July 23, 2010

The StuxNet VS Iran

مطلب این پست مربوط به (Malware) بدافزاری می باشد که اخیرآ توجه بسیاری از شرکت های امنیتی، ضد ویروس و همچنین مایکروسافت را به خود جلب کرده است. بد افزار StuxNet از چند جهت نمونه ایی بسیار قابل توجه می باشد. اول اینکه برای انتشار خود از چند ضعف امنیتی جالب و البته پیش از این ناشناخته استفاده می کند. دوم اینکه یک نمونه شاخص از بدافزارهای هدفمند می باشد که گروهی بسیار خاص از رایانه ها و کاربران را هدف قرار می دهد و سوم اینکه برای نصب بی سر و صدای خود در سیستم، علاوه بر بکار گیری تکنولوژی روت کیت، از گواهی های معتبر شرکت RealTek که به سرقت رفته است استفاده می نماید.


روش اصلی انتشار این بد افزار از طریق آلوده کردن فلش دیسک های متصل شده به سیستم می باشد که توضیحات در این خصوص در منابع ذکر شده در طول پست آمده است. البته این بد افزار از روش های دیگری نیز در حال انتشار می باشد که بگفته گزارش مایکروسافت، بیشترین گستردگی و آلودگی از طریق ایمیل و وب سایت های عرضه نرم افزارهای کرک و کد های تقلب بازی می باشد.





در خصوص نکته اول: ضعف امنیتی بکار گرفته شده در این بدافزار، مربوط به یک آسیب پذیری ناشناخته (0-day) می باشد که پیش از این، گزارش و یا مشاهده نشده بوده. این ضعف امنیتی که مربوط به فایل فرمت LNK (نوعی از همان Short-cut های ویندوز) می باشد به حمله کننده اجازه میدهد تا بصورت بسیار پایداری سیستم کاربر را مجبور به اجرای کد مورد نظر خود از طریق هدایت به DLL مد نظر نفوذگر کند. علت پایداری بالای این حمله این است که بر خلاف بسیاری از موارد مشابه، سرریز بافری در کار نیست! ضعف مذکور کلیه نسخ سیستم عامل های مایکروسافت را در بر میگیرد. نیاز به یاد آوری نیست که سیستم عامل ویندوز 2000 و همچنین ویندوز XP سرویس پک 2 و ما قبل آن دیگر توسط مایکروسافت پشتیبانی نشده و بنابراین اصلاحیه امنیتی ایی نیز برای آنها منتشر نخواهد شد.


درخصوص نکته دوم: بدافزار مذکور بصورت کاملآ خاص و مشخص، یکی از نرم افزارهای SCADA شرکت زیمنس (Simatic PCS) را هدف قرار می دهد. نکته جالب تر اینکه این بد افزار، کلمات عبور پیش فرضی که این نرم افزار از آنها برای تبادل اطلاعات با بانک اطلاعاتی خود مورد استفاده قرار می دهد را، بصورت hard-code شده در خود داشته و از آنها برای اتصال به بانک های اطلاعاتی و استخراج اطلاعات استفاده می کند. کاربری نرم افزار مذکور شرکت زیمنس نیز خاص بوده و منحصر به سیستم های هدایت و مانیتورینگ در صنایع، تاسیسات خاص و ... می باشد. شرکت زیمنس در این خصوص البته پاسخگو بوده و راهکارها و توضیحاتی را ارائه داده است.


در خصوص نکته سوم: حتمآ از راهکار امنیتی Driver-Signing مایکروسافت اطلاع دارید. هدف از بکار گیری این راهکار شناسایی سریع درایورهای غیرمعتبر و غیر مجاز نصب شده بر روی سیستم است. بد افزار یاد شده، برای فرار از این مورد، از گواهی های رسمی و معتبری استفاده کرده است که شرکت RealTek (یک تولید کننده معتبر سخت افزار) از آنها برای امضای دیجیتال درایورهای خود استفاده می نماید. مشاهده این مورد و اینکه درایورهای نصب شده توسط بد افزار با این امضای دیجیتال تآیید شده اند یک معنی و مفهوم واضح دارد : طراحان و تولید کننده گان این بد افزار بطور قطع به کلید خصوصی مربوط به این گواهی دسترسی داشته اند، که به معنی نفوذ موفقیت آمیز به سیستم های تولید کننده گان نرم افزار و درایورهای شرکت RealTek نیز میتواند باشد. البته با همکاری و پیگیری مایکروسافت، شرکت VeriSign گواهی های مورد استفاده را باطل کرده است. اظهار نظر و بررسی های متخصصین شرکت Kaspersky و همچنین ESET نیز در این خصوص مفید و خواندنی بوده، و در قالب یک FAQ به نکاتی در این خصوص اشاره می کند. شرکت RealTek تاکنون هیچ توضیح و یا اطلاعاتی در خصوص این رویداد امنیتی نداده است.






تصاویر، اعداد و ارقام و توضیحات گزارش اولیه ارائه شده مایکروسافت تقریبآ واضح هستند و نیازی به توضیح خاصی نیست. در صورتی که گزارش مایکروسافت به اندازه کافی شما را به فکر فرو نمی برد، شاید بررسی گزارش شرکت Symantec و مشاهده فعالیت بدافزار از دیدگاه و روش جالب بررسی آنها، کمی بیشتر شما را نگران کند. بر طبق این گزارش، بیش از 58% از تماس های برقرار شده (14000 آدرس IP واحد) از سیستم های آلوده که با سرور کنترل کننده (C&C) این بدافزار تماس گرفته اند، از کشور ایران بوده اند!




بررسی ASN های ذکر شده در گزارش Symantec مناطق و نواحی آلوده در ایران را نیز بصورت کاملآ مشخص اما کلی بازگو می نماید. با مراجعه به وب سایت هایی مانند Robtex میتوان براحتی به اطلاعات ثبت شده مربوط به هر ASN دست یافت. بطور مثال بیشترین آلودگی ثبت شده مربوط به route های شرکت دیتا می باشد(ASN 12880).



تنها دلیل ارسال این پست تآکید بر اهمیت این موضوع و پررنگ تر کردن آن می باشد. رسانه های خارجی بحث های زیادی در این مورد مطرح کرده اند اما گویا کمترین توجه و رسیدگی در روزهای اخیر در جایی وجود داشته، که بیشترین آلودگی و گسترش در آنجاست. و جالب تر آنکه دیگران، بسیار بیشتر از خود ما، درباره وضعیت ما اطلاع دارند و آنرا بصورت آزاد منتشر می کنند. در چنین رویداد های امنیتی است که می بایست این سوال مطرح شود: " خروجی آن همه هزینه که صرف راه اندازی تیم ها و گروه های امنیتی با پشتیبانی دولتی و دانشگاهی شده و میشود، در چنین مواردی چه بوده است؟!" . آیا اصلا خروجی ایی در کار است و یا گزارش های ارائه شده توسط این دسته نیز مبتنی بر اطلاعات ارائه شده توسط شرکت های غیر ایرانی است؟

 بررسی اینکه چرا ایران در صدر کشورهای مورد حمله این بدافزار قرار دارد نیاز به اطلاعات و جزئیات بیشتری دارد، اما می توان چند حدس مشخص داشت. اولین و پر رنگ ترین گزینه ممکن تلاش هدفمند برای کسب اطلاعات خاص از یکسری کشورهای خاص (از جمله ایران). گزینه بعدی عدم پیاده سازی و پس از آن رعایت قوانین در خصوص استفاده از ابزارهای ذخیره سازی (مثل فلش دیسک) در شبکه های ایرانی می باشد، که مثل سرطان همواره باعث و منشآ بسیاری از آلودگی ها و نشت های اطلاعاتی بوده است. گزینه سوم نیز تمایل و رواج استفاده از نرم افزارهای غیر معتبر (قفل شکسته، دزدی و نسخه های دریافت شده از سایت های غیر رسمی) می باشد، که گزارش منتشر شده توسط مایکروسافت نیز اشاره ایی کوتاه به آن دارد. با انتشار اطلاعات و گزارشات کامل تر و دقیق تر می توان نتیجه گیری واضح تری در این خصوص داشت.

قابل توجه برادران گرامی ایی که به شدت نگران نشت اطلاعات از کشور بوده اند و البته این روز ها هم با جدیت مشغول متلاشی کردن تیم های سایبری بیگانگان و حملات دندان شکن به آنها بوده اند... بهتر نیست دیدگاه خود را نسبت به حملات سایبری و شناخت آن کمی تغییر دهید؟


{بروز رسانی:}
یکی از دوستان من نیز از دیدگاه دیگری این رویداد امنیتی را بررسی کرده که خواندن آن را نیز توصیه می کنم.

8 comments:

  1. Cool & informative .

    __Genius__

    ReplyDelete
  2. Having a sample of this malware is not a bad idea : http://rapidshare.com/files/408614846/winsta_stuxnet.rar

    pass : virus

    __Genius__

    ReplyDelete
  3. بسيار عالي و مفيد
    مثل هميشه
    بدون شك شما يكي از ذلسوزان خبزه امنيت
    در ايران هستيد و اي جاي تقذير دارد
    نكته ديگر قابل ذكر هم در هفته گذشته مقاله اب در همين راستا در همفته نامه عصر ارتباط منتشر گرديد
    اگر در ارشيو يافتم براي مطالعه قرار ميدهم

    ReplyDelete
  4. متاسفانه انقدر به قول شما "برادران ما" غرق در جنگ شدن که به کل از دفاع غافل شدن! اصولا تو هر شرایطی افرادی که به حمله فکر می کنن و از دفاع غافل می شن خیلی زود شکست می خورن! البته ما عادت داریم خیلی راحت با گفتن یه سری واژگان از جمله به کار بردن وزارت دفاع به جای وزارت جنگ و امثالهم خودمونو گول بزنیم و جوری وانمود کنیم که فقط اهل دفاعیم، اما هیچ وقت نمی تونیم از چیزی که هستیم و ضربه ای که به خاطرش دیر یا زود خواهیم خورد فرار کنیم! من با این بودجه های کلانی که صرف سرمایه گذاری تو این مقوله ها می شه هیچ مشکلی ندارم و به نظرم خیلی هم لازمه! فقط کاش این دوستان راه استفاده از این بودجه ها رو هم بلد بودن و خیلی کارا رو بدون فکر و تنها از روی احساسات شخصیشون انجام نمی دادن!

    ReplyDelete
  5. جاي تقدير داره اي جوان

    ReplyDelete
  6. با عرض سلام خدمت شما آقای کشفی
    من حدود 6 ماه است که با
    Conficker
    ما یک شبکه با حدود 15 کلاینت داریم که بار ها خواستم این کرم را از بین ببرم اما متاسفانه سیستم امنتی که روی تمامی سیستم ها وجود دارد
    Nod32
    می باشد و این برنامه فقط قادر به شناسایی این کرم میباشد و در قسمت قرنتیه خود آن را ثبت میکند اما بعد از اینکه از قسمت قرنتینه آن را پاک میکنم دوباره خودش را نشان می دهد ، تا به حال از بسیاری از دوستان در این مورد کمک خواسته ام حتی از برنامه جدا که برای از بین بردن این کرم طراحی شده بود نیز استفاده کرده ام اما موفق به پاکسازی آن از روی سیستم ها نشده ام، خواهشمند هستم در این مورد راهنمایی های لازم را بفرمایید

    با تشکر

    ReplyDelete
  7. با عرض سلام دوباره خدمت شما

    می خواستم یک چیزی را خدمت شما دوستان نشان دهم مثل اینکه عوض کردن آمار و نشاندن نمودار های دروغین و همینطور به روز نکردن مطالب قدیمی و نشان دادن آمار های گذشته به جای آماری واقعی و و به روز شده بسیار باب و فراگیر شده این آماری است که شرکت سیمانتک آن را ارائه کرده و نشان می دهد ایران بیشترین آلودگی را نسبت به کشور های دیگر در مورد این کرم
    Stuxnet
    که نزدیک به 60٪ را شامل می شود
    دارد،این هم آدرس سایت
    http://www.symantec.com/connect/blogs/w32stuxnet-network-information
    حالا بد نیست سری بزنیم به سایت سرت مخابرات که به قول خودشان
    مرکز مدیریت و هماهنگی عملیان رخداد های کامپیوتری در ایران را بر عهده دارد می بینیم که یک نمودار دیگر در آنجا وجود دارد که کاملا با نموداری که شرکت سیمانتک در سایت خود قرار داده متفاوت می باشد ، حتی با نگاهی اجمالی به اعداد نشان داده شده توسط این دو سایت می توانید به عمق تفاوت پی ببرید این هم آدرس سایت
    http://certcc.ir/Portal/Home/ShowPage.aspx?Object=Report&CategoryID=8fac287d-3e26-4f77-a49d-c5077e2d9181&LayoutID=7b5a4a1b-27b4-442c-a5d3-92f9797b6ec3&ID=617a2426-5c17-4142-ade8-22907e3c4e21

    به راستی با این دروغ سازی ها چه چیزی را می خواهند ثابت کنند؟
    این که ما در دروغ هم می توانیم خودکفا باشیم، و می توانیم حتی آمار ها را به دروغ به نفع خودمان تغییر بدهیم؟

    همه می دانیم با این پوشش های دروغین به جز ضرر کردن دستاورد دیگری برایمان ندارد.
    خانم @زهرا در پست بالا به نکته بسیار خوبی اشاره کرده بودند که ما باید هر دو جنبه را در نظر داشته باشیم هم دفاع و هم حمله البته نه به صورت شعار بلکه با تربیت صحیح و درست نیرو های متخصص و شاید به کار گیری نیرو های متخصص که در حال حاضر در کشور هستند، اما متسفانه یک تعدادی به خاطر عقاید متفاوت آنها چشم دیدن و استفاده از مهارت های آنها و به کارگیری این مهارت ها برای حفاظت از منابع اطلاعاتی و امنیتی را ندارد.

    به امید روزی که افراد آگاه و متخصص و دلسوز بر سر پست های کلیدی بنشینند البته تا قبل از اینکه کار از کار بگذرد...

    ReplyDelete
  8. با عرض سلام خدمت شما
    بنده باز هم روی
    ESET Smart Security 4 (nod32)
    کار کردم اما اینطور که متوجه شدم این ویروس کش از قصد کرم مشهور
    Conficker
    را پاک نمی کند، برای آشنایی بیشتر می توانید به آدرس زیر مراجعه بفرمایید
    http://en.wikipedia.org/wiki/Conficker
    در ضمن شرکت های بسیاری تا کنون برای این کرم
    Conficker Removal (Update)
    با قابلیت آپدیت بیرون داده اند، اما متاسفانه این درمان موقتی می باشد چون سیستم دوباره آلوده می شود

    متشکرم

    ReplyDelete