1 / 44

آشنایی با Stuxnet و نحوه شناسایی و رفع آن

مرکز آپای دانشگاه صنعتی شریف مرکز آپای دانشگاه صنعتی امیرکبیر مرکز ماهر. آشنایی با Stuxnet و نحوه شناسایی و رفع آن. هادی جعفریان آبان 89. سرفصل مطالب. چرا Stuxnet ؟ نحوه عملکرد نحوه شناسایی و رفع نحوه پیشگیری اقدامات لازم. سرفصل مطالب. چرا Stuxnet ؟ نحوه عملکرد

levia
Download Presentation

آشنایی با Stuxnet و نحوه شناسایی و رفع آن

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. مرکز آپای دانشگاه صنعتی شریف مرکز آپای دانشگاه صنعتی امیرکبیر مرکز ماهر آشنایی با Stuxnet و نحوه شناسایی و رفع آن هادی جعفریان آبان 89

  2. سرفصل مطالب آشنایی با بدافزار استاکس نت و راه‏های مقابله با آن چرا Stuxnet؟ نحوه عملکرد نحوه شناسایی و رفع نحوه پیشگیری اقدامات لازم

  3. سرفصل مطالب آشنایی با بدافزار استاکس نت و راه‏های مقابله با آن چرا Stuxnet؟ نحوه عملکرد نحوه شناسایی و رفع نحوه پیشگیری اقدامات لازم

  4. مقدمه آشنایی با بدافزار استاکس نت و راه‏های مقابله با آن بدافزار رايانه‌اي با سطح خطر بسيار بالا اهداف • تا حد زيادي خرابکاري • تا حد کمي جاسوسي طراحي و توليد توسط يک گروه بسيار خبره • استفاده از چند آسيب‌پذيري روزصفر، خطرناک و فعال در کليه نسخ ويندوز • استفاده از روتکيت‏ها جهت مخفي‌سازي کد مخرب در رایانه و PLC • استفاده از گواهينامه مجاز (دزدي‌شده) جهت امضاي درايورها • فعاليت مخرب در سطح بسيار حرفه‌اي و دزدي اطلاعات از سيستم‌هاي SCADA

  5. خرابکاري در SCADA آشنایی با بدافزار استاکس نت و راه‏های مقابله با آن خرابکاري در سيستم‌هاي SCADA • هدف قرار دادن سيستم‏هاي Step7 شرکت Siemens • استفاده از يک آسيب‏پذيری در اين سيستم‏ها • وابستگي شديد زيرساخت‌هاي حياتي به اين سيستم‌ها • صنايع مادر، صنايع پتروشيمی، صنايع نفت و گاز، صنايع هسته‏اي • تزريق کدهاي مخرب در PLCها به منظور آسيب‏رساني به عملکرد زيرساخت‏ها • دزدي اطلاعات از بانک‌هاي اطلاعاتي اين سيستم‌ها و و ارسال آنها به مرکز فرمان و کنترل (CnC)

  6. خربکاري در SCADA (ادامه) آشنایی با بدافزار استاکس نت و راه‏های مقابله با آن مخاطرات بسيار گسترده به دليل حوزه کاربرد سيستم‌هاي SCADA • از کار افتادن پالايشگاه‌ها و ساير زيرساخت‌هاي حساس • انفجار در لوله‌هاي گاز و آب • انفجار در پالايشگاه‌ها و زيرساخت‌هاي حساس • آگاهي دشمن از زيرساخت‌هاي حياتي کشور • طرح‌ريزي حملات خطرناک‌تر سايبري در آينده • ….

  7. آسيب رساني به PLCها آشنایی با بدافزار استاکس نت و راه‏های مقابله با آن آلوده‏سازي نرم‏افزار WinCC و Step7 استفاده از اين آلودگي جهت آلوده‏سازي PLCها • 6ES7-417 • 6ES7-315-2 نخستين روتکيت صنعتي تغيير رفتار سيستم‏هاي کنترل صنعتي • شنود درخواستهاي ارسالي به PLCها • اطمينان از دلخواه بودن نوع هدف • اصلاح کدهاي PLC موجود و نوشتن آنها روي PLC • استفاده از تکنولوژي روتکيت جهت مخفي سازي کدها

  8. آمار توزيع جغرافيايي آشنایی با بدافزار استاکس نت و راه‏های مقابله با آن

  9. آمار توزيع جغرافيايي (ادامه) آشنایی با بدافزار استاکس نت و راه‏های مقابله با آن بيشترين آسيب‌پذيري در کشور ايران • هدف: آلوده‌سازي ايران • عدم واکنش سريع به دليل ضعف در زيرساخت‌هاي مديريت حوادث • سکوت طولاني مدت ضدويرويس‌هاي خارجي • کشف توسط ضد ويروس Vba32بلاروسي • احتمال بسيار بالاي اسرائيلي بودن بدافزار • کليد رجستري خاص • آدرس فايل پروژه عبري

