[Seguridad] FAQ sobre Stuxnet

December 14th, 2010 | Posted by in Uncategorized - (0 Comments)

En el día que Microsoft soluciona la última vulnerabilidad aprovechada por Stuxnet, la empresa especialista en software de protección antivirus F-Secure ha reunido una serie de preguntas hechas en su pagina por los usuarios, respondiendo dichas inquietudes y publicándolas para despejar dudas acerca de este famoso gusano llamado Stuxnet, el cual se ha propagado de manera veloz en miles de computadora ademas causar estragos en grandes y medianas organizaciones. A continuación la traducción de dichas respuestas:

P: Qué es Stuxnet?
R: Es un gusano para Windows, que se prograga a través de memorias USB. Una vez infectada el computador busca copiarse asi mismo en recursos compartidos de la red donde la clave sea débil.
P: Puede transmitirse a través de otro tipo de dispositivos USB?R: Claro, el puede progagarse a través de cualquier cosa montada como unidad tales como discos portátiles, móviles, cuadros digitales, etc.

P: Qué hace el gusano?
R: Si infecta el sistema, el se esconde como un rootkit y se cerciora si existe conexión con un sistema de fabricación Siemens Simatic (Step7).

P: Qué hace con el Simatic?
R: Modifica comandos enviados desde Windows al PLC. Una vez ejecutado en el PLC, el busca un tipo de fábrica en específico. si no lo encuentra no hace nada.

P: Qué tipo de fábrica busca?
R: No lo sabemos aún.

P: Ha encontrado el tipo de fábrica buscado?
R: No lo sabemos.

P: Qué pasa si consigue el tipo de fábrica esperado?
R: Realiza complejas modificaciones a el sistema, los resultados de esas modificaciones no pueden ser detectados sin ver el ambiente actual de la fabrica, asi que no lo sabemos.

P: Ok, en teoria que podría hacer?
R: Podría ajustar motores, cintas transportadoras, bombas, podría detener la fabrica. Con las modificaciones precisas podría causar riesgos de explosión en los equipos.

P: Por qué se considera Stuxnet tan complejo?
R: Usa distintas vulnerabilidades y crea su propio controlador en el sistema.

P: Cómo puede instalarse con su propio controlador? Este no debería tener una firma de compatibilidad para trabajar con Windows?
R: El controlador de Stuxnet fue firmado con un certificado robado de Realtek Semiconductor Corp.

P: Se ha revocado este certificado robado?
R: Si. Verisign lo revoco el 16 de julio. Una variante con la firma modificada perteneciente a un certificado robado de JMicron Technology Corporation fue detectado el 17th de Julio.

P: Qué relación hay entre Realtek y Jmicron?
R: Nada. Pero ambas compañías tienen su base de operaciones en el mismo edificio de Taiwan, lo cual es extraño.

P: Qué vulnerabilidades explota Stuxnet?
R: En general, Stuxnet explota cinco distintas vulnerabilidades de Windows y una en Internet Explorer, de las cuale 4 fueron 0-days:

  • LNK y PIF – Vulnerability in Windows Shell Could Allow Remote Code Execution (MS10-046)
  • Print Spooler – Vulnerability in Print Spooler Service Could Allow Remote Code Execution (MS10-061)
  • Server Service – Vulnerability in Server Service Could Allow Remote Code Execution (MS08-067)
  • Vulnerabilities in Windows Kernel-Mode Drivers Could Allow Elevation of Privilege – Win32k.sys -  (MS10-073)
  • Vulnerability in Internet Explorer Could Allow Remote Code Execution – (Advisory 2458511)
  • Vulnerabilidades que permiten ejecución de código en Internet Explorer – Cumulative Security Update for Internet Explore (MS02-010)

Además aprovecha una vulnerabilidad 0-Day en Siemens Simatic (CVE-2010-2772)

P: Ya han sido parcheados por Microsoft?
R: Las dos escalaciones de privilegios no han sido parcheados aún.

P: Por qué se demoró tanto el análisis en detalle de Stuxnet?
R: Por lo inusualmente complejo y grande de su tamaño, el cual está sobre los 1.5MB.

