Stuxnet Redux: Questions and Answers
Posted by Sean @ 11:21 GMT |
Tuesday, November 23, 2010
Theo: http://www.f-secure.com/weblog/archives/00002066.html
Bài được đưa lên Internet ngày: 23/11/2010
Lời người dịch: Đây là những thông tin cơ bản để tìm hiểu về những vấn đề liên quan tới Stuxnet cùa F-Sucure như: Stuxnet là gì? Nó được lan truyền như thế nào? Nó đánh vào đâu và vào cái gì? Cấu tạo của Stuxnet gồm những gì? Vì sao nó có thể làm việc được trên Windows? Nó đã tận dụng được bao nhiều lỗi và là những lỗi cụ thể nào trong Windows? Kich thước của nó là bao nhiêu? Ai đã viết ra nó và vì sao? Nước Mỹ quan tâm tới nó như thế nào? Và nhiều câu hỏi đáp thú vị khác.
Stuxnet tiếp tục là một chủ đề nóng. Đây là một tập hợp cập nhật các câu hỏi và đáp về nó.
H: Stuxnet là gì?
Đ: Đây là một sâu Windows, lan truyền thông qua các ổ USB. Một khi nằm trong một tổ chức, nó cũng có thể lan truyền bằng việc tự sao chép nó vào mạng của những máy chia sẻ nếu họ có những mật khẩu yếu.
H: Nó có thể lan truyền qua các thiết bị khác được không?
Đ: Chắc chắn, nó có thể lan truyền bất kỳ thứ gì mà bạn có thể đưa lên thành một ổ. Như một ổ đĩa cứng USB, điện thoại di động, khung ảnh và vân vân.
H: Nó sẽ làm gì sau đó?
Đ: Nó gây lây nhiễm hệ thống, tự ẩn mình với một rootkit và xem liệu máy tính bị lây nhiễm có được kết nối tới một hệ thống nhà máy Simatic của Siemens (Bước 7) hay không.
H: Nó sẽ làm gì với Simatic?
Đ: Nó sửa các lệnh được gửi từ máy tính Windows tới các Trình kiểm soát Logic Có thể lập trình được - PLC (Programmable Logic Controllers, như các máy mà thực sự kiểm soát các máy móc). Một khi chạy được trên PLC, thì nó tìm kiếm một môi trường máy móc cụ thể. Nếu không tìm thấy, thì nó sẽ không làm gì cả.
Stuxnet continues to be a hot topic. Here's an updated set of Questions and Answers on it.
Q: What is Stuxnet?
A: It's a Windows worm, spreading via USB sticks. Once inside an organization, it can also spread by copying itself to network shares if they have weak passwords.
Q: Can it spread via other USB devices?
A: Sure, it can spread anything that you can mount as a drive. Like a USB hard drive, mobile phone, picture frame and so on.
Q: What does it do then?
A: It infects the system, hides itself with a rootkit and sees if the infected computer is connected to a Siemens Simatic (Step7) factory system.
Q: What does it do with Simatic?
A: It modifies commands sent from the Windows computer to the PLC (Programmable Logic Controllers, i.e. the boxes that actually control the machinery). Once running on the PLC, it looks for a specific factory environment. If this is not found, it does nothing.
H: Thế nó tìm kiếm loại nhà máy nào vậy?
Đ: Chúng tôi không biết.
H: Thế nó có tìm ra được nhà máy mà nó đang tìm kiếm không?
Đ: Chúng tôi không biết.
H: Thế nó có thể làm gì nếu nó tìm thấy nhà máy?
Đ: Sự sửa đổi PLC tìm kiếm sự truyền động của các bộ chuyển tốc tần số cao (các truyền động AC) và sửa đổi hoạt động của chúng.
H: Sự truyền động của bộ chuyển tốc tần số cao là gì?
Đ: Về cơ bản, đây là một thiết bị mà có thể kiểm soát tốc độ của một động cơ. Stuxnet tìm kiếm các truyền động AC cụ thể được Vacon (hãng có trụ sở ở Phần Lan) và Fararo Paya (hãng có trụ sở ở Iran) sản xuất.
H: Thế Stuxnet có lây nhiễm cho những truyền động của Vacon và Fararo Paya không?
