Weaponized Malware: How Criminals are Using Digital Certificates
Security | Guest Opinion | Jeff Hudson, Monday, January 10, 2011
Theo: http://www.ctoedge.com/content/weaponized-malware-how-criminals-are-using-digital-certificates
Bài được đưa lên Internet ngày: 10/01/2011
Lời người dịch: Stuxnet từng sử dụng 4 lỗi ngày số 0 trong Windows và những chứng thực số bị ăn cắp để đẩy lùi tham vọng hạt nhân của Iran. “Phần mềm độc hại được vũ khí hóa Stuxnet là một lời cảnh tỉnh rất mạnh mẽ khi nó đã khai thác những thực tế quản lý tồi của các chứng thực số mà đang tồn tại trong nhiều hãng ngày nay. Việc triển khai những thực tế và chính sách cho sự quản lý các chứng thực số là một thành phần quan trọng và cần thiết của một chiến lược an ninh bao quát và rộng rãi. Đây là một chiến lược mà có thể dò tìm ra được sự xuất hiện của phần mềm độc hại mà nó sử dụng các chứng thực số để xác thực. Các phần mềm độc hại được vũ khí hóa đã hoặc sẽ nhắm tới mọi công ty trong Global 2000. Trách nhiệm là phải hành động trước khi vũ khí đó tấn công”. Quản lý chứng thực số yếu kém sẽ tạo ra những rủi ro không thể lượng hóa và không thể quản lý được và là miếng mồi cho các phần mềm độc hại được vũ khí hóa như Stuxnet. Đó là thông điệp của bài viết này.
Cuộc tấn công không gian mạng gần đây vào cơ sở hạt nhân của Iran có sử dụng virus Stuxnet gây lo lắng cho tất cả chúng ta - không chỉ cho những người gần lân cận mà họ đang nằm trong sự nguy hiểm bị đánh trong thế giới tiếp theo những hành động của một virus máy tính.
Những đầu đề xung quanh câu chuyện về cuộc tấn công của Stuxnet vào cơ sở hạt nhân của Iran đã quen thuộc: “Cuộc tấn công mới bằng phần mềm độc hại”. An ninh số đe dọa và đôi khi bị thổi phồng xung quanh chúng đã trở thành phổ biến trong thế giới kết nối mạng và phụ thuộc vào IT của chúng ta. Tuy nhiên, đây từng là một cuộc tấn công không bình thường. Có lẽ phần mềm độc hại đã được giới thiệu trong mạng cục bộ của các cơ sở hạt nhân của Iran. Nó đã đi vào giữa Internet và mạng nội bộ. Khả năng khác từng là một người trong cuộc đáng tin cậy mà từng là một tác nhân của tổ chức mà đã triển khai cuộc tấn công.
Như các nhà nghiên cứu sau này đã phát hiện, cuộc tấn công đã sử dụng 4 khai thác ngày số 0 khác nhau trong các nền tảng Windows. Bổ sung vào các cuộc tấn công lỗi ngày số 0, “tải trọng” đã đưa vào một chứng thực điện tử bị ăn cắp mà đã được phát hành bởi Verisign. Virus tự phát tán và lan truyền tới nhiều máy. Nhiệm vụ của virus này là tự động phát tán điên cuồng (đã không có kênh phản hồi cho một máy chủ ra lệnh và kiểm soát vì đây từng là một mạng được cô lập). Nó sau đó đã định vị và hoạt động như một chiếc van hoặc module kiểm soát mà từng là một phần sống còn của hạ tầng cơ sở hạt nhân, với dự định làm vô hiệu hóa hoặc gây tổn hại cho cơ sở này. Nói một cách khác: hành động như một vũ khí. Đây là một bước đáng kể trong sự phát triển phần mềm độc hại.
The recent cyber attack on an Iranian nuclear facility using the Stuxnet virus should worry all of us - not just those in close proximity who were in danger of being blown into the next world by the actions of a computer virus.
The headlines around the story of the Stuxnet attack on an Iranian nuclear facility were familiar: “New Malware Attack." Digital security threats and sometimes the hype surrounding them have become commonplace in our interconnected and IT-dependent world. However, this was no ordinary attack. Apparently malware was introduced into the Iranian nuclear facilities local area network. It entered between the Internet and the internal network. The other possibility was a trusted insider who was an agent of the organization that carried out the attack.
