1 / 22

Stuxnet

Stuxnet. אמיר טטלבאום. מי אני. מייסד חברת סייבריה חוקר חולשות Malware מגמות וגופים שונים בעולם הסייבר מרצה בקורסי Hacking Defined Expert ו Cyber Warfare Defence. סטאקסנט במספרים. 131072~ מחשבים נגועים 65536~ מחשבים באיראן 32768~ מחשבים שאיראן אישרה שנדבקו 1024~ צנטריפוגות הרוסות

uzuri
Download Presentation

Stuxnet

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Stuxnet אמיר טטלבאום

  2. מי אני • מייסד חברת סייבריה • חוקר חולשות Malware מגמות וגופים שונים בעולם הסייבר • מרצה בקורסי Hacking Defined Expert וCyber Warfare Defence

  3. סטאקסנט במספרים • 131072~ מחשבים נגועים • 65536~ מחשבים באיראן • 32768~ מחשבים שאיראן אישרה שנדבקו • 1024~ צנטריפוגות הרוסות • 8 שיטות התפשטות שונות • 4 פגיעויות לא מוכרות (0-Day) • 2 חתימות דיגיטליות גנובות

  4. 2 ב- 10, רק היום ! • שוק הפגיעויות פורח, יותר ויותר חוקרים מתפרנסים ממנו כמקור הכנסה ראשון • הפגיעויות בסטאקסנט שוות בשוק מעל 500000$

  5. כרוניקה של סטאקסנט 30/9/2010 סימנטק משחררת את דו"ח הניתוח 17/7/2010 סטאקסנט מופיעה עם חתימה חדשה JMicronשל 14/7/2010 גרסאת סטאקסנט חדשה נבנית עם JMicronחתימת 22/7/2010שוללת Verisign את החתימה השניה של סטאקסנט 13/7/2010 סימנטק חותמת על סטאקסנט 16/7/2010 מיקרוסופט מודיעה LNK על חולשתשוללתVerisignאת החתימה של Realtek 06/2009 סטאקסנט מופיעה לראשונה 17/06/2010 VirusBlokAda מגלה את סטאקסנט

  6. מי אתה סטאקסנט ? • פצצת סייבר • אוטונומי לחלוטין • מכיל את כל תהליך התקיפה בPayload בודד • מתקשר עם 2 שרתי C&C בלבד • מתקשר בסביבת LAN בעזרת P2P • גנרי לחלוטין • לא איראן ולא שום יעד מוגדר אחר מופיעים בקוד • השפעה על רכיבי PLC שהם ממירי תדר • אין קשר לגרעין ! בטח ובטח לא לצנטריפוגות • חמקמק, אך במידה • שימוש בחתימות דיגיטליות גנובות ע"מ להתחמק מאנטי-וירוסים • שימוש ב- Rootkit להסתרה של הקבצים שלו • לעומת זאת – הקוד אינו מוצפן, ללא יכולות Anti-debugging

  7. למה לקח כל כך הרבה זמן לתפוס את סטאקסנט? • לא עושה נזק למחשב • לא מוציא חומר מהארגון הנתקף • שימוש בחתימות דיגיטליות גנובות • שימוש בחולשות לא מוכרות • מנגנוני בלימה • תקשורת עם שרתי C&C שמאפשרת קבלת פקודת התאבדות • הגבלת הדבקה באמצעות DOK למקסימום 3 דילוגים • תאריך Deadline – 24/06/2012 • החדרה באזור גיאוגרפי ספציפי

  8. הטכנולוגיה מאחורי סטאקסנט • סטאקסנט מציגה מספר חסר תקדים של 4 חולשות 0-Day • MS10-046 – חולשה בקבצי LNK, משמשת להתפשטות בDOK • MS10-061 – חולשה בPrint Spooler, משמשת להתפשטות ברשת • MS10-073 – חולשה בKeyboard Layout, משמשת לPE • MS10-092 – חולשה בTask Scheduler, משמשת לPE • 2 חתימות דיגיטליות גנובות • Realtek Semiconductor Corps • JMicron Technology Corps

  9. MS10-046 • באג דיזיין בקבצי LNK • קבצי LNK יכולים להצביע לקבצי CPL (שהם DLLים) • הקוד הפגיע מנסה לטעון אייקונים מתוך קבצי הCPL • טעינת קבצי הCPL לטובת חיפוש האייקון מריצה את הCPL • קורה בכל פעם שמסתכלים על תיקיה

  10. MS10-061 • חולשה ב- Print Spooler Service • מאפשרת "הדפסה" מרחוק של קובץ • הקובץ נשמר תחת תיקיית %SystemRoot%\System32 לפי בחירתנו • תוכן הקובץ שנשמר בשליטתנו • שם הקובץ שנשמר בשליטתנו • הדפסת קבצי MOF לתיקיית %SystemRoot%\System32\wbem\mof • קבצים בתיקיה זו רצים באופן אוטומטי

  11. MS10-073 • חולשה במנגנון הKeyboard Layout של חלונות • העלאת הרשאות ממשתמש רגיל לKernel • מבוססת על טעות בבדיקה של מערך מצביעים לפונקציות

  12. MS10-092 • חולשה בTask Scheduler של חלונות • כל משתמש יכול ליצור משימה אשר תתבצע בעתיד (בהרשאות שלו) • משימות נשמרות בתיקיית C:\windows\system32\tasks • כל קובץ משימה מכיל את ההרשאות שאיתן תתבצע המשימה • מה מונע מאיתנו לשנות את ההרשאות הללו לאחר יצירת המשימה ? • קיים מנגנון חתימה דיגיטלית על הקבצים  • מנגנון החתימה הדיגיטלית הוא CRC32 

  13. היעד של סטאקסנט

  14. היעד של סטאקסנט

  15. היעד של סטאקסנט

  16. היעד של סטאקסנט • בקרי SCADA של חברת סימנס • לא סתם בקרי SCADA: • 6ES7-417 • 6ES7-315-2 • CP 342-5

  17. היעד של סטאקסנט • תדר עבודה תקין של קסקדה נע בין 807Hz ל 1210Hz • סטאקסנט משנה את תדר העבודה ל1410Hz לפרק זמן מסוים, ואז מוריד בבת אחת את תדר העבודה ל2Hz • שינוים קיצוניים אלה, פוגמים גם בתפוקה וגם בקסקדה עצמה, עד כדי שבירת הציר

  18. סטאקסנט כשינוי פרדימה בעולם הסייבר • Cyberspace is real – השפעה גם בעולם המוחשי • פצצות סייבר כבר לא Science Fiction • עולם הסייבר הפך ל"חזית החמישית" של המלחמה • הבנה שגם בעולם הסייבר קיים Collateral Damage • סימנס מדווחת על לפחות 19 לקוחות אחרים אשר נדבקו

  19. סטאקסנט כשינוי פרדימה בעולם הסייבר • לקט הרצאות "חמות" מ BlackHat האחרון • Exploiting Siemens Simatic S7 PLCs • Vulnerabilities in Wireless Water Meter Networks • Battery Firmware Hacking • Hacking Medical Devices for Fun and Insulin: Breaking the Human SCADA System

  20. Open Source Cyber Weapon הCyberCrime נעזר בסטאקסנט ותוקף בחזרה בארה"ב

  21. Open Source Cyber Weapon • הקוד של סטאקסנט מסתובב באינטרנט • רק מחכה לשימוש חוזר

  22. תודה רבה !

More Related