STUXNET. Ondsindet angreb på SCADA server Hvad er nyt og hvordan sker dette? Johan Peder Møller

Transkript

1 STUXNET Ondsindet angreb på SCADA server Hvad er nyt og hvordan sker dette? Johan Peder Møller

2 Om CSIS Security Group Startet i 1999 HQ in København Kontorer i Skanderborg og Mauritius Ca. 40 ansatte der alle arbejder med IT sikkerhed Ekspertise omfatter Anti ecrime, Forensic analyse, Incident response m.m. Mission CSIS Security Group vil tilbyde Skandinaviens mest omfattende og omkostnings-effektive IT-sikkerhedsløsning til at analysere, dokumentere og forhindre sikkerheds-eksponeringer og skadelig brugeradfærd og hermed forebygge IT-kriminalitet og nedbrud. CSIS Security Group vil sikre overblik for både IT-medarbejdere og virksomhedens ledelse samt dokumentere styring og kontrol af ITsikkerhedsrisici 24x7. Vision CSIS Security Groups målsætning er at være blandt top 3 udbydere indenfor standardiserede, driftsstabile, modulære ITsikkerhedsprodukter, der samtidig giver stordriftsfordele gennem en central løsning med mulighed for outsourcing. 10/3/11 2

3 Agenda Rootkits Oh day mm Trusselsbilledet i dag Stuxnet i hovedpunkter Stuxnet udbredelse og opførsel Forgiftning af PLC systemer Hvad gør vi for at beskytte os 10/3/11 3

4 Rootkit Oh day Oh my Rootkit Kernel level software beregnet på at skjule aktivitet for brugere og administratorer Zero day sårbarhed Også kendt som 0-day eller O(h) day En såbarhed der ikke er kendt i offentligheden og som der ikke er et patch for C&C server Command and Control server er det sted hvorfra et orm eller botnet styres fra Botnet En samling af inficerede computere som styres centralt eller decentralt P2P Peer to Peer netværk Et netværk hvor de enklete noder har C&C funktionalitet 10/3/11 4

5 Trusselsbilledet i dag Script kiddies Botnet operatører/recruiters Opbygger botnet, go sælger ydelser som Spam mail, DDoS angreb og meget andet. Eksempler: Conficker, Storm Infektion: Drive-By angreb, Spam mails, USB Mål: Flest mulige maskiner i netværket = Flere penge Info stealers Går efter at stjæle dine passwords, konto oplysninger, kreditkort osv. Eksempler: Zeus, Patcher Infektion: Drive-By, Spam mails, Phising, USB Mål: Dine penge, din identitet, din kredit værdighed Målrettede angribere Angribere med kendskab til den organisation de angriber Eksempler: Stuxnet, (Aurora), special malware vi ikke hører om Infektion: Spear phising, USB, CD, Labels Mål: Spionage (industriel), Sabotage, Penge 10/3/11 5

6 STUXNET historien 17-Jun-2010 VirusBlokAda opdager en virus der kan smitte via.lnk filer, bare ved at se på dem i Explorer 15-Jul Jul-2010 Aug-2010 Jul-Oct 2010 Brian Krebs blogger om ovenstående, og at den konkrete virus går efter Siemens WinCC SCADA systemet Microsoft udsender første advisory Ny 0- day afsløret i Stuxnet Flere og flere informa9oner bliver 9lgængelige om Stuxnet 10/3/11 6

7 Stuxnet i hovedpunkter 4 0-day i samme infektion Digitalt signeret kode Angreb på SCADA systemer Benytter rootkit metoder til at skjule kode Comand & Control struktur Godt kenskab til Siemens WinCC og PCS7 Ser ud til at gå efter specifikt productions anlæg 10/3/11 7

8 Udbredelsesmetoder MS eller LNK sårbarheden Bruges til at sprede Stuxnet via USB er og delte drev Såbarhed i shell32.dll MS eller print spooler sårbarheden Bruges til at sprede Stuxnet over netværket Sårbarhed i print spool håndtering MS eller Conficker sårbarheden Svaghed i server service udnyttes via RPC kald Bruges til at sprede via netværket 10/3/11 8

9 Stuxnet opførsel Kernel mode rootkit skjuler filer Dll er erstattes Andre USB er inficeres Check for Siemens WinCC og PCS7 software Kontakt til C&C server 2 C&C servere (en i Danmark) Sender data om maskinen Opdateringer af kode P2P komponent 10/3/11 9

10 Stuxnet adgang til WinCC og PCS7 Database med statisk password Ikke just the hack of the century Password kan ikke skiftes Password var tilgængeligt på Siemens eget bruger forum, men blev slettet J Desværre var det også tilgængeligt på det rusiske bruger forum, hvor det ikke blev slettet L Det har selvfølgeligt været tilgængeligt på adskillige undergrunds sites 10/3/11 10

11 PLC rootkit Adgang via databasen med statisk password Al data i databasen kan læses og evt. ændres DLL hooking benyttes til at skjule indsat PLC kode PLC kode inficeres kun hvis specifikke betingelser er opfyldt Processor (6ES7-417 and 6ES ) To værdier (7050h and 9500h) To infections typer PLC code lader til at erstatte bl.a. en watchdog process (Symantec) Stuxnet manipulere OB1 OB35 (watchdog block) 10/3/11 11

12 PLC rootkit DP_RECV kopieres til ny block (hooking?) Kunne være rootkit func for et eller flere devices Eller for at skjule information som kommer fra et device på en PROFIBUS 10/3/11 12

13 Beskyt dig mod Stuxnet ol. Kort sigt: Process white listing Air gap SCADA hvis du kan Benyt den Antivirus som forhandleren anbefaler og opdater den! Følg sikkerheds anbefaling fra forhandleren Epoxy i USB stik J (virker faktisk ikke) Undlad drive mapping Langt sigt: Kræv bedre indbygget sikkerhed Digitalt signgeret PLC kode Design sikkerhed ind i dit netværk Tænk sikkerhed ind i dine processer Monitorering i netværket Audit PLC er med uafhængige systemer Sikkerheds awareness 10/3/11 13

14 10/3/11 14