As researchers later discovered, the attack used four different zero-day exploits on Windows platforms. In addition to the zero-day attacks, the "payload" included a stolen digital certificate that was issued by Verisign. The virus was self-propagating and spread to numerous machines. The mission of this virus was to auto-propagate in the wild (there was no back channel to a command and control host as this was an isolated network). It was then to locate and operate a valve or control module that was a critical part of the nuclear facility’s infrastructure, with the intent of disabling or damaging the facility. In other words: to act as a weapon. This is a significant step forward in the development of malware.
Tiếp cận truyền thống, độc hại nhằm gây hại cho cơ sở có thể là sử dụng vũ khí truyền thống (như bom). Sự khác biệt đáng ngạc nhiên là việc phần mềm độc hại này đã có ý định gây hại một cách cơ khí cho cơ sở đó mà không đưa ra lực lượng cơ học phá hoại nào vào trong bản thân nó. Nói cách khác: Đây là phần mềm độc hại được thiết kế đặc biệt để hoàn thành một công việc của một vũ khí. Nó vì thế đã xứng đáng được phân loại rõ ràng như là “phần mềm độc hại được vũ khí hóa”.
Phần mềm độc hại đặc biệt này được đánh giá đã mất 10 người - năm nỗ lực để phát triển. Nó là phức tạp. Các công cụ được sử dụng để phát triển, khung thời gian trong các tệp nhị phân và số lượng các module với các kiểu lập trình khác nhau gợi ý có nhiều đội phát triển. Gốc gác của phần mềm độc hại đã không được kiểm chứng mà hầu hết lý thuyết phổ biến nhất là việc thứ này đã được phát triển bởi một hoặc vài quốc gia có mong muốn phá hủy chương trình hạt nhân của Iran.
Iran có số phần trăm các vụ việc được biết về virus Stuxnet lớn nhất. Tuy nhiên, nó cũng được thấy trong những hệ thống tại nhiều quốc gia khác. Các chuyên gia dự báo rằng vô số những sự việc không được dò tìm ra vẫn sẽ còn đang hoạt động.
Đây là một thực tế được thiết lập tốt rằng nhiều vũ khí được phát triển bởi những chương trình quân sự quốc gia đã trở nên sẵn sàng đối với các thực thể nhà nước phi quốc gia, như những kẻ khủng bố, những nhà nước quốc gia xấu xa và những tổ chức tội phạm. Chỉ còn là vấn đề thời gian. Nhưng ví dụ là: các kính nhìn đêm, các hệ thống định vị toàn cầu GPS, máy bay không người lái, súng trường tự động hoàn toàn, các tên lửa vác vai, một vài thứ như vậy.
The traditional, malicious approach to damaging the facility would have been to use a conventional weapon (i.e. a bomb). The astonishing difference is that this malware was attempting to do mechanical damage to the facility without supplying the destructive mechanical force on its own. In other words: This was malware designed specifically to accomplish the work of a weapon. It has therefore earned the dubious classification as "weaponized malware."
This particular malware is estimated to have taken 10 man-years of effort to develop. It is sophisticated. The tools used in development, the timestamps on the binaries and the number of modules with different coding styles suggest multiple development teams. The origin of the malware has not been verified but the most popular theory is that it was developed by a nation state or states that were attempting to disrupt the Iranian nuclear program.
Iran has the largest percentage of known instances of the Stuxnet virus. However, it has also been found on systems in many other countries. Experts predict that numerous, undetected instances are still active.
It is a well-established fact that many weapons developed by national military programs become available to non-nation state entities, such as terrorists, rogue nation states and criminal organizations. It is just a matter of time. Examples are: night-vision goggles, GPS systems, airborne drones, fully automatic rifles, Kevlar body armor and shoulder launched missiles, to name just a few.
Các câu hỏi là: Khi nào những phần mềm độc hại được vũ khí hóa này và những biến thể của nó sẽ được sử dụng để phá hoại, vô hiệu hóa hoặc ăn cắp những tài sản và thông tin có giá trị từ các quốc gia, tiện ích, ngân hàng hoặc các công ty truyền thông khác? Chúng ta có thể làm gì được đối với chúng?
Phần mềm độc hại được vũ khí hóa Stuxnet đã sử dụng các chỗ bị tổn thương ngày số 0 để gây lây nhiễm, và đã sử dụng một chứng thực số được ký để tự xác thực trong môi trường. Chứng thực đó đã cho phép phần mềm độc hại hành động như một ứng dụng tin cậy và giao tiếp với những thiết bị khác. Đây là sự việc đầu tiên được báo cáo đối với việc sử dụng một chứng thực số ở dạng này của cuộc tấn công, và là một sự phát triển rất đáng lo ngại và báo điềm gở.
