Stuxnet:How It Happened And How Your Enterprise Can Avoid Similar Attacks
A lookback at one of the industry's most complex attacks -- and the lessonsit teaches
May 17, 2011 | 11:25PM | 1Comments
By Michael Davis,Contributing Writer
Dark Reading
[Đượctrích ra từ “Kiểm trâ thực tế Stuxnet: Liệu bạn cóđược chuẩn bị cho một cuộc tấn công tương tựkhông”, một báo cáo mới được đưa lên tuần này trênDark Reading của Trungtâm Kỹ thuật về các Mối đe dọa Tiên tiến]
[Excerptedf-rom "Stuxnet Reality Check: Are You Prepared For A SimilarAttack," a new report posted this week on the Dark ReadingAdvancedThreats Tech Center.]
Bài được đưa lênInternet ngày: 17/05/2011
Lờingười dịch: Các chuyên gia về an ninh của một vài tổchức như Tofino Security, Abterra Technologies và ScadaHacker.comđã mô phỏng lại cuộc tấn công của Stuxnet với tấtcả những biện pháp công nghệ tiên tiến nhất cho tớithời điểm đầu năm 2010 về an ninh và đã đưa ra kếtluận trong “Stuxnet lan truyền thế nào - Một nghiên cứuvề các con đường lây nhiễm trong các hệ thống thựctiễn tốt nhất” rằng: “Không, bạn hiện không thểthực sự ngăn cản được dạng tấn công này”. Nếucuộc tấn công Aurora vào Google và các công ty Mỹ kháccuối năm 2009 được coi là khẩu súng máy, thì Stuxnetđược coi là “một tên lửa tìm theo nhiệt, được dẫnđường bằng thiết bị định vị toàn cầu GPS”. Đểhọc nhiều hơn về cách mà Stuxnet làm việc, và các bàihọc mà nó dạy cho các doanh nghiệp, hãy tải về báocáo này một cách tự do.
Các cơ sở hạt nhâncủa Iran, các khai thác ngày số 0, các đặc vụ bí mậtvà sự can dự của các chính phủ quốc gia nghe giốngnhiều hơn câu chuyện ngày xưa trong một tiểu thuyếttrinh thám hơn là một mẩu phần mềm. Vâng Stuxnet, phầnmềm độc hại được nghiên cứu và được phân tíchnhiều nhất từ trước tới nay, vẫn còn đang đượcnghiên cứu và thảo luận trong giới an ninh trên khắp thếgiới - thậm chí dù nó đã được phát hiện hơn 1 nămvề trước.
Bạn có thể khôngvận hành một cơ sở hạt nhân, vậy vì sao bạn quan tâmvề một mẩu phần mềm đã nhằm vào các mẫu máy li tâmđặc chủng trong các nhà máy hạt nhân đặc chủng ởmột phần khác của thế giới nhỉ? Đơn giản, Stuxnet đãtạo ra thực tế các cơn ác mộng không gian mạng và đãthay đổi thế giới an ninh một cách vĩnh viễn - trong khicùng một lúc soi sáng cho những rui ro cao có liên quan tớicác mạng cuaru ác kiểm soát giám sát và thu thập dữliệu (SCADA) mà chúng kiểm soát các hoạt động bên trongnhiều công ty tiện ích và năng lượng.
Làm thế nào mà mộtcuộc tấn công giống như kiểu Stuxnet có thể ảnh hưởngđược tới doanh nghiệp của bạn - và những gì bạn cóthể làm để ngăn chặn nó? Hãy ngó qua một chút.
Đầu tiên, vì sao bạnnên được kết nối? Một báo cáo gần đây của ViệnPonemon, “Tình trạng an ninh công nghệ thông tin: nghiêncứu về các công ty tiện ích và năng lượng”, chỉ rarằng việc bảo vệ các hệ thống SCADA rõ ràng là cácmục đích an ninh cao nhất trong các công ty này, và là khókhăn nhất để đạt được. Đối với các công ty chạymạng SCADA, Stuxnet chỉ ra tai hại mà một kẻ tấn côngđược xác định, có kỹ năng cao với các tài nguyên lớncó thể làm được.
