/viewer/2022052411/557b7c90d8b42af70c8b504f/html5/thumbnails/23.jpg)
Propagación P2P
http://www.symantec.com/connect/es/blogs/stuxnet-p2p-component
![Page 25: Jornada de ciberdefensa stuxnet](https://reader034.fdocuments.in/reader034/viewer/2022052411/557b7c90d8b42af70c8b504f/html5/thumbnails/25.jpg)
Command & Control
• Conexión por HTTP a:
– www.mypremierfutbol.com (Malasia)
– www.todaysfutbol.com (Dinamarca)
• Permite actualizar la configuración con el fichero:
“%Windir%\inf\mdmcpq3.PNF”
• Información de la versión del sistema operativo
• Nombre del equipo
• Nombre del grupo de trabajo o dominio
• Si el software de WinCC está o no instalado
• Direcciones IP de las tarjetas de red
![Page 26: Jornada de ciberdefensa stuxnet](https://reader034.fdocuments.in/reader034/viewer/2022052411/557b7c90d8b42af70c8b504f/html5/thumbnails/26.jpg)
http://bit.ly/dfEQ9X
![Page 27: Jornada de ciberdefensa stuxnet](https://reader034.fdocuments.in/reader034/viewer/2022052411/557b7c90d8b42af70c8b504f/html5/thumbnails/27.jpg)
¿Objetivo?
• Teoría: Planta nuclear y el reactor de Bushehr y planta
centrífuga en Natanz
– Irán donde más infecciones hay
– Bushehr es un punto estratégico
– Bushehr usa Siemens
– Stuxnet se replica por USB y se puede propagar sin
Internet
– Se ha encontrado evidencias de que en Bushehr no
controlan correctamente el software
![Page 28: Jornada de ciberdefensa stuxnet](https://reader034.fdocuments.in/reader034/viewer/2022052411/557b7c90d8b42af70c8b504f/html5/thumbnails/28.jpg)
Instalaciones nucleares en Irán
![Page 29: Jornada de ciberdefensa stuxnet](https://reader034.fdocuments.in/reader034/viewer/2022052411/557b7c90d8b42af70c8b504f/html5/thumbnails/29.jpg)
![Page 30: Jornada de ciberdefensa stuxnet](https://reader034.fdocuments.in/reader034/viewer/2022052411/557b7c90d8b42af70c8b504f/html5/thumbnails/30.jpg)
La investigación continúa
http://bit.ly/dfEQ9X
![Page 31: Jornada de ciberdefensa stuxnet](https://reader034.fdocuments.in/reader034/viewer/2022052411/557b7c90d8b42af70c8b504f/html5/thumbnails/31.jpg)
Contramedidas
• HIDS basado en listas blancas
• Segmentación y filtrado en la red
• Aplicar parches de aplicaciones y sistemas operativos
• Desactivar dispositivos externos (USBs)
• Auditoría de vulnerabilidades
• Antivirus de red y sistema
![Page 32: Jornada de ciberdefensa stuxnet](https://reader034.fdocuments.in/reader034/viewer/2022052411/557b7c90d8b42af70c8b504f/html5/thumbnails/32.jpg)
“The problem is not Stuxnet. Stuxnet is history,“
“The problem is the next generation of
malware that will follow." Langner
Gracias
![Page 33: Jornada de ciberdefensa stuxnet](https://reader034.fdocuments.in/reader034/viewer/2022052411/557b7c90d8b42af70c8b504f/html5/thumbnails/33.jpg)
Referencias / Imágenes
• www.eset.com/resources/white-
papers/Stuxnet_Under_the_Microscope.pdf
• http://www.symantec.com/content/en/us/enterprise/medi
a/security_response/whitepapers/w32_stuxnet_dossier.p
df
• http://www.langner.com/en/
• http://ciip.wordpress.com/2009/06/21/a-list-of-reported-
scada-incidents/