Mức độ đe dọa đã chuyển ra khỏi thời gian làm tê liệt hệ thống và uy tín bị tổn thương vì chứng thực của bạn đã hết hạn đối với sự gây hại vật lý đối với bạn và các nhân viên của bạn nếu virus thành công trong việc làm cho một quy trình sản xuất hoặc sử dụng thành sống còn.
Sử dụng 4 chỗ bị tổn thương và một chứng thực số bị ăn cắp báo hiệu sự bắt đầu của một kỷ nguyên mới về chiến tranh không gian mạng và tội phạm không gian mạng. Những ảnh hưởng là khổng lồ. Đây không phải là sự việc đầu tiên đối với loại này. Virus Aurora từng là một biến thể được sinh ra đầu tiên và Stuxnet thể hiện một bước nhảy tiến bộ đáng kể trong sự tinh vi và phức tạp. Bổ sung thêm, chi phí tiềm tàng đối với tổ chức đích trong sự kiện cuộc tấn công thành công là có hơn so với từ trước tới nay.
The questions are: When will weaponized malware and its derivatives be used to destroy, disable or steal valuable assets and information from other nations, utilities, banks or telecommunication companies? What can we do about it?
The Stuxnet weaponized malware used multiple zero-day vulnerabilities to infect, and employed a signed digital certificate to authenticate itself in the environment. The certificate allowed the malware to act as a trusted application and communicate with other devices. This is the first reported incident of the use of a digital certificate in this type of attack, and is a very ominous and worrying development. The level of threat has moved from downtime and a damaged reputation because your certificate has expired to physical damage to you and your employees if the virus successfully makes a manufacturing or utility process go critical.
The use of four zero-day vulnerabilities and a stolen digital certificate signals the beginning of a new era of cyber warfare and cybercrime. The implications are enormous. This is not the first occurrence of this species. The Aurora virus was a first-generation variant and Stuxnet represents a significant evolutionary leap in complexity and sophistication. Additionally, the potential costs to the targeted organization in the event of a successful attack are higher than ever.
Những chỗ bị tổn thương ngày số 0 là, bằng định nghĩa, không thể bảo vệ chống lại. Sử dụng những chứng thực số không được phép của phần mềm độc hại được vũ khí hóa trong một môi trường kết nối mạng là một vấn đề khác. Có những bước mà các tổ chức có thể nắm lấy đề giảm thiểu đáng kể rủi ro của một cuộc tấn công thành công.
Sự quan tâm đầu tiên là tri thức của các chứng thực số mà là tích cực trong một mạng. Hầu hết các tổ chức không biết chúng có bao nhiêu, chúng được cài đặt ở đâu, ai đã cài đặt chúng, tính hợp lệ và ngày hết hạn của các chứng chỉ số trong mạng. Đây là một sự tương đồng song song trong một thế giới an ninh vật lý. Điều này chính xác y hệt như việc không biết người nào trong một tòa nhà an ninh và không được phép hiện diện trong những cơ ngơi đó và ai là những người không được phép. Hãy tưởng tượng một ngân hàng nơi mà không ai biết những người nào trong tòa nhà là không được phép ở trong đó hay không. Đây không là một sự cường điệu. Đây là một tình huống không thể chấp nhận được đối với mọi người mà cho an ninh là nghiêm túc. Đây là một rủi ro không lượng hóa được. Thực tế chấp nhận được duy nhất là phát hiện tiếp tục và tích cực những chứng thực trên mạng.
Bổ sung thêm, những chứng thực đó phải được kiểm chứng rằng chúng đang hoạt động như mong đợi và rằng chúng được giám sát thông qua vòng đời sao cho chúng có thể hết hạn và được thay thế như được chỉ định bởi các chính sách về an ninh của tổ chức. Hầu hết các tổ chức là thiếu hụt về điều này. Đây là một rủi ra không quản lý được và có thể dễ dàng được quản lý dưới mức cần thiết. Không quản lý được đạng rủi ro này sẽ làm gia tăng đối với các tổ chức những chỗ bị tổn thương như cuộc tấn công của Stuxnet. Đây không phải là việc phao tin đồn nhảm - đây là một mối đe dọa thực sự mà sẽ ảnh hưởng tới một tổ chức lúc nào đó sớm.
Zero-day vulnerabilities are, by definition, impossible to defend against. The use of unauthorized digital certificates by weaponized malware in a networked environment is another matter. There are steps organizations can take to significantly reduce the risk of a successful attack.