Đ: Không. Các truyền động của họ không bị lây nhiễm. PLC bị lây nhiễm sẽ sửa đổi cách mà các truyền động chạy. Sự sửa đổi này xảy ra chỉ khi những điều kiện rất cụ thể tất cả đều đúng và cùng lúc, đưa vào một tần số đầu ra cực kỳ cao. Vì thế, bất kỳ ảnh hưởng có thể nào cũng có thể liên quan tới những vùng ứng dụng truyền động AC cực kỳ có giới hạn.
H: Những vùng ứng dụng đó là gì vậy? Các truyền động AC được sử dụng để làm gì?
Đ: chúng được sử dụng cho nhiều mục đích, ví dụ, cho các hệ thống nén khí có hiệu quả.
H: Còn có bất kỳ ví dụ nào khác không?
Đ: Vâng có đấy, chúng cũng được sử dụng cho các máy li tâm làm giàu.
H: Như trong?
Đ: Như trong việc làm giàu Uranium nơi mà các máy li tâm quay với một tốc độ cực kỳ lớn. Điều này giải thích vì sao các truyền động được coi như công nghệ sử dụng đúp và nằm trong danh sách hạn chế xuất khẩu của Cơ quan Năng lượng Nguyên tử Quốc tế IAEA.
Q: Which plant is it looking for?
A: We don't know.
Q: Has it found the plant it's looking for?
A: We don't know.
Q: What would it do if it finds it?
A: The PLC modification searches for specific high-frequency converter drives (AC drives) and modifies their operation.
Q: What's a high-frequency converter drive?
A: Basically, it's a device that can control the speed of a motor. Stuxnet searches for specific AC drives manufactured by Vacon (based in Finland) and Fararo Paya (based in Iran).
Q: So does Stuxnet infect these Vacon and Fararo Paya drives?
A: No. They drives do not get infected. The infected PLC modifies how the drives run. The modification happens only when very specific conditions are all true at the same time, including an extremely high output frequency. Therefore, any possible effects would concern extremely limited AC drive application areas.
Q: What are those application areas? What are AC drives used for?
A: They are used for various purposes, for example for efficient air pressure systems.
Q: Any other examples?
A: Well yes, they are also used for enrichment centrifuges.
Q: As in?
A: As in Uranium enrichment where centrifuges spin at a very high speed. This is why high-frequency drives are considered dual-use technology and are under the IAEA export restriction list.
H: Liệu mã nguồn của Stuxnet có làm cho các máy li tâm tích hợp sai vào các luồng phóng ở khoảng Mach (tốc độ) 2 hay không?
Đ: Hình như những sửa đổi có thể gây ra cho những máy li tâm sản xuất ra uranium chất lượng tồi. Những thay đổi đó cũng có thể không dò tìm ra được trong một khoảng thời gian dài.
H: Ông đã từng có liên hệ với Vacon chứ?
Đ: Vâng có. Họ từng nghiên cứu vấn đề này và họ không nhận thức được về bất kỳ sự cố nào nơi mà Stuxnet có thể đã tạo ra những vấn đề trong các hoạt động của các khách hàng của Vacon.
H: Một số người cho là mục tiêu của Stuxnet là các trang thiết bị làm giàu của Natanz tại Iran. Liệu có các truyền động AC của Vacon trong các trang thiết bị đó không?
Đ: Theo Vacon, họ không nhận thức được về bất kỳ truyền động nào của Vacon đang sử dụng trong chương trình hạt nhân của Iran, và họ có thể khẳng định rằng họ không bán bất kỳ truyền động AC Vacon nào cho Iran chống lại lệnh cấm vận cả.
H: Thế ông có liên hệ với Fararo Paya không?
Đ: Không.
H: Ông biết gì về công ty này?
Đ: Không gì cả. Dường như là nó rất nổi tiếng ngoài Iran. Chúng tôi không biết về bất kỳ khách hàng nào của truyền động AC mà họ có thể có bên ngoài Iran.
H: Điều đó có thể chỉ ra quốc gia đích là nước nào, phải không?
Đ: Câu hỏi tiếp đi.
H: Liệu có thiệt hại phụ thêm nào không? Liệu Stuxnet có đánh vào nhà máy khác mà không phải là mục tiêu ban đầu không?
Đ: Nó có thể rất tương tự với mục tiêu ban đầu.
Q: Would the Stuxnet code cause centrifuges to disintegrate into projectiles traveling at around Mach 2?
A: It's more likely the modifications would cause the centrifuges to produce bad-quality uranium. The changes could go undetected for extended periods of time.
Q: Have you been in touch with Vacon?
A: Yes. They have been investigating the matter and they are not aware of any instances where Stuxnet would have created problems in the operations of Vacon's customers.
Q: Some suggest the target of Stuxnet was the Natanz enrichment facility in Iran. Are there Vacon AC drives in these facilities?
Q: According to Vacon, they are not aware of any Vacon drives in use in the Iranian nuclear program, and they can confirm that they have not sold any AC drives to Iran against the embargo.
Q: Have you been in touch with Fararo Paya?
A: No.
Q: What do you know about this company?
A: Nothing. It doesn't seem to be very well known outside of Iran. We're not aware of any AC drive customers they would have outside of Iran.
Q: That would indicate what the target country was, wouldn't it?
A: Next question.
Q: Could there be collateral damage? Could Stuxnet hit another plant that was not the original target?
A: It would have to be very similar to the original target.
H: Ông có biết về bất kỳ nhà máy nào tương tự như nhà máy làm giàu uranium của Iran không?
Đ: Hóa ra là Bắc Triều Tiên dường như có một nhà máy mà chia sẻ cùng thiết kế y hệt.
H: Vì sao Stuxnet được cho là rất tinh vi phức tạp?
Đ: Nó sử dụng nhiều chỗ bị tổn thương và còn bỏ thêm trình điều khiển của riêng nó vào hệ thống.
H: Nó có thể cài đặt thế nào trình điều khiển của riêng nó nhỉ? Liệu các trình điều khiển có được ký cho chúng làm việc trong Windows hay không?
Đ: Trình điều khiển của Stuxnet đã được ký với một chứng chỉ bị ăn cắp từ Realtek Semiconductor Corp.
H: Làm sao ông ăn cắp được một chứng chỉ?
Đ: Có thể với phần mềm độc hại tìm kiếm các tệp chứng chỉ và sử dụng một trình ghi lại gõ bàn phím để thu thập các mật ngữ khi nó được gõ vào. Hoặc đột nhập vào và ăn cắp đồ để ký, rồi ép một cách vũ phu để có được mật ngữ.
H: Liệu chứng chỉ bị ăn cắp có được rút bỏ không?
Đ: Có. VeriSign đã rút bỏ nó vào ngày 16/07 rồi. Một biến thể được sửa đổi được ký với một chứng chỉ ăn cắp được từ JMicron Technology Corp đã được tìm thấy vào ngày 17/07.
Q: Do you know of any plants that would be similar to Iran's uranium enrichment plant?
A: Turns out North Korea seems to have a plant that shares the same design.
Q: Why is Stuxnet considered to be so complex?
A: It uses multiple vulnerabilities and drops its own driver to the system.
Q: How can it install its own driver? Shouldn't drivers be signed for them to work in Windows?
A: Stuxnet driver was signed with a certificate stolen from Realtek Semiconductor Corp.
Q: How do you steal a certificate?
A: Maybe with malware looking for certificate files and using a keylogger to collect the passphrase when it's typed in. Or breaking in and stealing the signing gear, then brute-forcing the passphrase.
Q: Has the stolen certificate been revoked?
A: Yes. VeriSign revoked it on July 16th. A modified variant signed with a certificate stolen from JMicron Technology Corp was found on July 17th.
H: Thế quan hệ giữa Realtek và Jmicron là thế nào?
Đ: Không gì cả. Nhưng các công ty này có các trụ sở của họ trong cùng một khu văn phòng tại Đài Loan... mà điều này là kỳ dị khó hiểu.
H: Những chỗ bị tổn thương nào mà Stuxnet khai thác?
Đ: Tổng cộng, Stuxnet khai thác 5 chỗ bị tổn thương khác nhau, 4 trong số đó là các lỗi ngày số 0:
LNK (MS10-046)
Print Spooler (MS10-061)
Server Service (MS08-067)
Leo thang các quyền ưu tiên thông qua tệp trình bày của Bàn phím (MS10-073)
Leo thang quyền ưu tiên thông qua trình đặt lịch các tác vụ Task Scheduler
H: Những thứ này đã được Microsoft vá xong chưa?
Đ: Tất cả rồi ngoại trừ một trong 2 sự leo thang quyền ưu tiên đã từng được vá. Một khai thác công khai đối với chỗ bị tổn thương còn lại cuối cùng đã được tung ra vào tháng 11.
H: Liệu những người đã tạo ra Stuxnet có tự mình tìm thấy những chỗ bị tổn thương ngày số 0 hay họ đã mua chúng từ chợ đen?
Đ: Chúng tôi không biết.
H: Những chỗ bị tổn thương như vậy có đắt tiền không?
Đ: Cũng còn tùy. Một lỗi chạy được mã nguồn từ xa ngày số 0 trong một phiên bản phổ biến của Windows có thể có giá giữa 50.000 USD đến 500.000 USD.
H: Vì sao nó cũng chậm phân tích chi tiết Stuxnet vậy?
Đ: Nó phức tạp không bình thường và lớn không bình thường. Stuxnet có kích cỡ hơn 1.5MB.
Q: What's the relation between Realtek and Jmicron?
A: Nothing. But these companies have their HQs in the same office park in Taiwan… which is weird.
Q: What vulnerabilities does Stuxnet exploit?
A: Overall, Stuxnet exploits five different vulnerabilities, four of which were 0-days:
LNK (MS10-046)
Print Spooler (MS10-061)
Server Service (MS08-067)
Privilege escalation via Keyboard layout file (MS10-073)
Privilege escalation via Task Scheduler
Q: And these have been patched by Microsoft?
A: All but one of the two Privilege escalations has been patched. A public exploit for the last remaining vulnerability was released in November.
Q: Did the Stuxnet creators find their own 0-day vulnerabilities or did they buy them from the black market?
A: We don't know.
Q: How expensive would such vulnerabilities be?
A: This varies. A single remote code execution zero-day in a popular version of Windows could go for anything between $50,000 to $500,000.
Q: Why was it so slow to analyze Stuxnet in detail?
A: It's unusually complex and unusually big. Stuxnet is over 1.5MB in size.
H: Khi nào Stuxnet đã bắt đầu lan truyền?
Đ: Vào tháng 06/2009, hoặc thậm chí còn sớm hơn. Một trong những thành phần có một ngày biên dịch vào tháng 01/2009.
H: Nó bị phát hiện khi nào?
Đ: Một năm sau, vào tháng 06/2010.
H: Làm thế nào điều đó lại có thể được?
Đ: Câu hỏi tốt.
H: Mất bao lâu để tạo ra được Stuxnet?
Đ: Chúng tôi ước tính rằng nó cần hơn 10 người - năm để phát triển Stuxnet.
H: Ai có thể đã viết Stuxnet?
Đ: Nhìn vào sự đầu tư về tài chính và nghiên cứu & phát triển cần có và kết hợp điều này với thực tế là không có cơ chế kiếm tiền một cách rõ ràng bên trong Stuxnet, thì chỉ có thể có 2 khả năng: một nhóm khủng bố hoặc một nhà nước. Và chúng tôi không tin bất kỳ nhóm khủng bố nào có thể có được dạng các tài nguyên này.
H: Thế thì Stuxnet đã được một chính phủ viết ra à?
Đ: Đó là những gì nó có thể trông giống, vâng.
H: Làm thế nào mà các chính phủ có thứ gì đó quá phức tạp được?
Đ: Câu hỏi láu cá. Thú vị thật. Câu hỏi tiếp theo đi.
H: Là Israel à?
Đ: Chúng tôi không biết.
H: Hay là Ai Cập? Hay là Ả Rập Xê Út? Hay là Mỹ?
Đ: Chúng tôi không biết.
Q: When did Stuxnet start spreading?
A: In June 2009, or maybe even earlier. One of the components has a compile date in January 2009.
Q: When was it discovered?
A: A year later, in June 2010.
Q: How is that possible?
A: Good question.
Q: How long did it take to create Stuxnet?
A: We estimate that it took over 10 man-years to develop Stuxnet.
Q: Who could have written Stuxnet?
A: Looking at the financial and R&D investment required and combining this with the fact that there's no obvious money-making mechanism within Stuxnet, that leaves only two possibilities: a terror group or a nation-state. And we don't believe any terror group would have this kind of resources.
Q: So was Stuxnet written by a government?
A: That's what it would look like, yes.
Q: How could governments get something so complex right?
A: Trick question. Nice. Next question.
Q: Was it Israel?
A: We don't know.
Q: Was it Egypt? Saudi Arabia? USA?
A: We don't know.
H: Và đã nhằm vào Iran?
Đ: Chúng tôi không biết.
H: Liệu có đúng là có những tham chiếu của kinh thánh bên trong Stuxnet hay không?
Đ: Có một tham chiếu tới “Myrtus” (mà là một nhà máy mía). Tuy nhiên, điều này không là “ẩn” trong mã nguồn. Đây là một sự giả tưởng để lại bên trong chương trình khi nó đã được biên dịch. Về cơ bản thì điều này nói cho chúng tôi nơi mà tác giả lưu trữ mã nguồn trong hệ thống của anh ta. Đường dẫn cụ thể trong Stuxnet là: \myrtus\src\objfre_w2k_x86\i386\guava.pdb. Các tác giả có lẽ đã không muốn chúng toi biết học đã gọi dự án của họ là “Myrtus”, nhưng nhờ có sự giả tưởng này mà chúng tôi biết được. Chúng tôi cũng đã thấy những giả tưởng này trong các phần mềm độc hại khác. Cuộc tấn công Chiến dịch Aurora chống lại Google đã có tên là Aurora sau khi đường dẫn này đã được tìm ra bên trong một trong những tệp nhị phân trong: \Aurora_Src\AuroraVNC\Avc\Release\AVC.pdb.
H: Làm thế nào chính xác “Myrtus” là một tham chiếu của kinh thánh được?
Đ: Ờ... chúng tôi không biết, thực sự đấy. (Tuy nhiên, độc giả Craig B. đã để lại một bình luận trong một phiên bản sớm của bài viết này).
H: Liệu nó có còn có ý nghĩa nào khác không?
Đ: Ề: nó có nghĩa “My RTUs”, chứ không phải là “Myrtus”. RTU là một từ viết tắt cho Remote Terminal Units, nghĩa là các đơn vị đầu cuối từ xa, được sử dụng trong các hệ thống máy móc.
H: Làm thế nào Stuxnet biết được nó đã gây lây nhiễm được cho một máy?
Đ: Nó thiết lập khó đăng ký Registry với một giá trị “19790509” như một đánh dấu lây nhiễm.
H: Ý nghĩa của “19790509” là gì vậy?
Đ: Đó là một ngày. Ngày 09/05/1979.
Q: Was the target Iran?
A: We don't know.
Q: Is it true that there's are biblical references inside Stuxnet?
A: There is a reference to "Myrtus" (which is a myrtle plant). However, this is not "hidden" in the code. It's an artifact left inside the program when it was compiled. Basically this tells us where the author stored the source code in his system. The specific path in Stuxnet is: \myrtus\src\objfre_w2k_x86\i386\guava.pdb. The authors probably did not want us to know they called their project "Myrtus", but thanks to this artifact we do. We have seen such artifacts in other malware as well. The Operation Aurora attack against Google was named Aurora after this path was found inside one of the binaries: \Aurora_Src\AuroraVNC\Avc\Release\AVC.pdb.
Q: So how exactly is "Myrtus" a biblical reference?
A: Uhh… we don't know, really. (However, reader Craig B. left a comment in an earlier version of this post.)
Q: Could it mean something else?
A: Yeah: it could mean "My RTUs", not "Myrtus". RTU is an abbreviation for Remote Terminal Units, used in factory systems.
Q: How does Stuxnet know it has already infected a machine?
A: It sets a Registry key with a value "19790509" as an infection marker.
Q: What's the significance of "19790509"?
A: It's a date. 9th of May, 1979.
H: Điều gì đã xảy ra trong ngày 09/05/1979?
Đ: Có thể là ngày sinh nhật của tác giả chăng? Một lần nữa, trong ngày đó một doanh nhân người Do thái – Iran được gọi là Hbib Elghanian đã bị hành hình tại Iran. Ông đã bị tố cáo làm gián điệp cho Israel.
H: Ồ
Đ: Ề.
H: Rõ ràng những kẻ tấn công đã có nhiều thông tin nội bộ của nhà máy đích và có thể đã có một nội gián. Vì sao cuối cùng họ đã sử dụng một sâu? Vì sao họ không thể chỉ nhờ nội gián của họ tiến hành làm các sửa đổi?
Đ: Chúng tôi không biết. Vì có thể bị từ chối chăng? Có lẽ nội gián đã không truy cập được tới các hệ thống chủ chốt chăng? Có thể nội gián đã không ở nhà máy mà đã truy cập tới các kế hoạch thiết kế chăng? Có thể không có nội gián chăng?
H: Liệu có sự liên kết nào giữa Stuxnet và Conficker hay không?
Đ: Có thể. Các biến thể của Conficker đã được tìm thấy vào giữa tháng 11/2008 và tháng 04/2009. Các biến thể ban đầu của Stuxnet đã được phát hiện ngay sau đó. Cả 2 đều khai thác chỗ bị tổn thương MS08-067. Cả 2 sử dụng các ổ USB để lan truyền. Cả 2 sử dụng những mật khẩu mạng yếu để lan truyền. Và, tất nhiên, cả 2 đều tinh vi phức tạp một cách không bình thường.
Q: What happened on 9th of May, 1979?
A: Maybe it's the birthday of the author? Then again, on that date a Jewish-Iranian businessman called Habib Elghanian was executed in Iran. He was accused to be spying for Israel.
Q: Oh.
A: Yeah.
Q: Obviously the attackers had lots of inside information of the target plant and possibly had a mole inside. Why did they use a worm at all? Why couldn't they just have their mole do the modifications?
A: We don't know. For deniability? Maybe the mole had no access to the key systems? Maybe the mole was not at the plant but had access to the design plans? Maybe there was no mole?
Q: Is there a link between Stuxnet and Conficker?
A: It's possible. Conficker variants were found between November 2008 and April 2009. The first variants of Stuxnet were found shortly after that. Both exploit the MS08-067 vulnerability. Both use USB sticks to spread. Both use weak network passwords to spread. And, of course, both are unusually complex.
H: Liệu có một liên kết nào tới bất kỳ phần mềm độc hại nào khác không?
Đ: Một số biến thể của Zlob từng là đầu tiên sử dungụng chỗ bị tổn thương của LNK.
H: Việc vô hiệu hóa AutoRun có thể là dừng Stuxnet, có đúng không?
Đ: Sai. Stuxnet đã sử dụng một lỗi ngày số 0. Khi nó là mới, thì nó có thể đã gây lây nhiễm máy Windows của bạn thậm chí nếu bạn được vá đầy đủ, đã vô hiệu hóa AutoRun, đã chạy theo một tài khoản người sử dụng mức thấp bị hạn chế và đã vô hiệu hóa việc chạy các chương trình từ các ổ USB.
H: Nhưng nói chung, việc vô hiệu hóa AutoRun trong Windows sẽ làm dừng các sâu của USB, có đúng không?
Đ: Sai. Có một vài cơ chế lan truyền khác mà các sâu USB sử dụng, như là những lây nhiễm bầu bạn. Vẫn là một ý tưởng tốt để vô hiệu hóa nó, nhưng không phải là cách cứu chữa đầy đủ.
H: Liệu Stuxnet có lan truyền mãi mãi không?
Đ: Những phiên bản hiện hành có một “ngày chết” là 24/06/2012. Nó sẽ dừng lan truyền vào ngày đó.
H: Có bao nhiêu máy tính đã bị lây nhiễm?
Đ: Hàng trăm ngàn máy.
H: Nhưng Siemens đã công bố rằng chỉ 15 nhà máy đã bị lây nhiễm cơ mà.
Đ: Họ đang nói về các nhà máy. Hầu hết các máy bị lây nhiễm là những lây nhiễm phụ kèm, như những chiếc máy tính thông thường ở gia đình hoặc công sở mà không được kết nối tới các hệ thống SCADA.
H: Làm thế nào những kẻ tấn công có thể làm cho một Trojan như thế chui vào được một trang thiết bị an ninh nhỉ?
Q: Is there a link to any other malware?
A: Some Zlob variants were the first to use the LNK vulnerability.
Q: Disabling AutoRun would have stopped Stuxnet, right?
A: Wrong. Stuxnet used a zero-day. When it was new, it would have infected your Windows box even if you were fully patched, had AutoRun disabled, were running under a restricted low-level user account and had disabled execution of programs from USB drives.
Q: But in general, disabling AutoRun in Windows will stop USB worms, right?
A: Wrong. There are several other spreading mechanisms USB worms use, such as companion infections. It is still a good idea to disable it, but it's not a cure-all.
Q: Will Stuxnet spread forever?
A: The current versions have a "kill date" of June 24, 2012. It will stop spreading on this date.
Q: How many computers did it infect?
A: Hundreds of thousands.
Q: But Siemens has announced that only 15 factories have been infected.
A: They are talking about factories. Most of the infected machines are collateral infections, i.e. normal home and office computers that are not connected to SCADA systems.
Q: How could the attackers get a trojan like this into a secure facility?
Đ: Ví dụ, bằng việc đột nhập được vào nhà của một nhân viên, tìm thấy ổ USB của anh ta và gây lây nhiễm cho nó. Rồi chờ cho nhân viên đó mang ổ USB đó làm việc và gây lây nhiễm cho máy tính làm việc của anh ta. Sự lây nhiễm này sẽ lan truyền tiếp bên trong trang thiết bị an ninh thông qua các ổ USB, cuối cùng đánh được vào đích. Như một hiệu ứng phụ, nó sẽ tiếp tục lan truyền tiếp bất cứ đâu. Điều này giải thích vì sao Stuxnet đã lan truyền khắp thế giới.
H: Liệu Stuxnet có nhấn chìm được Deepwater Horizon (một siêu giàn khoan dầu ngoài khơi) và gây ra thảm họa tràn dầu Mexico được không?
Đ: Không, chúng tôi không nghĩ thế. Mặc dù dường như là Deepwater Horizon quả thực đã có một số hệ thống PLC của Siemens trên nó.
H: Liệu có đúng là Thượng viện Mỹ đã tổ chức điều trần về Stuxnet không?
Đ: Vâng đúng, vào tháng 11.
H: F-Secure có dò tìm ra được Stuxnet không?
Đ: Có.
Lưu ý: Chúng tôi đã học được nhiều chi tiết được nhắc tới trong phần Hỏi & Đáp này trong các thảo luận với các nhà nghiên cứu từ Microsoft, Kaspersky, Symantec, và các nhà cung cấp khác.
Video từ Bản tin 2010 về Virus mà nhà nghiên cứu của Symantec là Liam O'Murchu trình bày chứng minh khái niệm sự sửa đổi SCADA như Stuxnet mà nó làm thay đổi hoạt động của một máy bơm khí có thể xem ở đây.
A: For example, by breaking into a home of an employee, finding his USB sticks and infecting it. Then wait for the employee to take the sticks to work and infect his work computer. The infection will spread further inside the secure facility via USB sticks, eventually hitting the target. As a side effect, it will continue spread elsewhere also. This is why Stuxnet has spread worldwide.
Q: Did Stuxnet sink Deepwater Horizon and cause the Mexican oil spill?
A: No, we do not think so. Although it does seem Deepwater Horizon indeed did have some Siemens PLC systems on it.
Q: Is it true that the US Senate held hearings on Stuxnet?
A: Yes, in November.
Q: Does F-Secure detect Stuxnet?
A: Yes.
Note: We have learned many of the details mentioned in this Q&A in discussions with researchers from Microsoft, Kaspersky, Symantec, and other vendors.
Video from Virus Bulletin 2010 where Symantec researcher Liam O'Murchu demonstrates a proof of concept Stuxnet-like SCADA modification that changes the operation of an air pump.
Dịch tài liệu: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.