  10. آمار بر اساس IP آشنایی با بدافزار استاکس نت و راه‏های مقابله با آن

  11. آمار بر اساس IP(ادامه) آشنایی با بدافزار استاکس نت و راه‏های مقابله با آن هر آدرس اعلام‏شده مربوط به يک سازمان است. • آسيب‏پذيري بر روي رايانه‏ها با کاربر فعال مورد سوء استفاده قرار مي‏گيرد. • در سازمان کاربران معمولا از طريق يک درگاه با تکنولوژي NAT به اينترنت متصل مي شوند. در يک سازمان تنها رايانه هاي بخش هاي کاربران آلوده شده اند. • هدف بد افزار هاي منتشر شده شبکه هاي صنعتي بوده است. هر سازمان به طور متوسط 6 رايانه‏ي سرور و 100 رايانه‏ي کاربري دارد.

  12. تخمين حداقل خسارت آشنایی با بدافزار استاکس نت و راه‏های مقابله با آن

  13. تخمين حداقل خسارت (ادامه) آشنایی با بدافزار استاکس نت و راه‏های مقابله با آن

  14. سرفصل مطالب آشنایی با بدافزار استاکس نت و راه‏های مقابله با آن چرا Stuxnet؟ نحوه عملکرد نحوه شناسایی و رفع نحوه پیشگیری اقدامات لازم

  15. تعریف بدافزار آشنایی با بدافزار استاکس نت و راه‏های مقابله با آن تعريف بدافزار (Malware) • نرم‌افزار مخرب • با هدف آگاهانه سازنده براي نفوذ به کامپيوتر کاربر • بدون اجازه آگاهانه وي تهديدات امنيتي • نقض محرمانگي، صحت، و دسترس‌پذيري اطلاعات و حتي کل سامانه • دسترسي و کنترل از راه دور استفاده از آسیب‏پذیری‏ها در سیستم‏عامل و ابزارها جهت انتشار و آلوده‏سازی

  16. آسیب‏پذیری‏های مورد استفاده در استاکس‏نت آسیب‌پذیری پردازش ناکافی میانبرها در Windows آسیب‌پذیری اجرای کد از راه دور در RPC آسیب‌پذیری محدودیت ناکافی جهت مجوزهای کاربری در Print Spooler آسیب‌پذیری در درایورهای سطح کرنل ویندوز ضعف در اعتبارسنجی گواهینامه‏ها آسیب‌پذیری حساب کاربری غیرقابل تغییر و ثابت در محصولات Siemens آشنایی با بدافزار استاکس نت و راه‏های مقابله با آن

  17. آلوده‏سازی ویندوز آشنایی با بدافزار استاکس نت و راه‏های مقابله با آن آسیب‏پذیری ضعف پردازش میانبرها در ویندوز • MS10-046 آسیب‌پذیری اجرای کد از راه دور در Microsoft Windows Server Service RPC Handling • S08-067 معرفی آسیب‌پذیری محدودیت ناکافی جهت مجوزهای کاربری در Microsoft Windows Print Spooler Service • MS10-061 آسیب‏پذیری در درایورهای سطح کرنل ویندوز • MS10-073

  18. آلوده‏سازی WinCC و Step7 (1) آشنایی با بدافزار استاکس نت و راه‏های مقابله با آن استفاده از آسیب‏پذیری گذرواژه و کلمه کاربری ثابت جهت اتصال به پایگاه داده‏های WinCC Server = .\wincc Uid = winccconect Pwd = 2wsxcder تزریق کد به پایگاه داده‏های WinCC و قراردهی چند فایل در شاخه‏های پروژه‏ها جهت آلوده‏سازی رایانه‏ها توسط پروژه‏های آلوده

  19. آلوده‏سازی WinCC و Step7 (2) آشنایی با بدافزار استاکس نت و راه‏های مقابله با آن استفاده از DLL Hijacking جهت تغییر رفتار WinCC تغییر درایور مورد استفاده WinCC برای ارتباط با PLCها استفاده از درایور آلوده جهت • آلوده‏سازی PLCها • مخفی‏سازی کدهای آلوده روی PLCها

  20. s7otbxdx.dll PLC Request code block from PLC S7blk_read Modified STL code block Modified STL code block Show PLC code block Modified STL code block s7otbxsx.dll S7blk_read آشنایی با بدافزار استاکس نت و راه‏های مقابله با آن

  21. آلوده‏سازی PLCها Clean OB1 Infected OB1 آشنایی با بدافزار استاکس نت و راه‏های مقابله با آن تغییر OB1 و OB35 تغییر تابع دسترسی به Profibus