The first consideration is the knowledge of digital certificates that are active in a network. Most organizations do not know how many they have, where they are installed, who installed them, their validity and the expiration date of the digital certificates in their network. Here’s a parallel analogy in the world of physical security. This is exactly the same as not knowing which people in a secure building are authorized to be on the premises and which ones are unauthorized. Imagine a bank where no one knew which people in the building were authorized to be there or not. This is not an exaggeration. This is an unacceptable situation to anyone who takes security seriously. This is an unquantified risk. The only acceptable practice is to continually and actively discover certificates on the network.
Additionally, those certificates must be validated that they are functioning as intended and that they are monitored throughout their lifecycle so that they can be expired and replaced as dictated by the security policies of the organization. Most organizations are deficient in this regard. This is an unmanaged risk and can be easily brought under management. A failure to manage this kind of risk exposes organizations to increased vulnerabilities like the Stuxnet attack. This is not scaremongering – it is a real threat that will affect an organization sometime soon.
Vì sao các tổ chức tự bộc lộ mình cho sự rủi ro không lượng hóa được và không quản lý được này? Lý do đủ đơn giản để hiểu. Trước Stuxnet, tri thức và sự quản lý yếu đuối các chứng thực số đã được xem là chấp nhận được. Hơn nữa, nhiều lãnh đạo mức cao không quen với các chứng thực số, cách mà chúng làm việc, vai trò trong an ninh, và các thực tiễn và các chính sách quản lý của chúng. Điều này phải thay đổi. Không có lãnh đạo cấp cao nào mà hiểu sai hoặc đánh giá không đúng mức tầm quan trọng của việc đảm bảo rằng chỉ những cá nhân được phép có thể vào được một tòa nhà an ninh. Cũng những lãnh đạo này lại ngây thơ cho phép những chứng thực không được phép và không biết vào được và hoạt động được trong các mạng của họ.
Để tổng kết, có rủi ro không lượng hóa được và không quản lý được mà nó cho phép Stuxnet nhân giống và hoạt động trong một mạng. Điều này đại diện cho một thực tế quản lý tồi của một phần sống còn của một mô hình an ninh được đặt ra. Các chứng thực số được sử dụng rộng rãi để nhận dạng và xác thực cho những thực thể trong một mạng. Những thực tế quản lý tồi trả về những chứng thực số không có hiệu quả đối với mục đích có dự định của họ. Trong thực tế, sự quản lý tồi trong một số trường hợp sẽ tạo ra một cơ hội khái thác.
Phần mềm độc hại được vũ khí hóa Stuxnet là một lời cảnh tỉnh rất mạnh mẽ khi nó đã khai thác những thực tế quản lý tồi của các chứng thực số mà đang tồn tại trong nhiều hãng ngày nay. Việc triển khai những thực tế và chính sách cho sự quản lý các chứng thực số là một thành phần quan trọng và cần thiết của một chiến lược an ninh bao quát và rộng rãi. Đây là một chiến lược mà có thể dò tìm ra được sự xuất hiện của phần mềm độc hại mà nó sử dụng các chứng thực số để xác thực. Các phần mềm độc hại được vũ khí hóa đã hoặc sẽ nhắm tới mọi công ty trong Global 2000. Trách nhiệm là phải hành động trước khi vũ khí đó tấn công.
Why are organizations exposing themselves to this unquantified and unmanaged risk? The reason is simple enough to understand. Before Stuxnet, the lackadaisical knowledge and management of digital certificates was viewed as acceptable. Additionally, many board-level executives are not familiar with digital certificates, how they work, their role in security, and the management practices and policies. This has to change. There is not one board-level executive who misunderstands or underestimates the importance of ensuring that only authorized individuals can enter a secure building. Those same executives naively allow unauthorized or unknown certificates to enter and operate on their networks.
In summary, there is unquantified and unmanaged risk that allows Stuxnet to propagate and operate on a network. This represents bad management practice of a critical part of a layered security model. Digital certificates are widely used to authenticate and identify entities in a network. Poor management practices render digital certificates ineffective for their intended purpose. In fact, poor management in some cases creates an exploitation opportunity.
The Stuxnet weaponized malware is a very loud wakeup call as it has exploited the poor management practices of digital certificates that exist in many firms today. Implementing practices and policies for the management of digital certificates is an important and necessary component of a broad and wide security strategy. It is the one strategy that can detect the appearance of malware that utilizes digital certificates for authentication. Weaponized malware has already been or will be aimed at every company in the Global 2000. The responsibility is to act before the weapon strikes.
Dịch tài liệu: Lê Trung Nghĩa
letrungnghia.foss@gmail.com