Đối với phần cònlại của chúng ta, trong khi có những so sánh có thể đượctiến hành giữa các mạng riêng và các mạng SCADA, thìnhững rủi ro là không như nhau. Vì thế, sự đánh cượctốt nhất của bạn là để hiểu cách mà Stuxnet làmviệc, ý định của nó, và, quan trọng nhất, vì sao nócó khả năng bằng cách nào đó thành công, để hiểuđược tiền năng thế hệ tiếp sau của các phần mềmđộc hại sẽ tấn công vào mạng của bạn.
Iraniannuclear facilities, zero-day exploits, secret operatives andnation-state government involvement sounds more like the backstory toa spy novel than a piece of malware. Yet Stuxnet, the most researchedand analyzed malware ever, is still being studied and discussed insecurity circles around the world -- even though it was discoveredmore than a year ago.
Youprobably don’t operate a nuclear facility, so why should you careabout a piece of software that targeted specific centrifuge models inparticular nuclear plants in another part of the world? Simply put,Stuxnet made cybernightmares reality and changed the security worldforever -- while simultaneously bringing to light the high risksassociated with the supervisory control and data acquisition (SCADA)networks that control operations within many energy and utilitycompanies.
Howwould a Stuxnet-like attack affect your enterprise -- and what canyou do to stop it? Let's take a look.
First,why should you be concerned? A recent Ponemon Institute report,"State of IT Security: Study of Utilities and Energy Companies,"shows that protecting SCADA systems is clearly the highest securityobjectives within these companies, and the most difficult to achieve.For companies that run SCADA networks, Stuxnet shows the harm adetermined, highly skilled attacker with ample resources might do.
Forthe rest of us, while there are comparisons that could be madebetween private networks and SCADA networks, the risks are not thesame. So, your best bet is to understand how Stuxnet works, itsintent and, most importantly, why it was able to be somewhatsuccessful, to understand the potential next-generation of malwarethat will attack your network.
Stuxnet đã được sửdụng trong một cuộc tấn công có chủ đích vào 5 tổchức vào tháng 6-7/2009 và 3-4-5/2010, tất cả 5 tổ chứcnày đều nằm tại Iran. Đích ngắm đối với các côngty đặc thù là những gì làm cho Stuxnet khác với mối đedọa tiên tiến theo lối truyền thống.
Chúngta thường nghĩ về một APTs - đặc biệt, các cuộc tấncông Aurora vào Google, Adobe, Juniper, Rackspace và các hãngkhác - khai thác chỗ bị tổn thương ngày số 0 của IE,sử dụng cũng các kỹ thuật chống lại nhiều công tyvới ý định ăn cắp mã nguồn.
Stuxnet,lại khác, từng là một cuộc tấn công được tạo ravới độ tinh vi phức tạp cao, được cung cấp tài chínhtốt, được thiết kế tùy biến, hình như, dành cho mộtmục tiêu duy nhất để phá hủy sự sản xuất uraniumđược làm giàu tại Iran. Hãy nghĩ về một APT thôngthường như một khẩu súng máy, nhằm vào nhiều mụctiêu trên một chiến trường cụ thể, so với Stuxnet, mộttên lửa tìm theo nhiệt, được dẫn đường bằng thiếtbị định vị toàn cầu GPS.
Mộtđội các nhà nghiên cứu an ninh đã nghiên cứu các phòngvệ có thể chống lại Stuxnet bằng việc tạo ra mộtmạng nhà máy hạt nhân mô phỏng được thiết lập cấuhình với tất cả những thực tiễn tốt nhất về anninh công nghệ thông tin được biết tại thời điểm cáccuộc tấn công Stuxnet vào năm 2009 và đầu năm 2010. Sauđó các nhà nghiên cứu, từ Tofino Security, AbterraTechnologies và ScadaHacker.com, đã phân tích từng sự lâynhiễm, nảy nở và điểm vào ẩn náu mà Stuxnet đã sửdụng, để xác định liệu những thực tiễn tốt nhấtđó có thể ngăn ngừa được những lây nhiễm của phầnmềm độc hại đó hay không. Kết luận đã nêu trong“Stuxnet lan truyền thế nào - Một nghiên cứu về cáccon đường lây nhiễm trong các hệ thống thực tiễn tốtnhất”: “Không, bạn hiện không thể thực sự ngăn cảnđược dạng tấn công này”. Nhưng các nhà nghiêncứu đã đưa ra chỉ dẫn mà bạn sẽ nhận thức được:Đừng tập trung vào các mối đe dọa, hãy tập trung vàochỗ bị tổn thương của công ty bạn.