  22. ارتباطات شبکه آشنایی با بدافزار استاکس نت و راه‏های مقابله با آن در سه بخش • ایجاد یک سرور RPC بر روی کارگزار قربانی • ارتباط با سرورهای کنترل و فرمان با استفاده از پروتکل HTTP • ایجاد شبکه Peer-to-Peer محلی در داخل شبکه‏های LAN با استفاده از سرور RPC

  23. کارگزار RPC آشنایی با بدافزار استاکس نت و راه‏های مقابله با آن امکان دریافت دستورات تحت شبکه و از طریق یک پروتکل مشخص و اجرای آنها 0: returns the version number of Stuxnet installed 1: Receive an exe and execute it (via injection) .... 6: read file 7: drop file 8: delete file

  24. ارتباط با سرورهای CnC آشنایی با بدافزار استاکس نت و راه‏های مقابله با آن با هدف ارسال اطلاعات دریافت دستورات سرورهای شناخته شده • www.mypremierfutbol.com • www.todaysfutbol.com • همکنون غیرفعال هستند. اطلاعات ارسالی • نسخه ویندوز، نام کامپیوتر، نام گروه شبکه • نصب یا عدم نصب SCADA • آدرس IP تمامی واسطهای شبکه

  25. شبکه P2P داخلی قربانی به عنوان Client 5 Install latest Ver. قربانی به عنوان Server داراي آخرين نسخه‌ي بدافزار →1Call RPC 0 – Get Version ←2Send Installed Ver. →3Call RPC 4 – Request latest Ver. ←4 Send latest Ver. آشنایی با بدافزار استاکس نت و راه‏های مقابله با آن با هدف بروزرسانی استفاده از سرور RPC موجود بر روی رایانه‏های قربانی جهت بروزرسانی نسخ بدافزار

  26. بنابراین... آشنایی با بدافزار استاکس نت و راه‏های مقابله با آن بروز حمله در آینده‌ی نزدیک بسیار محتمل است. • مشکلات امنیتی Adobe و DLL Hijack • این‌بار نفوذگران اطلاعات دقیق‌تری از ایران دارند. با استفاده از Removal نمی‌توان به طور قطع با کرم مبارزه کرد. آلودگی در سطح سطح رایانه‏ها، پروژه‏ و ابزارهای Step7، و PLC است.

  27. سرفصل مطالب آشنایی با بدافزار استاکس نت و راه‏های مقابله با آن چرا Stuxnet؟ نحوه عملکرد نحوه شناسایی و رفع نحوه پیشگیری اقدامات لازم

  28. نقاط آلوده‏سازی در سطح رایانه آشنایی با بدافزار استاکس نت و راه‏های مقابله با آن کلیدهای رجیستری • [HKLM\SYSTEM\CurrentControlSet\Services\MRxNet] • [HKLM\SYSTEM\CurrentControlSet\Services\MRxCls] • [HKLM\SYSTEM\CurrentControlSet00X\Services\MRxNet] • [HKLM\SYSTEM\CurrentControlSet00X\Services\MRxCls] تزریق ماژول آلوده به پردازه‏ها • ماژول KERNEL32.DLL.ASLR.XXXXXدر پردازه‏های • services.exe • lsass.exe • svchost.exe ایجاد فایل در شاخه سیستمی • %WinDir%\system32\drivers\mrxnet.sys • %WinDir%\system32\drivers\mrxcls.sys

  29. کشف آلودگی در سطح رایانه آشنایی با بدافزار استاکس نت و راه‏های مقابله با آن کشف Rootkitها • IF EXIST %windir%\system32\drivers\mrxnet.sys echo FOUND! کشف پردازه‌هاي آلوده • TASKLIST /FI “MODULE eq KERNEL32.DLL.ASLR.*”

  30. رفع آلودگی آشنایی با بدافزار استاکس نت و راه‏های مقابله با آن

  31. پیکربندی مجدد آشنایی با بدافزار استاکس نت و راه‏های مقابله با آن عملیات قطع ارتباط رایانه‌ها با شبکه پشتیبانی و پالایش داده‌ها حذف کامل اطلاعات موجود در رایانه حتی Partition Table و BIOS باز نصب سیستم‌عامل و به‌روزرسانی آن باز نصب نرم‌افزارها و به‌روزرسانی آن‌ها اعمال پیکربندی و تنظیمات رایانه بازگردانی داده‌ها بازگردانی رایانه به شبکه

