Post on 13-Jun-2015
Stuxnet, caso de estudio
Alejandro Ramos
http://www.securitybydefault.com
Yo. Ego - presentación
• Manager del TigerTeam de SIA
• Profesor en el MOSTIC de la Universidad
Europea de Madrid
• Editor de SecurityByDefault.com
Ralph Langner
• “Operation myrtus is the first real cyberwar operation in
history”
– uses a CYBER WEAPON
– created physical destruction
– hit a dedicated military target
– is lead by a coalition of nation states
– would have triggered a conventional military hardware
attack
• one could say Iran was Stuxnet’s designated beta tester
http://www.langner.com/english/?p=251
Definiciones de infraestructuras que
monitorizan y controlan procesos industriales
• ICS – Industrial control systems
• SCADA – Supervisory control and data acquisition
• DCS – Distributed control systems
• PLC – Programmable logic controllers
Control systems
Transport
Oil
Water
Manufacturing
Food and bevarage
Gas
Electricity
Chemical pharmaceutical
Algunos incidentes en SCADA
• (2000) Según Ministerio de Interior ruso, hackers entran
en Gazprom, colaboración con empleado que instalo
troyano dando acceso a un control del panel de un
centro. Podía haber generado un desastre nuclear
• (2001) Trabajador de planta de agua por rechazo en
nuevo puesto libera aguas tóxicas en ríos (Australia)
desde un portátil en el aparcamiento de las instalaciones
• (2003) Gusano Slammer infecta red de planta nuclear
David-Basse. Queda desactivado sistema de
monitorización durante 5 horas
Propagación de Stuxnet
Hosts infectados – 100.000
Propagación
Tipos de ataques según su objetivo
• Ataques a una organización o compañía
– Banca
– Sistemas SCADA
– Alta dirección / VIPs
– Espionaje industrial
• Ataques a un software específico o infraestructura
tecnológica concreta
– Adobe Acrobat
– Internet Explorer
– Dispositivos USB
Introducción
• El primero (detectado) con objetivos Industriales
• Ataca a sistemas PLC (Programming Logic Controllers)
que usan Siemens SIMATIC WinCC y Step 7 SCADA
• Métodos de infección:
– Explotando 4 vulnerabilidades de Windows no
parcheadas (0days)
– Recursos compartidos
– Contraseña por defecto
– Variante: Discos USB
• Infecta y se oculta así mismo usando drivers firmados
Introducción
• Se actualiza mediante C&C y P2P
• Incluye un rootkit que afecta a PLC
• Especialmente bien programado
• Diseñado para evitar errores
• Muy complejo, aproximadamente 1.5MB
• Intenta deshabilitar antivirus
• No se ha completado su análisis
• Se desconoce el objetivo real
Introducción
• Detectado por primera vez el 17 de junio de 2010
• Por la compañía VirusBlokAda Bielorusa
(http://www.anti-virus.by)
• En base al timestamp de ~wtr4141.tmp. Compilación de
03 Febrero 2010
Fima digital
• Objetivo de saltarse listas blancas en antivirus y
advertencias en Windows Vista y 7
• Firmado digitalmente por Realtek y JMicron (variante)
Fima digital - revocados
Firma digital - Drivers
Driver Compilado Firmado Software
~wtr4141.tmp 3/2/2010 3/2/2010 MS Visual Studio 2009
Mrxcls.sys 1/1/2009* 25/1/2010 MS Visual Studio 2005
Mrxnet.sys 25/1/2010 25/1/2010 MS Visual Studio 2005
Jmidebs.sys 14/7/2010
* tal vez obtenida de otro proyecto
Teorías
• Realtek y JMicron son empresas físicamente cercanas
(Hschinchu Sciense Park, Taiwan), por lo que han
podido sufrir un robo del certificado
• Los certificados han sido robados con ZeuS (conocido
malware que tiene esa característica)
• Distintos drivers firmados por distintas compañías y
usando distinto lenguaje hacen pensar en un equipo de
desarrolladores de malware
¿Myrtus?
• Referencias en el código a «Myrtus», similar al hebreo
«Esther»
• El Libro de Esther relata un complot persa para destruir
Israel
• Sospechas de que el gobierno israelí esté detrás
• My RTUs”, RTU = Remote Terminal Units
Otras fechas
• Clave en el registro con valor «19790509» (no infecta si
existe)
– ¿Fecha del nacimiento del autor?
– Fecha de Habib Elghanian empresario judío
ejecutado en Irán acusado de espía para Israel
• Fecha de expiración «kill date» 24 de Junio, 2012,
incluida en fichero de configuración
Vulnerabilidades
• MS10-046: Archivos LNK, propagación por USB
• MS10-061: Servicio printer Spooler, escalada de
privilegios y ejecución remota en XP
• MS10-073: Keyboard, windows 2000 y XP, escalada de
privilegios
• MS08-067: Servicio RPC, ejecución remota.
• MS10-0xx: Task Scheduler, escalada de privilegios
• CVE-2010-2772: Contraseña en el código de la
aplicación.
CVE-2010-2772
http://www.wilderssecurity.com/showthread.php?p=1712146
openrowset(''SQLOLEDB'',''Server=.\WinCC;uid=WinCCConnect;pwd=2WSXcder'','
MS10-046
Dispositivos
removibles
MS08-067
Red local
MS10-061
MS10-073
Win2000/XP
MS10-0XX
Vista/7/Server 2008
Propagación y
vectores de
instalación
propagación instalación
escalada de privilegios
escalada de privilegios vector general de ataque
ataques adicionales
http://www.eset.com/resources/white-
papers/Stuxnet_Under_the_Microscope.pdf
Propagación P2P
http://www.symantec.com/connect/es/blogs/stuxnet-p2p-component
Command & Control
• Conexión por HTTP a:
– www.mypremierfutbol.com (Malasia)
– www.todaysfutbol.com (Dinamarca)
• Permite actualizar la configuración con el fichero:
“%Windir%\inf\mdmcpq3.PNF”
• Información de la versión del sistema operativo
• Nombre del equipo
• Nombre del grupo de trabajo o dominio
• Si el software de WinCC está o no instalado
• Direcciones IP de las tarjetas de red
http://bit.ly/dfEQ9X
¿Objetivo?
• Teoría: Planta nuclear y el reactor de Bushehr y planta
centrífuga en Natanz
– Irán donde más infecciones hay
– Bushehr es un punto estratégico
– Bushehr usa Siemens
– Stuxnet se replica por USB y se puede propagar sin
Internet
– Se ha encontrado evidencias de que en Bushehr no
controlan correctamente el software
Instalaciones nucleares en Irán
La investigación continúa
http://bit.ly/dfEQ9X
Contramedidas
• HIDS basado en listas blancas
• Segmentación y filtrado en la red
• Aplicar parches de aplicaciones y sistemas operativos
• Desactivar dispositivos externos (USBs)
• Auditoría de vulnerabilidades
• Antivirus de red y sistema
“The problem is not Stuxnet. Stuxnet is history,“
“The problem is the next generation of
malware that will follow." Langner
Gracias
Referencias / Imágenes
• www.eset.com/resources/white-
papers/Stuxnet_Under_the_Microscope.pdf
• http://www.symantec.com/content/en/us/enterprise/medi
a/security_response/whitepapers/w32_stuxnet_dossier.p
df
• http://www.langner.com/en/
• http://ciip.wordpress.com/2009/06/21/a-list-of-reported-
scada-incidents/