Stuxnetwas used in a targeted attack on five organizations in June and July2009 and March, April, and May 2010, all five of which have apresence in Iran. The targeting of specific companies is what setsStuxnet apart f-rom the traditional advanced persistent threat.
Whatwe generally think of as APTs -- notably, the Aurora attacks onGoogle, Adobe, Juniper, Rackspace and others—exploits the samezero-day IE vulnerability, employing the same techniques againstmultiple companies in an attempt to steal source code.
Stuxnet,on the other hand, was a highly sophisticated, well-financed,custom-designed attack cre-ated, apparently, for the single purpose ofdisrupting the production of enriched uranium in Iran. Think of aconventional APT as a machine gun, aimed at multiple targets within acertain field of fire, vs. Stuxnet, a heat-seeking, GPS-guidedmissile.
Ateam of security researchers studied possible defenses againstStuxnet by creating a simulated nuclear plant network configured withall the best IT ecurity practices known at the time of the Stuxnetattacks in 2009 and early 2010. Then the researchers, f-rom TofinoSecurity, Abterra Technologies and ScadaHacker.com, analyzed eachinfection, propagation and stealth entry point Stuxnet had used, todetermine if those best practices would have prevented the malwareinfections.
Theirconclusion, reported in "How Stuxnet Spreads -- A Study ofInfection Paths in Best Practice Systems": "No, youcurrently cannot really prevent this type of attack." But theresearchers provided guidance you will recognize: Don’t focus onthe threats; focus on your company’s vulnerability.
Bài học đầu tiênlà các đầu USB. Những lây nhiễm qua ổ tháo lắp đượclà phổ biến. Các phần mềm độc hại được đặttrong một ổ USB hoặc một ổ cứng ngoài và được tháolắp ra từ máy PC này sang máy PC khác. Những gì làm choloại Stuxnet dạng tấn công này còn chết người hơn làsử dụng chỗ bị tổn thương ngày số 0, mà nó khôngđòi hỏi bất kỳ sự tương tác nào với người sửdụng ngoài việc chèn ổ đĩa vào máy tính.
Sự phòng vệ tốtnhất là phần mềm an ninh cho thiết bị lưu trữ tháo lắpđược, sẵn có từ nhiều nhà cung cấp về an ninh, màchúng ngăn cản các đầu USB, các đĩa CDs/DVDs, các ổcứng ngoài, các máy chơi nhạc số và những thiết bịkhác không được phép và không rõ không cho chúng đượckích hoạt và được tải lên từ một máy tính. Nhữngcông cụ này nên được tăng cường với các chính sáchchỉ định các thiết bị lưu trữ tháo lắp được nào,nếu có, có thể được sử dụng trên một máy tính cụthể và ai được sử dụng.
Bài học thứ 2 là sựnảy nở. Stuxnet đã dựa vào những khai thác mạng và tựnó trốn trong các tệp dự án của WinCC để đảm bảonó có thể được chạy ở những lúc được chỉ định.Dạng nảy nở này đòi hỏi truyền thông điểm - điểmgiữa các máy tính trạm.
Bạn có thể ngănngừa dạng nảy nở này bằng việc sử dụng các tườnglửa cho các máy chủ host để lọc ra giao thông tiềm tàngnguy hiểm, như các dịch vụ cho phép một PC giao tiếptrực tiếp với PC khác. Stuxnet đã sử dụng một khaithác để gửi đi một thông điệp RPC giả mạo từ máytrạm A sang máy trạm B và đã làm cho nó chạy mã tải vềphần mềm độc hại. Nếu máy trạm B đã có một tườnglửa được bật thì đã ngăn ngừa được các kết nốiđi vào, thì khai thác có thể sẽ thất bại.
Bài học 3 là xácthực. Stuxnet đã cung cấp một rootkit của Windows màrootkit này đã thực hiện thứ gì đó mà nền công nghiệpan ninh đã không nhìn thấy từ trước đó. Nó đã sửdụng một chứng thực hợp pháp từ một công ty hợppháp làm cho các trình điều khiển Windows che dấu đượcxác thực của nó.
