Stuxnet: How It Happened And How Your Enterprise Can Avoid Similar Attacks
A look back at one of the industry's most complex attacks -- and the lessons it teaches
May 17, 2011 | 11:25 PM | 1 Comments
By Michael Davis, Contributing Writer
Dark Reading
[Được trích ra từ “Kiểm trâ thực tế Stuxnet: Liệu bạn có được chuẩn bị cho một cuộc tấn công tương tự không”, một báo cáo mới được đưa lên tuần này trên Dark Reading của Trung tâm Kỹ thuật về các Mối đe dọa Tiên tiến]
[Excerpted from "Stuxnet Reality Check: Are You Prepared For A Similar Attack," a new report posted this week on the Dark Reading Advanced Threats Tech Center.]
Bài được đưa lên Internet ngày: 17/05/2011
Lời người dịch: Các chuyên gia về an ninh của một vài tổ chức như Tofino Security, Abterra Technologies và ScadaHacker.com đã mô phỏng lại cuộc tấn công của Stuxnet với tất cả những biện pháp công nghệ tiên tiến nhất cho tới thời điểm đầu năm 2010 về an ninh và đã đưa ra kết luận trong “Stuxnet lan truyền thế nào - Một nghiên cứu về các con đường lây nhiễm trong các hệ thống thực tiễn tốt nhất” rằng: “Không, bạn hiện không thể thực sự ngăn cản được dạng tấn công này”. Nếu cuộc tấn công Aurora vào Google và các công ty Mỹ khác cuối năm 2009 được coi là khẩu súng máy, thì Stuxnet được coi là “một tên lửa tìm theo nhiệt, được dẫn đường bằng thiết bị định vị toàn cầu GPS”. Để học nhiều hơn về cách mà Stuxnet làm việc, và các bài học mà nó dạy cho các doanh nghiệp, hãy tải về báo cáo này một cách tự do.
Các cơ sở hạt nhân của Iran, các khai thác ngày số 0, các đặc vụ bí mật và sự can dự của các chính phủ quốc gia nghe giống nhiều hơn câu chuyện ngày xưa trong một tiểu thuyết trinh thám hơn là một mẩu phần mềm. Vâng Stuxnet, phần mềm độc hại được nghiên cứu và được phân tích nhiều nhất từ trước tới nay, vẫn còn đang được nghiên cứu và thảo luận trong giới an ninh trên khắp thế giới - thậm chí dù nó đã được phát hiện hơn 1 năm về trước.
Bạn có thể không vận hành một cơ sở hạt nhân, vậy vì sao bạn quan tâm về một mẩu phần mềm đã nhằm vào các mẫu máy li tâm đặc chủng trong các nhà máy hạt nhân đặc chủng ở một phần khác của thế giới nhỉ? Đơn giản, Stuxnet đã tạo ra thực tế các cơn ác mộng không gian mạng và đã thay đổi thế giới an ninh một cách vĩnh viễn - trong khi cùng một lúc soi sáng cho những rui ro cao có liên quan tới các mạng cuaru ác kiểm soát giám sát và thu thập dữ liệu (SCADA) mà chúng kiểm soát các hoạt động bên trong nhiều công ty tiện ích và năng lượng.
Làm thế nào mà một cuộc tấn công giống như kiểu Stuxnet có thể ảnh hưởng được tới doanh nghiệp của bạn - và những gì bạn có thể làm để ngăn chặn nó? Hãy ngó qua một chút.
Đầu tiên, vì sao bạn nên được kết nối? Một báo cáo gần đây của Viện Ponemon, “Tình trạng an ninh công nghệ thông tin: nghiên cứu về các công ty tiện ích và năng lượng”, chỉ ra rằng việc bảo vệ các hệ thống SCADA rõ ràng là các mục đích an ninh cao nhất trong các công ty này, và là khó khăn nhất để đạt được. Đối với các công ty chạy mạng SCADA, Stuxnet chỉ ra tai hại mà một kẻ tấn công được xác định, có kỹ năng cao với các tài nguyên lớn có thể làm được.
Đối với phần còn lại của chúng ta, trong khi có những so sánh có thể được tiến hành giữa các mạng riêng và các mạng SCADA, thì những rủi ro là không như nhau. Vì thế, sự đánh cược tốt nhất của bạn là để hiểu cách mà Stuxnet làm việc, ý định của nó, và, quan trọng nhất, vì sao nó có khả năng bằng cách nào đó thành công, để hiểu được tiền năng thế hệ tiếp sau của các phần mềm độc hại sẽ tấn công vào mạng của bạn.
Iranian nuclear facilities, zero-day exploits, secret operatives and nation-state government involvement sounds more like the backstory to a spy novel than a piece of malware. Yet Stuxnet, the most researched and analyzed malware ever, is still being studied and discussed in security circles around the world -- even though it was discovered more than a year ago.
You probably don’t operate a nuclear facility, so why should you care about a piece of software that targeted specific centrifuge models in particular nuclear plants in another part of the world? Simply put, Stuxnet made cybernightmares reality and changed the security world forever -- while simultaneously bringing to light the high risks associated with the supervisory control and data acquisition (SCADA) networks that control operations within many energy and utility companies.
How would a Stuxnet-like attack affect your enterprise -- and what can you do to stop it? Let's take a look.
First, why should you be concerned? A recent Ponemon Institute report, "State of IT Security: Study of Utilities and Energy Companies," shows that protecting SCADA systems is clearly the highest security objectives within these companies, and the most difficult to achieve. For companies that run SCADA networks, Stuxnet shows the harm a determined, highly skilled attacker with ample resources might do.
For the rest of us, while there are comparisons that could be made between private networks and SCADA networks, the risks are not the same. So, your best bet is to understand how Stuxnet works, its intent and, most importantly, why it was able to be somewhat successful, to understand the potential next-generation of malware that will attack your network.
Stuxnet đã được sử dụng trong một cuộc tấn công có chủ đích vào 5 tổ chức vào tháng 6-7/2009 và 3-4-5/2010, tất cả 5 tổ chức này đều nằm tại Iran. Đích ngắm đối với các công ty đặc thù là những gì làm cho Stuxnet khác với mối đe dọa tiên tiến theo lối truyền thống.
Chúng ta thường nghĩ về một APTs - đặc biệt, các cuộc tấn công Aurora vào Google, Adobe, Juniper, Rackspace và các hãng khác - khai thác chỗ bị tổn thương ngày số 0 của IE, sử dụng cũng các kỹ thuật chống lại nhiều công ty với ý định ăn cắp mã nguồn.
Stuxnet, lại khác, từng là một cuộc tấn công được tạo ra với độ tinh vi phức tạp cao, được cung cấp tài chính tốt, được thiết kế tùy biến, hình như, dành cho một mục tiêu duy nhất để phá hủy sự sản xuất uranium được làm giàu tại Iran. Hãy nghĩ về một APT thông thường như một khẩu súng máy, nhằm vào nhiều mục tiêu trên một chiến trường cụ thể, so với Stuxnet, một tên lửa tìm theo nhiệt, được dẫn đường bằng thiết bị định vị toàn cầu GPS.
Một đội các nhà nghiên cứu an ninh đã nghiên cứu các phòng vệ có thể chống lại Stuxnet bằng việc tạo ra một mạng nhà máy hạt nhân mô phỏng được thiết lập cấu hình với tất cả những thực tiễn tốt nhất về an ninh công nghệ thông tin được biết tại thời điểm các cuộc tấn công Stuxnet vào năm 2009 và đầu năm 2010. Sau đó các nhà nghiên cứu, từ Tofino Security, Abterra Technologies và ScadaHacker.com, đã phân tích từng sự lây nhiễm, nảy nở và điểm vào ẩn náu mà Stuxnet đã sử dụng, để xác định liệu những thực tiễn tốt nhất đó có thể ngăn ngừa được những lây nhiễm của phần mềm độc hại đó hay không. Kết luận đã nêu trong “Stuxnet lan truyền thế nào - Một nghiên cứu về các con đường lây nhiễm trong các hệ thống thực tiễn tốt nhất”: “Không, bạn hiện không thể thực sự ngăn cản được dạng tấn công này”. Nhưng các nhà nghiên cứu đã đưa ra chỉ dẫn mà bạn sẽ nhận thức được: Đừng tập trung vào các mối đe dọa, hãy tập trung vào chỗ bị tổn thương của công ty bạn.
Stuxnet was used in a targeted attack on five organizations in June and July 2009 and March, April, and May 2010, all five of which have a presence in Iran. The targeting of specific companies is what sets Stuxnet apart from the traditional advanced persistent threat.
What we generally think of as APTs -- notably, the Aurora attacks on Google, Adobe, Juniper, Rackspace and others—exploits the same zero-day IE vulnerability, employing the same techniques against multiple companies in an attempt to steal source code.
Stuxnet, on the other hand, was a highly sophisticated, well-financed, custom-designed attack created, apparently, for the single purpose of disrupting the production of enriched uranium in Iran. Think of a conventional APT as a machine gun, aimed at multiple targets within a certain field of fire, vs. Stuxnet, a heat-seeking, GPS-guided missile.
A team of security researchers studied possible defenses against Stuxnet by creating a simulated nuclear plant network configured with all the best IT ecurity practices known at the time of the Stuxnet attacks in 2009 and early 2010. Then the researchers, from Tofino Security, Abterra Technologies and ScadaHacker.com, analyzed each infection, propagation and stealth entry point Stuxnet had used, to determine if those best practices would have prevented the malware infections.
Their conclusion, reported in "How Stuxnet Spreads -- A Study of Infection Paths in Best Practice Systems": "No, you currently cannot really prevent this type of attack." But the researchers provided guidance you will recognize: Don’t focus on the threats; focus on your company’s vulnerability.
Bài học đầu tiên là các đầu USB. Những lây nhiễm qua ổ tháo lắp được là phổ biến. Các phần mềm độc hại được đặt trong một ổ USB hoặc một ổ cứng ngoài và được tháo lắp ra từ máy PC này sang máy PC khác. Những gì làm cho loại Stuxnet dạng tấn công này còn chết người hơn là sử dụng chỗ bị tổn thương ngày số 0, mà nó không đòi hỏi bất kỳ sự tương tác nào với người sử dụng ngoài việc chèn ổ đĩa vào máy tính.
Sự phòng vệ tốt nhất là phần mềm an ninh cho thiết bị lưu trữ tháo lắp được, sẵn có từ nhiều nhà cung cấp về an ninh, mà chúng ngăn cản các đầu USB, các đĩa CDs/DVDs, các ổ cứng ngoài, các máy chơi nhạc số và những thiết bị khác không được phép và không rõ không cho chúng được kích hoạt và được tải lên từ một máy tính. Những công cụ này nên được tăng cường với các chính sách chỉ định các thiết bị lưu trữ tháo lắp được nào, nếu có, có thể được sử dụng trên một máy tính cụ thể và ai được sử dụng.
Bài học thứ 2 là sự nảy nở. Stuxnet đã dựa vào những khai thác mạng và tự nó trốn trong các tệp dự án của WinCC để đảm bảo nó có thể được chạy ở những lúc được chỉ định. Dạng nảy nở này đòi hỏi truyền thông điểm - điểm giữa các máy tính trạm.
Bạn có thể ngăn ngừa dạng nảy nở này bằng việc sử dụng các tường lửa cho các máy chủ host để lọc ra giao thông tiềm tàng nguy hiểm, như các dịch vụ cho phép một PC giao tiếp trực tiếp với PC khác. Stuxnet đã sử dụng một khai thác để gửi đi một thông điệp RPC giả mạo từ máy trạm A sang máy trạm B và đã làm cho nó chạy mã tải về phần mềm độc hại. Nếu máy trạm B đã có một tường lửa được bật thì đã ngăn ngừa được các kết nối đi vào, thì khai thác có thể sẽ thất bại.
Bài học 3 là xác thực. Stuxnet đã cung cấp một rootkit của Windows mà rootkit này đã thực hiện thứ gì đó mà nền công nghiệp an ninh đã không nhìn thấy từ trước đó. Nó đã sử dụng một chứng thực hợp pháp từ một công ty hợp pháp làm cho các trình điều khiển Windows che dấu được xác thực của nó.
USB drives are the first lesson. Removable drive infections are common. Malware is placed on a USB drive or an external hard drive and moved from PC to PC. What makes the Stuxnet version of this kind of attack much deadlier is the use of the zero-day shortcut vulnerability, which does not require any user interaction beyond inserting the drive into the computer.
The best defense is removable storage device security software, available from numerous security vendors, that prevents unknown or unauthorized USB drives, CDs/DVDs, external drives, digital music players and so on from being mounted and loaded by a computer. These tools should be reinforced with policies that specify which, if any, removable storage devices can be used on a particular computer and by whom.
Lesson No. 2 is propagation. Stuxnet relied on network exploits and buried itself into WinCC project files to ensure it would be executed at designated times. This type of propagation requires peer-to-peer communication between workstations.
You can prevent this type of propagation by using host firewalls to filter out potentially dangerous traffic, such as services that let one PC communicate directly with another. Stuxnet used an exploit to send a crafted RPC message from workstation A to workstation B and caused it to execute code that downloaded the malware. If workstation B had had a firewall enabled that prevented inbound connections, the exploit would have failed.
Lesson No. 3 is authentication. Stuxnet provided a Windows rootkit that did something the security industry hadn’t seen before. It used a legitimate certificate from a legitimate company that makes Windows drivers to mask its identity.
Ẩn dấu mình để không ai nhìn thấy, Stuxnet đã phải lo lắng về việc mã nguồn của nó tăng phồng lên với tất cả các kỹ thuật đen tối phức tạp của nó mà các phần mềm độc hại khác phải sử dụng. Nếu bạn là một người quản trị, liệu bạn có hỏi một tập trong thư mục Windows\System32 có cái tên là MrxNet.sys, được RealTek viết và được kiểm tra tính hợp lệ với một chứng chỉ hợp pháp hay không?
Những gì bạn có thể làm hôm nay là hãy sử dụng các công cụ quản lý thay đổi và băm tệp từ các công ty như Tripwire để dò tìm dạng các kỹ thuật “ẩn náu không nhìn thấy được” này chăng? Một công cụ quản lý thay đổi giám sát các thư mục của các trình điều khiển sống còn của Windows đưa ra một cảnh báo khi một trình điều khiển mới được cài đặt. Nếu sự cài đặt này không có trong lịch trình của bạn, thì nó có thể là ai đó hoạt động mà không tuân theo các thủ tục quản lý thay đổi, hoặc nó có thể là thứ gì đó tệ hại, như Stuxnet.
Để học nhiều hơn về cách mà Stuxnet làm việc, và các bài học mà nó dạy cho các doanh nghiệp, hãy tải về báo cáo này một cách tự do.
Hiding in plain sight, Stuxnet didn’t have to worry about bloating its code with all the complicated obfuscation techniques that other malware has to use. If you were an administrator, would you question a file in the Windows\System32 folder named MrxNet.sys, written by RealTek and verified with a legitimate certificate?
What you can do today is use file hash and change management tools from companies such as Tripwire to detect these “hide-in-plain-sight” type of techniques? A change management tool monitoring critical Windows driver folders issues an alert when a new driver is installed. If this install was not on your schedule, it might be someone operating without following change management procedures, or it might be something nasty, like Stuxnet.
To learn more about how Stuxnet works, and the lessons it teaches for enterprises, download the free report.
Dịch tài liệu: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.