/ / Wie sich Stuxnet (SPS-Virus) ausbreitet - Teil 4

Wie sich Stuxnet (SPS-Virus) ausbreitet - Teil 4

Fortsetzung von Wie sich Stuxnet (SPS-Virus) ausbreitet - Teil 3 » Lies hier

Weitergabe an andere Umkreisnetzwerkcomputer

Wie sich Stuxnet (SPS-Virus) ausbreitet
Einmal die Wurm hat im Perimeter-Netzwerk Fuß gefasstversuchen, alle erkannten Druckserver und Dateiserver zu infizieren. Als Nächstes würde der Wurm die auf den Web Navigation- und CAS-Servern installierte WinCC-Software identifizieren und wahrscheinlich diese lokalen Datenbanken infizieren.

Wenn der Web-Navigationsserver so konfiguriert ist, dass er Terminaldienste für den Remotezugriff verwendet, ist dies ebenfalls möglich STEP 7-Software auf diesem Host installiert, bietet der Wurm die Möglichkeit, sich innerhalb der STEP 7-Projektdateien zu installieren.

Weitergabe an ein Prozesssteuerungsnetzwerk und ein Kontrollsystemnetzwerk

Einmal übernimmt der Wurm die PCS 7 Server imIm Umkreisnetzwerk ist es dann einfach, die vorhandenen Netzwerkverbindungen zu den im Prozesssteuerungsnetzwerk vorhandenen Servern zu verwenden, um die Server in dieser Zone zu infizieren.

Weiterhin sind einmal die STEP 7-Projektdateien vorhandeninfiziert, ist es nur eine Frage der Zeit, bis ein autorisierter Benutzer eine Projektdatei in die Prozesssteuerungs- oder Kontrollsystemnetze kopiert. Wenn ein Administrator diese Dateien in eine andere Anlage an einem anderen Standort kopiert und die dort vorhandenen Dateien verwendet, führen diese STEP 7-Projektdateien außerdem zu einer Gefährdung dieser neuen Site durch den Stuxnet-Wurm.

Außerdem der WinCC Central Archive Server(CAS) im Umkreisnetzwerk verfügt über konfigurierte Datenbankverbindungen über den ISA-Server, sodass der Historian-Server historische Daten von den Betriebssystemen des Betriebssystems des Betriebssystems anfordern kann. Der Stuxnet-Wurm kann sich über diese Verbindungen auf diese OS-Server ausbreiten und alle Server im Process Control Network infizieren, auf denen entweder Druckserver, Dateiserver oder WinCC- oder STEP 7-Software installiert sind. STEP 7 wird normalerweise auf Engineering Stationen installiert, während WinCC sowohl auf Operator- als auch auf Engineering Stationen üblich ist.

Einige der angegriffenen Betriebssystemserver werden verwaltetVerbindungen zu den S7-Steuerungen, die den physikalischen Prozess steuern. Der Wurm stellt eine Verbindung zu diesen SPSen her und ändert die Programmierung in allen SPSen, die den Auswahlkriterien des Wurms entsprechen. Außerdem wird auf den STEP 7-Hosts ein spezieller Treiber installiert, der jeden modifizierten Code vor Administratoren oder Ingenieuren verbirgt SPSDadurch wird der Wurm nach der Installation in der SPS "unsichtbar".

Alternative Wege: Zu den alternativen Infektionswegen der Prozesssteuerungs- und Kontrollsystemnetze gehören:

  • Dateifreigaben oder Druckerspooler können ausgesetzt seinHosts im Umkreisnetzwerk. Selbst wenn eine Site nicht beabsichtigt hat, solche Dienste im Prozesssteuerungsnetzwerk dem Umkreisnetzwerk zur Verfügung zu stellen, verwenden WinCC-Komponenten im Umkreisnetzwerk intensiv die Windows-RPC-Kommunikation, um mit Komponenten im Prozesssteuerungsnetzwerk zu interagieren. Druck-Spooling und Dateifreigabe verwenden RPC-Kommunikation. Jeder Pfad durch die ISA-Firewall, der RPC-Kommunikation zulässt, würde Verbindungen zum Drucken von Spoolern und Dateifreigaben zulassen, unabhängig davon, ob solche Verbindungen vom Personal erwartet wurden, das ISA-Firewall-Regeln entwarf.