P: Cuándo empezó a propagarse Stuxnet?
R: En Junio de 2009, o puede ser antes. Uno de sus componentes se compilo con fecha de Enero 2009.

P: Cuándo fue descubierto?
R: Una año después, en Junio de 2010.

P: Cómo es eso posible?
R: Buena pregunta.

P: Stuxnet fue creado por algún gobierno?
R: Eso es lo que parece.

P: Cómo podría un gobierno obtener algo tan complejo?
R: Pregunta ambigua, bien próxima pregunta.

P: Podria ser Israel?
R: No lo sabemos.

P: Sería Egipto? Arabia Saudita? USA?
R: No lo sabemos.

P: Sería el objetivo Irán?
R: No lo sabemos.

P: Es verdad que hay referencias bíblicas dentro de Stuxnet?
R: Hay una referencia a “Myrtus” (la cual es una planta de mirtus). Sin embargo, no esta escondido en el codigo, si no mas bien dentro de la referencia de compilación del programa. Básicamente nos dice donde el autor guardo el codigo fuente en su sistema, La ruta especifica del Stuxnet es: \myrtus\src\objfre_w2k_x86\i386\guava.pdb. El autor probablemente no que supiéramos sobre su proyecto llamado “Myrtus”, pero gracias a lo encontrado lo sabemos. Hemos visto estas caracteristicas en otros. La Operación Aurora que ataco a Google fue nombrada Aurora despues que su ruta fue encontrada dentro de los binarios: \Aurora_Src\AuroraVNC\Avc\Release\AVC.pdb.

P: Es entonces “Myrtus” una referencia bíblica?
R: Uhh… No lo sabemos realmente.

P: Podría significar algo más?
R: Si: podria ser “My RTUs”, no “Myrtus”. RTU es una abreviación de Remote Terminal Units, usado en sistemas de Fabricas.

P: Cómo sabe Stuxnet que ya ha infectado una maquina?
R: El crea una clave en el registro con el valor de “19790509? lo cual sería como una marca de infección.

P: Qué significa “19790509??
R: Es una fecha 9 de Mayo de 1979.

P: Qué paso el 9 de Mayo de 1979?
R: Puede ser la fecha de nacimiento del autor? También en esa fecha fue ejecutado un Judia-Irani llamado Habib Elghanian. Se le acuso de espiar para Israel.

P: Verdad.
R: Si.

P: Hay relación entre Stuxnet y Conficker?
R: Es posible. Las variantes de Conficker se encontraron entre Noviembre de 2008 y Abril 2009. La primera variante de Stuxnet se encontro inmediatamente después de esas fechas. Ambos explotan la vulnerabilidad MS08-067. Ambos usan las memorias USB para progagarse. Ambos buscan claves debiles de red para propagarse. Y por supuesto ambos son inusualmente complejas.

P: Hay relación con otros malware?
R: Algunas variantes de Zlob fueron las primeras en usar la vulnerabilidad LNK.

P: Deshabilitar la auto ejecución de dispositivos USB en Windows detendrá al gusano?
R: Falso. Hay muchos otros mecanismo que utiliza el gusano para propagarse. La vulnerabilidad LNK usada por Stuxnet infecta aún cuando Autoejecución y AutoReproducción hayan sido deshabilitados.

P: Stuxnet se propagará por siempre?
R: La version actual tiene una “kill date” (Fecha de autodestrucción) de Junio 24, 2012 en la cual dejará de propagarse.

P: Cuántas computadoras ha infectado?
R: Cientos de miles.

P: Siemens anunció que sólo 15 fabricas han sido infectadas.
R: Ellos hablan de fábricas. Mas nó de computadoras infectadas, como las del hogar u oficina que no están conectadas a sistemas SCADA.

P: Cómo los atacantes ingresan al troyano en lugares con seguridad alta?
R: Por ejemplo, se infectan en la casa de un empleado, a través de su memoria USB. Al llevarala al trabajo infecta la computadora de su puesto. El gusano se propagara por toda la organización utilizando el ambiente de seguridad y permisos de los usuarios que tengan sus USB infectados, eventualmente conseguirá su objetivo y continuara su propagación hacia otros sitios.

P: Qué más podría hacer, en teoría?
R: Siemens anuncion el año pasado que Simatic puede también controlar sistemas de alarma, control de accesos, puertas, en fin podria penetrar ambito de seguridad y proteccion de acceso. Piensa en Tom Cruise y Mission Impossible.

P: Podría llegar Stuxnet hacia aguas profundas y causar un derrame en el golfo de Mexicano?
R: No, no creemos que sea posible; A pesar que hay en aguas profundas algunos sistemas Siemens PLC.

Nota: Hemos aprendido muchos de los detalles mencionados en este cuestionario gracias a las consultas respondidas por los investigadores de Microsoft, Kaspersky, Symantec y otros fabricantes (ver video).

Fuente: F-Secure
Traducción: Elvis Cortijo


, , , , , , , , , , , , , , ,

Seguridad en entornos SCADA

October 2nd, 2010 | Posted by in Uncategorized - (0 Comments)

Nos despedimos de esta semana con un post de Pedro Quirós acerca de seguridad en SCADA, tan de moda estos días gracias a Stuxnet y a los medios de comunicación generalistas. Que pasen un buen fin de semana y vengan todos con las pilas recargadas para los últimos días previos al puente (sobre todo aquellos que no lo tengan).

A día de hoy hay pocos procesos productivos que no tengan una alta dependencia del ámbito TIC. Si bien en muchas organizaciones el número de usuarios de oficina es relativamente bajo y la complejidad es muy reducida, muchas veces disponen de entornos productivos con líneas de montaje que están controladas por equipos Scada. Estos equipos son auténticos ordenadores que controlan la operatividad y la eficiencia de las líneas de montaje o fabricación. Infraestructuras tan críticas con la nuclear, eléctrica, de alimentación, distribución de agua o de transporte usan entornos Scada a gran escala. Generalmente se consideran entornos seguros dado que suelen estar separados en áreas de la red diferenciadas, o incluso su propia subred. Muchos gestores las consideran “redes seguras” porque “no tienen acceso a internet”, además de considerarlos “entornos de bajo riesgo” dado que son entornos propietarios con un número muy limitado de expertos. Así que sus principales bazas eran el desconocimiento y el aislamiento.

Sin embargo no es necesario tener acceso directo a internet para presentar un problema, pues, como lamentablemente todos sabemos, hay otras muchas formas de infectar un equipo. En primer lugar, para un control de la producción en tiempo real, es necesario el envío de información desde cada uno de los equipos a un centro de control, que puede estar expuesto, con lo que exponemos a todo nuestro entorno productivo. Por otro lado no dejan de surgir ataques, especialmente virus como el ya famoso Stuxnet, que ataca directamente a entornos de producción en plataforma Siemens. El método de contagio es una simple llave USB, que a primera vista no representaba ninguna amenaza porque en entornos Microsoft no se detectaba ningún tipo de virus. Otros ataques típicos son el fingerprinting a través del puerto TCP 502, ataques a implementaciones ICCP, etc. Muchas veces estos entornos son especialmente vulnerables dado que los equipos de control utilizan sistemas operativos con soporte descontinuado, dado que “para el uso que se les da, no necesitan nada mas”. Este motivo explica por qué podemos encontrar PLCs que son auténticos agujeros de seguridad.

Es importante entender que un entorno SCADA no es un entorno seguro “per se”, requiere de la misma atención -o más- que un equipo de oficina, y que el simple aislamiento no resuelve la seguridad. La monitorización desde el punto de vista de la seguridad es indispensable. Ya es hora de empezar a contemplar estos equipos como una capa más en nuestra infraestructura dado que, como todos sabemos, una organización es tan segura como su eslabón mas débil. ¿Qué medidas habéis tomado en vuestras organizaciones?