  32. پاکسازی در سطح رایانه آشنایی با بدافزار استاکس نت و راه‏های مقابله با آن استفاده از ضدویروس‏ها • بروزرسانی ضدویروس‏های موجود • استفاده از ضدویروس‏های داخلی استفاده از ابزارهای پاکسازی خودکار مرکز ماهر استفاده از روش‏ دستی آثار ناشناخته بدافزار به جا می‏ماند

  33. رفع دستي - قدم (1) آشنایی با بدافزار استاکس نت و راه‏های مقابله با آن اطلاع رساني به مرکز ماهر خاتمه دادن به پردازه‌هاي آلوده • عدم آلوده‌سازي باينري پردازه‌ها • خاتمه پردازه‌هاي آلوده به منزله پاکسازي Sectionهاي تزريق‌شده • نياز به Reboot • Batch Script • TASKKILL /F /Fi “MODULE eq ERNEL32.DLL.ASLR.*”

  34. رفع دستي - قدم (2) آشنایی با بدافزار استاکس نت و راه‏های مقابله با آن پاکسازي Windows Registry • کليدهاي رجيستري ايجادشده بايد حذف شوند • پاکسازی دستی با Regedit • استفاده از دستور reg در cmd reg delete /f HKLM\SYSTEM\CurrentControlSet\Services\MRxNet ….

  35. رفع دستي – قدم (3) آشنایی با بدافزار استاکس نت و راه‏های مقابله با آن پاکسازي Rootkitها • mrxnet.sys • mrxcls.sys • مسير • %windir%\system32\drivers\ • del /F %windir%\system32\drivers\mrxnet.sys

  36. تأثیرات دیگر بدافزار آشنایی با بدافزار استاکس نت و راه‏های مقابله با آن آثار جانبی بدافزار • کلیدهای رجیستری Legacy • [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MRXCLS\0000\Control] • .... • فایل‏های Log و Config • % Windir%\inf\mdmcpq3.PNF • %Windir%\inf\mdmeric3.PNF • %Windir%\inf\oem6C.PNF • %Windir%\inf\oem7A.PNF • حاوی اطلاعات ارزشمند باقی‏ماندن آنها تأثیر مخربی ندارد. همانند فایل‏ها و کلیدهای رجستری قبلی قابل پاکسازی است.

  37. اطمينان از رفع آشنایی با بدافزار استاکس نت و راه‏های مقابله با آن بررسي مجدد پردازه‏های هدف TASKLIST /Fi “MODULE eq KERNEL32.DLL.ASLR.*” بررسي وجود يا عدم وجود Rootkitها IF EXIST %windir%\system32\drivers\mrxnet.sys echo FOUND!

  38. سرفصل مطالب آشنایی با بدافزار استاکس نت و راه‏های مقابله با آن چرا Stuxnet؟ نحوه عملکرد نحوه شناسایی و رفع نحوه پیشگیری اقدامات لازم

  39. پیشگیری از آلودگی آشنایی با بدافزار استاکس نت و راه‏های مقابله با آن نصب وصله براي آسيب‌پذيري امنيتي • MS10-046 • MS10-061 • MS08-067 • MS10-073 نصب وصله Siemens برای WinCC عدم اجرای پروژه‏های آلوده Step7 بر روی رایانه

  40. سرفصل مطالب آشنایی با بدافزار استاکس نت و راه‏های مقابله با آن چرا Stuxnet؟ نحوه عملکرد نحوه شناسایی و رفع نحوه پیشگیری اقدامات لازم

  41. اقدامات سریع آشنایی با بدافزار استاکس نت و راه‏های مقابله با آن آموزش نيروهای متخصص جهت شناسايي و رفع آلودگی شناسايي سيستم‏های آلوده اتخاذ سیاست رفع آلودگی مناسب • پیکربندی مجدد • پاکسازی دستی

  42. اقدامات میان‏مدت آشنایی با بدافزار استاکس نت و راه‏های مقابله با آن تعیین خط‏مشی‏های امنیتی در ارتباط با • مدیریت وصله‏ها • اتصال رایانه‏ها به شبکه • حافظه‏های قابل حمل • ضدویروس‏ها • اصل حداقل مجوز • به اشتراک گذاری فایل و پرینتر • پشتیبان‏گیری از داده‏ها

  43. اقدامات بلندمدت آشنایی با بدافزار استاکس نت و راه‏های مقابله با آن راه‏اندازی مراکز گوهر در سازمانها به منظور آمادگی دربرابر حوادث آتی آموزش اصول امنيتي به نيروهای انسانی • يکی از دلايل گسترش آسيب‏پذيری عدم آشنايي با نکات ساده امنيتي • آموزش در سطح • مديران • متخصصين فناوری اطلاعات • کارمندان

  44. آشنایی با بدافزار استاکس نت و راه‏های مقابله با آن با تشکر از توجه شما ... پرسش و پاسخ

More Related