    Wenn zum Beispiel ein OPC Classic-Server (z. B.OPC Data Access) im Prozesssteuerungsnetzwerk liefert Informationen an eine Anwendung im Umkreisnetzwerk, wobei diese Verbindung den RPC-Kommunikationspfad verfügbar macht, da sie die Grundlage des OPC Classic-Protokolls ist.

  • Die meisten Server im Umkreisnetzwerk werden verwendetDatenbankverbindungen zu Servern im Process Control Network, um Daten zur Präsentation für Unternehmensbenutzer abzurufen. Wenn einer dieser Server oder Arbeitsstationen gefährdet ist, kann sich der Wurm über die Datenbankverbindung des Computers zum Prozesssteuerungsnetz ausbreiten.

  • SPS-Programmierprojekte können routinemäßig durchgeführt werdenauf Prüfständen, für die Sicherheitsmaßnahmen schwächer sind als für Produktionsnetzwerke. Solche Testbetten können durch austauschbare Laufwerke, Remote-Anbieter, Verbindungen zu gefährdeten Enterprise-Hosts oder auf andere Weise beeinträchtigt werden. Wenn diese infizierten Projektdateien an Hosts in Process Control and Control System Networks übermittelt werden, gefährdet der Wurm diese neuen Hosts.

  • Ein Auftragnehmer oder Lieferant, der einen Fernzugriff verwendet Mechanismus Unterstützung bei der Betreuung von Gastgebernim Prozesssteuerungsnetzwerk kann von einem angegriffenen Laptop oder einer Arbeitsstation aus remote auf dieses Netzwerk zugreifen. Wenn der Auftragnehmer mit freigelegten Dateifreigaben oder Druckerspoolern im Prozesssteuerungsnetzwerk kommunizieren kann, die eine Gefährdung dieser Hosts ermöglichen würden. Wenn der Auftragnehmer oder die Workstation des Lieferanten mit beliebigen nicht gepatchten Hosts kommunizieren kann, die die Sicherheitsanfälligkeit MS08-067 ausnutzen, kann dieser Kanal auch die Hosts im Prozesssteuerungsnetzwerk gefährden.

  • Die Verwendung eines infizierten externen Laufwerks auf einem einzelnen Host im Prozesssteuerungsnetzwerk würde diesen Host und die anderen Computer in diesem Netzwerk gefährden.

Peer-to-Peer-Netzwerk

An diesem Punkt des Szenarios ist die physischeProzess kann oder kann nicht sofort Fehlfunktion. Der Stuxnet-Wurm wurde entwickelt, um über das Internet mit einem der zwei Befehls- und Kontrollserver (C & C-Server) Kontakt aufzunehmen, um neue Anweisungen und Updates zu erhalten. Der Wurm tauscht Informationen mit diesen Servern über das HTTP-Protokoll an Port TCP / 80 aus. Die Nutzdaten für die Kommunikation mit diesen Servern sind verschlüsselt, aber der "Umschlag" für die Kommunikation ist Klartext-HTTP. Keiner der Inhalte des HTTP-Datenverkehrs stimmt mit den Anti-Spam- oder Anti-Malware-Regeln in Internet-Firewalls oder Intrusion-Monitoring-Systemen (IPS / IDS) von Unternehmen überein, sodass der Datenverkehr zu den C & C-Servern ins Internet zugelassen wird.