USBdrives are the first lesson. Removable drive infections are common.Malware is placed on a USB drive or an external hard drive and movedf-rom PC to PC. What makes the Stuxnet version of this kind of attackmuch deadlier is the use of the zero-day shortcut vulnerability,which does not require any user interaction beyond in-serting thedrive into the computer.
Thebest defense is removable storage device security software, availablef-rom numerous security vendors, that prevents unknown or unauthorizedUSB drives, CDs/DVDs, external drives, digital music players and soon f-rom being mounted and loaded by a computer. These tools should bereinforced with policies that specify which, if any, removablestorage devices can be used on a particular computer and by whom.
LessonNo. 2 is propagation. Stuxnet relied on network exploits and burieditself into WinCC project files to ensure it would be executed atdesignated times. This type of propagation requires peer-to-peercommunication between workstations.
Youcan prevent this type of propagation by using host firewalls tofilter out potentially dangerous traffic, such as services that letone PC communicate directly with another. Stuxnet used an exploit tosend a crafted RPC message f-rom workstation A to workstation B andcaused it to execute code that downloaded the malware. If workstationB had had a firewall enabled that prevented inbound connections, theexploit would have failed.
LessonNo. 3 is authentication. Stuxnet provided a Windows rootkit that didsomething the security industry hadn’t seen before. It used alegitimate certificate f-rom a legitimate company that makes Windowsdrivers to mask its identity.
Ẩn dấu mình đểkhông ai nhìn thấy, Stuxnet đã phải lo lắng về việc mãnguồn của nó tăng phồng lên với tất cả các kỹ thuậtđen tối phức tạp của nó mà các phần mềm độc hạikhác phải sử dụng. Nếu bạn là một người quản trị,liệu bạn có hỏi một tập trong thư mục Windows\System32có cái tên là MrxNet.sys, được RealTek viết và đượckiểm tra tính hợp lệ với một chứng chỉ hợp pháp haykhông?
Những gì bạn có thểlàm hôm nay là hãy sử dụng các công cụ quản lý thayđổi và băm tệp từ các công ty như Tripwire để dò tìmdạng các kỹ thuật “ẩn náu không nhìn thấy được”này chăng? Một công cụ quản lý thay đổi giám sát cácthư mục của các trình điều khiển sống còn củaWindows đưa ra một cảnh báo khi một trình điều khiểnmới được cài đặt. Nếu sự cài đặt này không cótrong lịch trình của bạn, thì nó có thể là ai đó hoạtđộng mà không tuân theo các thủ tục quản lý thay đổi,hoặc nó có thể là thứ gì đó tệ hại, như Stuxnet.
Để học nhiều hơnvề cách mà Stuxnet làm việc, và các bài học mà nó dạycho các doanh nghiệp, hãy tải về báocáo này một cách tự do.
Hidingin plain sight, Stuxnet didn’t have to worry about bloating itscode with all the complicated obfuscation techniques that othermalware has to use. If you were an administrator, would you questiona file in the Windows\System32 folder named MrxNet.sys, written byRealTek and verified with a legitimate certificate?
Whatyou can do today is use file hash and change management tools f-romcompanies such as Tripwire to detect these “hide-in-plain-sight”type of techniques? A change management tool monitoring criticalWindows driver folders issues an alert when a new driver isinstalled. If this install was not on your schedule, it might besomeone operating without following change management procedures, orit might be something nasty, like Stuxnet.
Tolearn more about how Stuxnet works, and the lessons it teaches forenterprises, downloadthe free report.
Dịch tài liệu: Lê Trung Nghĩa
Ý kiến bạn đọc
Những tin mới hơn
Những tin cũ hơn
Blog này được chuyển đổi từ http://blog.yahoo.com/letrungnghia trên Yahoo Blog sang sử dụng NukeViet sau khi Yahoo Blog đóng cửa tại Việt Nam ngày 17/01/2013.Kể từ ngày 07/02/2013, thông tin trên Blog được cập nhật tiếp tục trở lại với sự hỗ trợ kỹ thuật và đặt chỗ hosting của nhóm phát triển...