Fuente: Security Art Work


, , , , , , , , , , ,

Stuxnet: ataque a sistemas de control industrial

October 1st, 2010 | Posted by in Uncategorized - (0 Comments)

Mientras los especialistas de la industria antivirus debaten sobre los temas de relevancia en materia de amenazas en la conferencia Virus Bulletin, aprovechamos la oportunidad para contarles justamente sobre una de las amenazas que fueron tratadas a través de dos papers en el evento, con un amplio debate suscitado el día de ayer. Se trata de la amenaza conocida como Stuxnet.

A mediados de julio se detecto una amenaza llamada Win32/Stuxnet.A que poseía la particularidad de explotar una vulnerabilidad 0-day que permitía la ejecución de código malicioso alojado dentro de dispositivos USB sin la necesidad de utilizar un archivo autorun.inf. Dicha vulnerabilidad, llamada vulgarmente como “vulnerabilidad .LNK“, llamó mucho la atención de especialistas en seguridad.

Así mismo, el código de Stuxnet parecía, en aquel entonces, poseer instrucciones para realizar ataques específicos a sistemas de control industrial SCADA (Supervisory Control And Data Acquisition), particularmente a los productos SIMATIC WinCC y SIMATIC STEP 7 de la empresa Siemens. Estos sistemas son utilizados desde el control automático de edificios inteligentes hasta el control de los sistemas de plantas de energía nuclear.

Contenido completo en ESET Latinoamérica


, , , , , , , , , , , , , , ,

Stuxnet

September 30th, 2010 | Posted by in Uncategorized - (0 Comments)

En el último mes y medio ha habido mucho revuelo por el gusano Stuxnet, o mejor dicho, por el primer rootkit conocido para sistemas de control, y en concreto para el sistema SCADA de Siemens WinCC. Ahora que ya tenemos bastante información sobre Stuxnet (Symantec, Kaspersky y otros investigadores a título personal lo han analizado a fondo), y justo antes de la cita con Robert Langner (que no Langdon, aunque bien podría serlo) en la “conference” ACS organizada por Joe Weiss (donde se descubrirá nueva información sobre el “bicho”) voy a aprovechar para hacer un resumen de lo que se sabe hasta la fecha.
Para la explicación que viene a continuación nos hemos basado principalmente en el excelente trabajo realizado por Industrial Defender en su whitepaper sobre Stuxnet y en la información facilitada por Richar Langner en su página web.

Contenido completo en S21Sec


, , , , , , , , ,

Informe sobre Stuxnet, el malware preparado para atacar SCADA

September 25th, 2010 | Posted by in Uncategorized - (0 Comments)

El virus Stuxnet, creado específicamente para afectar al software de gestión de infraestructuras críticas aprovechando distintas vulnerabilidades, no deja de reportar noticias dado la poca información de su origen y de la finalidad de los creadores. De sus acciones y efectos hemos hablado en alguna ocasión hace varios días en nuestro Blog.

Muchas empresas de seguridad están analizando su código línea por línea para intentar obtener algo de información. Entre ellas se encuentra ESET, que está realizando una profunda investigación respecto a Stuxnet.

Muchas de las preguntas todavía se encuentran sin responder, pero por ejemplo se van conociendo detalles, tal y como comenta David Harley en su blog, jefe de investigadores de ESET. De esas investigaciones se sabe que alguno de los desarrolladores tiene conocimientos de SCADA, software de Siemens y SQL. Estos conocimientos no son los normales en hackers de alquiler contratados anteriormente, por gobiernos o grupos militares, para el llamado espionaje cibernético.

Otro detalle, es que uno de cada tres de los sitios SCADA afectados se encuentran en Alemania donde, a diferencia de Irán, no aparece en la telemetría de los laboratorios de ESET con un alto volumen de infecciones.

Desde el departamento técnico de ESET en Ontinet.com les mostramos este interesante informe de los estudios realizados por los laboratorios de ESET sobre el virus Stuxnet, donde, además de intentar dar respuesta a algunas cuestiones interesantes, se discuten algunas de las características de este código malicioso fascinante y variado.

Fuente: Blog de Ontinet y ESET


, , , , , , , , , , , ,