Die Tiefenverteidigung der Beispielsiteverbietet jedoch die Kommunikation von einem ISA-geschützten Netzwerk mit einer beliebigen Maschine im offenen Internet außerhalb einer Liste speziell autorisierter Maschinen. Die C & C-Server sind keine genehmigten Ziele, und die direkte Kommunikation zwischen den infizierten Hosts in den vertrauenswürdigen internen Kontrollnetzwerken und den C & C-Servern wird effektiv blockiert. Stuxnet begegnet dieser Abwehr mit einer in den Wurm integrierten Peer-to-Peer-Netzwerkfunktion (P2P), die in Abbildung 6 dargestellt ist.

Das P2P-Netzwerk verwendet die Windows-Remoteprozedur(RPC) als Transport bezeichnet - das gleiche Protokoll, das von Windows File Sharing, Windows Print Spooling, OPC und einer Reihe von Siemens-eigenen Datenaustauschprotokollen verwendet wird. Die RPC-Kommunikation muss in lokalen Netzwerken aktiviert sein, damit das PCS 7-System funktionieren kann. Somit sind alle infizierten Geräte in den Prozesssteuerungs- und Kontrollsystemnetzwerken durch die P2P-Funktion miteinander verbunden.

In diesem Szenario gehen wir davon aus, dassMaschinen im Prozesssteuerungsnetzwerk werden routinemäßig von einem Steuerungssystemadministrator im Unternehmenssteuerungsnetzwerk verwendet. Der Administrator stellt eine Verbindung mit dem Computer über eine VPN-Verbindung her, die so konfiguriert ist, dass nur Remote Desktop (RDC) -Verkehr innerhalb des VPN-Tunnels verschlüsselt wird. Auf diese Weise hat ein Virus oder Wurm auf dem Computer des Administrators nur minimale Möglichkeiten, sich in das geschützte Netzwerk zu verbreiten. Dieser Administrator druckt jedoch routinemäßig Informationen vom OS-Client-Computer im Prozesssteuerungsnetzwerk, während er den Computer remote verwendet. Der Drucker ist der mit dem Enterprise Control Network verbundenen Workstation des Administrators zugeordnet. Daher wurde eine RPC-Verbindung über die ISA-Firewalls vom OS-Client zur Workstation des Administrators zugelassen.

Leider erlaubt diese offene RPC-Verbindungder gesamte RPC-Verkehr, einschließlich des von Stuxnet verwendeten P2P-RPC-Netzwerks. Die Workstation des Administrators, die sich im Enterprise Control-Netzwerk befindet, hat keine Einschränkungen hinsichtlich der Konnektivität mit neuen Sites im Internet. Seit dem vorgeschlagenen Zeitpunkt dieses Szenarios (d. H. Mai 2010) hat noch kein Sicherheitsforscher Stuxnet oder die C & C-Server entdeckt. Diese Serveradressen sind in keiner Liste verbotener Websites in der Unternehmensfirewall enthalten.

Abbildung 6: Befehls- und Steuerungskommunikation

Abbildung 6: Befehls- und Steuerungskommunikation


Stuxnet übernimmt den AdministratorArbeitsstation, die die Zero-Day-Druckspooler-Sicherheitsanfälligkeit verwendet, und verwendet die RPC-Verbindung mit dieser Arbeitsstation, um das P2P-Netzwerk auf das Enterprise Control Network auszudehnen. Das P2P-Netzwerk umfasst jetzt Hosts, die Kontakt zum C & C-Server haben, und das gesamte Netzwerk der angegriffenen Computer wird mit den Befehls- und Steuerungsservern der Stuxnet-Autoren in Kontakt gebracht.

Es ist wichtig darauf hinzuweisen, dass dieser Weg istErfolgreich aufgrund des grundlegenden Unterschieds in der Philosophie zwischen der Richtlinie "Standard ablehnen", die bei der Konfiguration von Firewalls verwendet wird, die mit vertrauenswürdigen Kontrollsystemnetzen verbunden sind, und der Richtlinie "Standardmäßig zulassen", die in Firewalls verwendet wird, die Unternehmensnetzwerke mit dem Internet verbinden.

