Stuxnet - the worm and you

1,279 views
1,188 views

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,279
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
41
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Stuxnet - the worm and you

  1. 1. ‫אמיר טטלבאום‬
  2. 2. ‫מייסד חברת סייבריה‬ ‫‪‬‬‫חוקר חולשות ‪ Malware‬מגמות וגופים שונים בעולם הסייבר‬ ‫‪‬‬‫‪ Hacking Defined Expert‬ו ‪Cyber Warfare Defence‬‬ ‫מרצה בקורסי‬ ‫‪‬‬
  3. 3. ‫270131~ מחשבים נגועים‬ ‫‪‬‬ ‫63556~ מחשבים באיראן‬ ‫‪‬‬‫86723~ מחשבים שאיראן אישרה שנדבקו‬ ‫‪‬‬ ‫4201~ צנטריפוגות הרוסות‬ ‫‪‬‬ ‫8 שיטות התפשטות שונות‬ ‫‪‬‬ ‫4 פגיעויות לא מוכרות (‪)0-Day‬‬ ‫‪‬‬ ‫2 חתימות דיגיטליות גנובות‬ ‫‪‬‬
  4. 4. ‫2 ב- 01, רק היום !‬‫שוק הפגיעויות פורח, יותר ויותר חוקרים מתפרנסים‬ ‫‪‬‬ ‫ממנו כמקור הכנסה ראשון‬ ‫הפגיעויות בסטאקסנט שוות בשוק מעל 000005$‬ ‫‪‬‬
  5. 5. ‫0102/9/03‬ ‫סימנטק משחררת‬ ‫את דו"ח הניתוח‬ ‫0102/7/71‬ ‫סטאקסנט מופיעה‬ ‫עם חתימה חדשה‬ ‫0102/7/41‬ ‫של ‪JMicron‬‬ ‫גרסאת סטאקסנט‬ ‫חדשה נבנית עם‬ ‫0102/7/22‬ ‫חתימת ‪JMicron‬‬ ‫‪ Verisign‬שוללת‬ ‫את החתימה השניה‬ ‫של סטאקסנט‬ ‫0102/7/31‬ ‫סימנטק חותמת‬ ‫0102/7/61‬ ‫על סטאקסנט‬ ‫מיקרוסופט מודיעה‬ ‫על חולשת ‪LNK‬‬ ‫9002/60‬ ‫‪ Verisign‬שוללת‬ ‫סטאקסנט‬ ‫את החתימה של‬‫מופיעה לראשונה‬ ‫‪Realtek‬‬ ‫0102/60/71‬ ‫‪VirusBlokAda‬‬ ‫מגלה את סטאקסנט‬
  6. 6. ‫פצצת סייבר‬ ‫‪‬‬ ‫אוטונומי לחלוטין‬ ‫‪‬‬ ‫◦ מכיל את כל תהליך התקיפה ב‪ Payload‬בודד‬ ‫◦ מתקשר עם 2 שרתי ‪ C&C‬בלבד‬ ‫◦ מתקשר בסביבת ‪ LAN‬בעזרת ‪P2P‬‬ ‫גנרי לחלוטין‬ ‫‪‬‬ ‫◦ לא איראן ולא שום יעד מוגדר אחר מופיעים בקוד‬ ‫◦ השפעה על רכיבי ‪ PLC‬שהם ממירי תדר‬ ‫‪ ‬אין קשר לגרעין ! בטח ובטח לא לצנטריפוגות‬ ‫חמקמק, אך במידה‬ ‫‪‬‬‫◦ שימוש בחתימות דיגיטליות גנובות ע"מ להתחמק מאנטי-וירוסים‬ ‫◦ שימוש ב- ‪ Rootkit‬להסתרה של הקבצים שלו‬‫◦ לעומת זאת – הקוד אינו מוצפן, ללא יכולות ‪Anti-debugging‬‬
  7. 7. ‫לא עושה נזק למחשב‬ ‫‪‬‬ ‫לא מוציא חומר מהארגון הנתקף‬ ‫‪‬‬ ‫שימוש בחתימות דיגיטליות גנובות‬ ‫‪‬‬ ‫שימוש בחולשות לא מוכרות‬ ‫‪‬‬ ‫מנגנוני בלימה‬ ‫‪‬‬‫◦ תקשורת עם שרתי ‪ C&C‬שמאפשרת קבלת פקודת התאבדות‬ ‫◦ הגבלת הדבקה באמצעות ‪ DOK‬למקסימום 3 דילוגים‬ ‫◦ תאריך ‪24/06/2012 – Deadline‬‬ ‫החדרה באזור גיאוגרפי ספציפי‬ ‫‪‬‬
  8. 8. ‫סטאקסנט מציגה מספר חסר תקדים של 4 חולשות ‪0-Day‬‬ ‫‪‬‬ ‫◦ 640-01‪ – MS‬חולשה בקבצי ‪ ,LNK‬משמשת להתפשטות ב‪DOK‬‬‫◦ 160-01‪ – MS‬חולשה ב‪ ,Print Spooler‬משמשת להתפשטות ברשת‬ ‫◦ 370-01‪ – MS‬חולשה ב‪ ,Keyboard Layout‬משמשת ל‪PE‬‬ ‫◦ 290-01‪ – MS‬חולשה ב‪ ,Task Scheduler‬משמשת ל‪PE‬‬ ‫2 חתימות דיגיטליות גנובות‬ ‫‪‬‬ ‫◦ ‪Realtek Semiconductor Corps‬‬ ‫◦ ‪JMicron Technology Corps‬‬
  9. 9. ‫באג דיזיין בקבצי ‪LNK‬‬ ‫‪‬‬ ‫קבצי ‪ LNK‬יכולים להצביע לקבצי ‪( CPL‬שהם ‪DLL‬ים)‬ ‫‪‬‬ ‫הקוד הפגיע מנסה לטעון אייקונים מתוך קבצי ה‪CPL‬‬ ‫‪‬‬‫טעינת קבצי ה‪ CPL‬לטובת חיפוש האייקון מריצה את ה‪CPL‬‬ ‫‪‬‬ ‫קורה בכל פעם שמסתכלים על תיקיה‬ ‫‪‬‬
  10. 10. ‫חולשה ב- ‪Print Spooler Service‬‬ ‫‪‬‬ ‫מאפשרת "הדפסה" מרחוק של קובץ‬ ‫‪‬‬‫◦ הקובץ נשמר תחת תיקיית 23‪ %SystemRoot%System‬לפי בחירתנו‬ ‫◦ תוכן הקובץ שנשמר בשליטתנו‬ ‫◦ שם הקובץ שנשמר בשליטתנו‬ ‫הדפסת קבצי ‪ MOF‬לתיקיית ‪%SystemRoot%System32wbemmof‬‬ ‫‪‬‬ ‫◦ קבצים בתיקיה זו רצים באופן אוטומטי‬
  11. 11. ‫חולשה במנגנון ה‪ Keyboard Layout‬של חלונות‬ ‫‪‬‬ ‫העלאת הרשאות ממשתמש רגיל ל‪Kernel‬‬ ‫‪‬‬‫מבוססת על טעות בבדיקה של מערך מצביעים לפונקציות‬ ‫‪‬‬
  12. 12. ‫חולשה ב‪ Task Scheduler‬של חלונות‬ ‫‪‬‬‫כל משתמש יכול ליצור משימה אשר תתבצע בעתיד (בהרשאות שלו)‬ ‫‪‬‬ ‫משימות נשמרות בתיקיית ‪C:windowssystem32tasks‬‬ ‫‪‬‬ ‫כל קובץ משימה מכיל את ההרשאות שאיתן תתבצע המשימה‬ ‫‪‬‬‫מה מונע מאיתנו לשנות את ההרשאות הללו לאחר יצירת המשימה ?‬ ‫‪‬‬ ‫◦ קיים מנגנון חתימה דיגיטלית על הקבצים ‪‬‬ ‫◦ מנגנון החתימה הדיגיטלית הוא 23‪ CRC‬‬
  13. 13. ‫בקרי ‪ SCADA‬של חברת סימנס‬ ‫‪‬‬ ‫לא סתם בקרי ‪:SCADA‬‬ ‫‪‬‬ ‫◦ 714-7‪6ES‬‬ ‫◦ 2-513-7‪6ES‬‬ ‫◦ 5-243 ‪CP‬‬
  14. 14. ‫תדר עבודה תקין של קסקדה נע בין ‪ 807Hz‬ל ‪1210Hz‬‬ ‫‪‬‬‫סטאקסנט משנה את תדר העבודה ל‪ 1410Hz‬לפרק זמן מסוים, ואז‬ ‫‪‬‬ ‫מוריד בבת אחת את תדר העבודה ל‪2Hz‬‬‫שינוים קיצוניים אלה, פוגמים גם בתפוקה וגם בקסקדה עצמה, עד כדי‬ ‫‪‬‬ ‫שבירת הציר‬
  15. 15. ‫‪ – Cyberspace is real‬השפעה גם בעולם המוחשי‬ ‫‪‬‬ ‫פצצות סייבר כבר לא ‪Science Fiction‬‬ ‫‪‬‬ ‫עולם הסייבר הפך ל"חזית החמישית" של המלחמה‬ ‫‪‬‬ ‫הבנה שגם בעולם הסייבר קיים ‪Collateral Damage‬‬ ‫‪‬‬‫◦ סימנס מדווחת על לפחות 91 לקוחות אחרים אשר נדבקו‬
  16. 16. ‫סטאקסנט כשינוי פרדימה בעולם הסייבר‬ ‫ האחרון‬BlackHat ‫לקט הרצאות "חמות" מ‬  Exploiting Siemens Simatic S7 PLCs ◦ Vulnerabilities in Wireless Water Meter Networks ◦ Battery Firmware Hacking ◦ Hacking Medical Devices for Fun and Insulin: ◦ Breaking the Human SCADA System
  17. 17. Open Source Cyber Weapon ‫ נעזר בסטאקסנט‬CyberCrime‫ה‬ ‫ותוקף בחזרה בארה"ב‬
  18. 18. ‫‪Open Source Cyber Weapon‬‬ ‫הקוד של סטאקסנט מסתובב באינטרנט‬ ‫‪‬‬ ‫רק מחכה לשימוש חוזר‬ ‫‪‬‬
  19. 19. ‫תודה רבה !‬

×