Einige der Fähigkeiten der C & C-Server sind vorhandenwurde durch eine Untersuchung der Stuxnet-Wurmsoftware ermittelt, es wurden jedoch keine weiteren Untersuchungen zu diesen Servern veröffentlicht. Wir wissen, dass die Kommunikations- und RPC-Kommunikationssoftware des Stuxnet-Wurms neue Versionen des Wurms empfangen und diese im P2P-Netzwerk verteilen kann. Wir wissen auch, dass der Wurm in der Lage ist, über diese Kommunikationskanäle neue ausführbare Dateien aller Art, einschließlich SPS-Funktionsblöcke, zu empfangen und diese lokal auszuführen.

Zu was gibt es noch keine InformationenNeben neuen Versionen des Wurms wurden möglicherweise auch ausführbare Dateien an infizierte Sites übertragen. Diese Fähigkeit, ausführbare Dateien zu empfangen und auszuführen, hat möglicherweise zur Entwicklung neuer Wurmversionen beigetragen und könnte dazu beitragen, den Wurm durch bestimmte Zielnetzwerke zu verbreiten. Es wurde jedoch nichts Bestimmtes darüber veröffentlicht, wie die Möglichkeit zum Ausführen von beliebigen Dateien verwendet wurde.

Alternative Wege: Alternative Kommunikationspfade mit Befehls- und Steuerungsservern umfassen:

  • WinCC-Komponenten im Umkreisnetzwerk machenintensive Nutzung der Windows-RPC-Kommunikation für die Interaktion mit Komponenten im Prozesssteuerungsnetzwerk. Alle diese Kommunikationspfade durch die ISA-Firewall, einschließlich OPC-Classic-Verbindungen, ermöglichen auch die RPC-P2P-Kommunikation.

  • Während nicht in der Siemens-Sicherheit beschriebenEmpfehlungen verwenden Administratoren im Enterprise Control Network an vielen Standorten Dateifreigaben, um Informationen mit Servern im Perimeter Network auszutauschen. Pfade durch die ISA-Firewall, die eine solche Kommunikation zulassen, gestatten auch den Stuxnet-P2P-Verkehr.

  • Während nicht in der Siemens-Sicherheit beschriebenEmpfehlungen: An vielen Standorten beschränken die VPN-Verbindungen von Enterprise Control Network-Workstations zum Umkreisnetzwerk die Kommunikation nicht aggressiv auf bestimmte Ports und Hosts. Die meisten Workstations mit VPN-Verbindungen zum Umkreisnetzwerk können mit jedem Port eines beliebigen Hosts im Umkreisnetzwerk kommunizieren. In solchen Fällen macht jeder gefährdete Host im Enterprise Control-Netzwerk mit einer VPN-Verbindung zum Umkreisnetzwerk seine P2P-Kommunikationsfunktion für alle gefährdeten Hosts im Umkreisnetzwerk verfügbar.

  • Auch wenn die Kommunikation mit Befehl und Kontrolle erfolgtServer werden erfolgreich blockiert. Jede Route, die von der ursprünglichen Infektion verwendet wurde oder verwendet werden könnte, kann als Route dienen, über die Updates für den Wurm verbreitet werden. Wenn neue Versionen des Wurms auf gefährdeten Computern installiert werden, verbreiten sie sich genauso wie der ursprüngliche Wurm. Diese Art von Kommunikationspfad kann jedoch nur zum Aktualisieren von Kopien des Wurms verwendet werden, nicht zur interaktiven Ausführung beliebiger Dateien auf gefährdeten Hosts.
QUELLE: Wie sich Stuxnet ausbreitet - eine Studie über Infektionspfadein Best Practice Systemen von: Eric Byres, P. Eng. ISA-Stipendiat, Andrew Ginter, CISSP, Joel Langill, CEH, CPT, CCNA (www.tofinosecurity.com www.abterra.ca www.scadahacker.com) - Entwickeln Sie Best Practice-Richtlinien, um die Sicherheit und Zuverlässigkeit Ihrer Infrastruktur und Ihrer Informationsressourcen zu bestätigen
Bemerkungen: