سيد محمد جلالي مرکز تخصصی آپا دانشگاه صنعتي اصفهان...
DESCRIPTION
سمينار آشنايي با بدافزار Stuxnet تشريح عملكرد Stuxnet در سيستمهاي كنترل صنعتي و روشهاي مقابله با آن. سيد محمد جلالي مرکز تخصصی آپا دانشگاه صنعتي اصفهان آبانماه 1389. بخشهاي مختلف سمينار. امنيت در سيستمهای کنترل صنعتی زیر مؤلفههای مولفهي PLC بدافزار Stuxnet. - PowerPoint PPT PresentationTRANSCRIPT
![Page 1: سيد محمد جلالي مرکز تخصصی آپا دانشگاه صنعتي اصفهان آبانماه 1389](https://reader036.vdocuments.net/reader036/viewer/2022062500/56815aab550346895dc8485c/html5/thumbnails/1.jpg)
سيد محمد جاللي
مرکز تخصصی آپا دانشگاه صنعتي اصفهان1389آبان ماه
Stuxnetسمينار آشنايي با بدافزار
در Stuxnetتشريح عملكرد سيستم هاي كنترل صنعتي و
روش هاي مقابله با آن
![Page 2: سيد محمد جلالي مرکز تخصصی آپا دانشگاه صنعتي اصفهان آبانماه 1389](https://reader036.vdocuments.net/reader036/viewer/2022062500/56815aab550346895dc8485c/html5/thumbnails/2.jpg)
2
بخش هاي مختلف سمينار
امنيت در سيستم های کنترل صنعتی
زیر مؤلفه های مولفه يPLC بدافزار
Stuxnet
![Page 3: سيد محمد جلالي مرکز تخصصی آپا دانشگاه صنعتي اصفهان آبانماه 1389](https://reader036.vdocuments.net/reader036/viewer/2022062500/56815aab550346895dc8485c/html5/thumbnails/3.jpg)
3
امنيت در سيستم های کنترل صنعتی
![Page 4: سيد محمد جلالي مرکز تخصصی آپا دانشگاه صنعتي اصفهان آبانماه 1389](https://reader036.vdocuments.net/reader036/viewer/2022062500/56815aab550346895dc8485c/html5/thumbnails/4.jpg)
4
SCADA چيست؟ SCADA: Supervisory Control And Data Acquisitionمشاهده و كنترل فرآيند صنعتي به صورت متمركز
![Page 5: سيد محمد جلالي مرکز تخصصی آپا دانشگاه صنعتي اصفهان آبانماه 1389](https://reader036.vdocuments.net/reader036/viewer/2022062500/56815aab550346895dc8485c/html5/thumbnails/5.jpg)
5
•IT
می توان از ضدویروس استفاده کرد.•
آگاهی ها و آموزش های امنیتی وجود دارد.•
مي توان از تکنیک های رمزنگاری استفاده •
نمود.
امکان تست نفوذپذیری روتین وجود دارد.•
وصله های امنیتی مرتب وجود دارد و •
توصيه مي شود كه اعمال شوند.
SCADA
استفاده از ضدویروس ها به دليل تاخیر
مشکل است.
آگاهی ها و آموزش های امنیتی پایین است.
اکثر داده ها و اطالعات کنترلی به صورت
رمزنشده مبادله می شوند.
تست نفوذپذیری ممکن است مخرب
باشد.
وصله های امنیتی نامرتب و اعمال آن ها
ممکن است مخرب باشد.
SCADA و امنیت ITتفاوت امنیت
![Page 6: سيد محمد جلالي مرکز تخصصی آپا دانشگاه صنعتي اصفهان آبانماه 1389](https://reader036.vdocuments.net/reader036/viewer/2022062500/56815aab550346895dc8485c/html5/thumbnails/6.jpg)
6
بی شک امنیتIT.مهم است
عواقب نقض امنیتIT
مالی
نقض حریم خصوصی
نیاز به پیکره بندی مجدد سامانه ها
.... ارسال نامه های ناخواسته کندی اجرای فرامین و
!ولی زندگی جریان دارد
- SCADA و امنیت ITتفاوت امنیت ادامه
![Page 7: سيد محمد جلالي مرکز تخصصی آپا دانشگاه صنعتي اصفهان آبانماه 1389](https://reader036.vdocuments.net/reader036/viewer/2022062500/56815aab550346895dc8485c/html5/thumbnails/7.jpg)
7
و امنیت ITتفاوت امنیت SCADAادامه -
ناامنی در سیستم هایSCADA زندگی در دنیای
را تحت تاثیر قرار میدهد.واقعی
عواقب نقض امنیتSCADA
کشته و زخمی شدن انسانها
نابودی تاسیسات
![Page 8: سيد محمد جلالي مرکز تخصصی آپا دانشگاه صنعتي اصفهان آبانماه 1389](https://reader036.vdocuments.net/reader036/viewer/2022062500/56815aab550346895dc8485c/html5/thumbnails/8.jpg)
8
روش های ممکن برای ایجاد اختالل
انکار سرویسDOS جلوگیری از دستیابی اپراتور به سیستم ها و عدم امکان
مشاهده وضعیت یا صدور فرمان های کنترلیگمراه سازی اپراتور
گمراه سازی اپراتور و تشويق به انجام اقدامات اشتباهبر اساس اطالعات نادرست
دست کاری مستقیم تجهیزات صنعتیارسال غیرمجاز فرمان به تجهیزات
![Page 9: سيد محمد جلالي مرکز تخصصی آپا دانشگاه صنعتي اصفهان آبانماه 1389](https://reader036.vdocuments.net/reader036/viewer/2022062500/56815aab550346895dc8485c/html5/thumbnails/9.jpg)
9
توصیه های ایمنی
استفاده سیستم عامل مناسب و امن متناسب با
شرایط سازمان
به روزرسانی مداوم سیستم عامل و نصب وصله های
امنیتی
استفاده از نرم افزار ضدبدافزار مناسب و
به روزرسانی مداوم آن
طبقه بندی رایانه ها و الیه بندی شبکه و استفاده از
firewall در هر الیه
استفاده از حداقل سطح دسترسی در حساب
کاربری به هنگام اتصال رایانه به اینترنت یا
حافظه هاي جانبی
![Page 10: سيد محمد جلالي مرکز تخصصی آپا دانشگاه صنعتي اصفهان آبانماه 1389](https://reader036.vdocuments.net/reader036/viewer/2022062500/56815aab550346895dc8485c/html5/thumbnails/10.jpg)
10
توصیه های ایمنی خاص سامانه های کنترل صنعتی
محدودسازی و کنترل دسترسی به سامانه های صنعتی
محدودسازی و کنترل ارتباط هاي شبکه ي اداری، شبکه ي
کنترلي و شبکه ي صنعتی
تشکیل گروه های کاری متشکل از متخصصانIT و متخصصان
کنترل صنعتی
حمایت از توسعه و بهبود دانش و تجربه امنیت در سامانه های
صنعتی
طراحی امنیتی شبکه های جدید و طراحی مجدد شبکه های
موجود
![Page 11: سيد محمد جلالي مرکز تخصصی آپا دانشگاه صنعتي اصفهان آبانماه 1389](https://reader036.vdocuments.net/reader036/viewer/2022062500/56815aab550346895dc8485c/html5/thumbnails/11.jpg)
11
بدافزار PLCزیر مؤلفه های مولفه ي Stuxnet
« Siemens» مختص نرم افزارها و سخت افزارهاي شركت
![Page 12: سيد محمد جلالي مرکز تخصصی آپا دانشگاه صنعتي اصفهان آبانماه 1389](https://reader036.vdocuments.net/reader036/viewer/2022062500/56815aab550346895dc8485c/html5/thumbnails/12.jpg)
12
بدافزار PLCزیر مؤلفه های مولفه ي Stuxnet
Driver Project WinCC CPU
![Page 13: سيد محمد جلالي مرکز تخصصی آپا دانشگاه صنعتي اصفهان آبانماه 1389](https://reader036.vdocuments.net/reader036/viewer/2022062500/56815aab550346895dc8485c/html5/thumbnails/13.jpg)
13
بدافزار PLCزیر مؤلفه های مولفه ي Stuxnet
Driver Project WinCC CPU
![Page 14: سيد محمد جلالي مرکز تخصصی آپا دانشگاه صنعتي اصفهان آبانماه 1389](https://reader036.vdocuments.net/reader036/viewer/2022062500/56815aab550346895dc8485c/html5/thumbnails/14.jpg)
14
PLC ارتباط با Driverتغيير
Modified STL code block
Request code block from PLC
Show PLC code block
SIMATIC Manager
Modified STL code block
PLC
S7blk_read
s7otbxsx.dll
Driver سالم
Modified STL code block
S7blk_read
s7otbxdx.dll
Driver آلوده
![Page 15: سيد محمد جلالي مرکز تخصصی آپا دانشگاه صنعتي اصفهان آبانماه 1389](https://reader036.vdocuments.net/reader036/viewer/2022062500/56815aab550346895dc8485c/html5/thumbnails/15.jpg)
15
- ادامهPLC ارتباط با Driverتغيير
هدف از آلوده كردنDriver 3:چيز است
مانيتوركردن بلوك هاي كدي كه خوانده يا نوشته
مي شوند.
آلوده كردنPLC با تزريق كد يا تغيير كد قبلي آن ها
مخفي كردن اين موضوع كهPLC.آلوده شده است
![Page 16: سيد محمد جلالي مرکز تخصصی آپا دانشگاه صنعتي اصفهان آبانماه 1389](https://reader036.vdocuments.net/reader036/viewer/2022062500/56815aab550346895dc8485c/html5/thumbnails/16.jpg)
16
- يك نمونه PLC ارتباط با Driverتغيير
Driver آلوده Driver سالم
![Page 17: سيد محمد جلالي مرکز تخصصی آپا دانشگاه صنعتي اصفهان آبانماه 1389](https://reader036.vdocuments.net/reader036/viewer/2022062500/56815aab550346895dc8485c/html5/thumbnails/17.jpg)
17
- ادامهPLC ارتباط با Driverتغيير
راه تشخيص
چك كردن وجود فايل با نامs7otbxsx.dll
راه پاك سازي
نصب دوباره نرم افزارهايSiemens)راه حل بهتر(
حذفs7otbxdx.dll و تغيير نام s7otbxsx.dll به
s7otbxdx.dll
![Page 18: سيد محمد جلالي مرکز تخصصی آپا دانشگاه صنعتي اصفهان آبانماه 1389](https://reader036.vdocuments.net/reader036/viewer/2022062500/56815aab550346895dc8485c/html5/thumbnails/18.jpg)
18
بدافزار PLCزیر مؤلفه های مولفه ي Stuxnet
Driver Project WinCC CPU
![Page 19: سيد محمد جلالي مرکز تخصصی آپا دانشگاه صنعتي اصفهان آبانماه 1389](https://reader036.vdocuments.net/reader036/viewer/2022062500/56815aab550346895dc8485c/html5/thumbnails/19.jpg)
19
Step7آلودگي پروژه هاي
پوشه هايي حاوي فايل هايS7P .را آلوده مي كند
فايل هاي پروژه هاي داخلzip .هم مي توانند آلوده شوند
بازكردن پروژه هاي آلوده منجر به آلودگي رايانه ها
مي شود.
،با بازكردن پروژه هاي آلوده به نسخه ي جديدتر ويروس
نسخه ي جديدتر جايگزين مي شود.
![Page 20: سيد محمد جلالي مرکز تخصصی آپا دانشگاه صنعتي اصفهان آبانماه 1389](https://reader036.vdocuments.net/reader036/viewer/2022062500/56815aab550346895dc8485c/html5/thumbnails/20.jpg)
20
Step7تشخيص آلودگي پروژه هاي
.بدافزار اين فايل ها را ايجاد مي كند
xutils\listen\xr000000.mdx
فایل اصلی بدافزار با حجم(487KB)
xutils\links\s7p00001.dbf
xutils\listen\s7000001.mdx
![Page 21: سيد محمد جلالي مرکز تخصصی آپا دانشگاه صنعتي اصفهان آبانماه 1389](https://reader036.vdocuments.net/reader036/viewer/2022062500/56815aab550346895dc8485c/html5/thumbnails/21.jpg)
21
- Step7تشخيص آلودگي پروژه هاي ادامه
xutils\listen\ xutils\links\
![Page 22: سيد محمد جلالي مرکز تخصصی آپا دانشگاه صنعتي اصفهان آبانماه 1389](https://reader036.vdocuments.net/reader036/viewer/2022062500/56815aab550346895dc8485c/html5/thumbnails/22.jpg)
22
- Step7تشخيص آلودگي پروژه هاي ادامه« درون تمام زيرپوشه هاي پوشه يhOmSave7 يك فايل »dll
كپي مي كند.
.ممكن است نام هاي متفاوتي به آن داده شود(s7hkimdb.dll)
با بازكردن يك پروژه ي آلوده در يك سيستم سالم اينdll
آلودگي را منتشر مي كند.
![Page 23: سيد محمد جلالي مرکز تخصصی آپا دانشگاه صنعتي اصفهان آبانماه 1389](https://reader036.vdocuments.net/reader036/viewer/2022062500/56815aab550346895dc8485c/html5/thumbnails/23.jpg)
23
Step7پاك سازي پروژه هاي
استفاده از نرم افزارهاي ضدويروس كه به روز رساني شده اند.)راه حل
بهتر(
حذف فايل هاي اضافه شده
xutils\listen\xr000000.mdx
فایل اصلی بدافزار با حجم(487KB)
xutils\links\s7p00001.dbf
xutils\listen\s7000001.mdx
dll پوشه ي »كپي شده در تمام زيرپوشه هايhOmSave7 »
![Page 24: سيد محمد جلالي مرکز تخصصی آپا دانشگاه صنعتي اصفهان آبانماه 1389](https://reader036.vdocuments.net/reader036/viewer/2022062500/56815aab550346895dc8485c/html5/thumbnails/24.jpg)
24
بدافزار PLCزیر مؤلفه های مولفه ي Stuxnet
Driver Project WinCC CPU
![Page 25: سيد محمد جلالي مرکز تخصصی آپا دانشگاه صنعتي اصفهان آبانماه 1389](https://reader036.vdocuments.net/reader036/viewer/2022062500/56815aab550346895dc8485c/html5/thumbnails/25.jpg)
WinCCتشخيص آلودگي
.بدافزار اين فايل ها را ايجاد مي كند
GracS\cc_alg.sav
فایل اصلی بدافزار با حجم حدود(487KB)
GracS\db_log.sav
GracS\cc_tag.sav
GracS\cc_tlg7.sav
25
![Page 26: سيد محمد جلالي مرکز تخصصی آپا دانشگاه صنعتي اصفهان آبانماه 1389](https://reader036.vdocuments.net/reader036/viewer/2022062500/56815aab550346895dc8485c/html5/thumbnails/26.jpg)
26
- ادامهWinCCتشخيص آلودگي
![Page 27: سيد محمد جلالي مرکز تخصصی آپا دانشگاه صنعتي اصفهان آبانماه 1389](https://reader036.vdocuments.net/reader036/viewer/2022062500/56815aab550346895dc8485c/html5/thumbnails/27.jpg)
27
WinCCپاك سازي
استفاده از نرم افزارهاي ضدويروس كه به روز رساني
شده اند.)راه حل بهتر(
حذف فايل هاي اضافه شده
GracS\cc_alg.sav
فایل اصلی بدافزار با حجم حدود(487KB)
GracS\db_log.sav
GracS\cc_tag.sav
GracS\cc_tlg7.sav
![Page 28: سيد محمد جلالي مرکز تخصصی آپا دانشگاه صنعتي اصفهان آبانماه 1389](https://reader036.vdocuments.net/reader036/viewer/2022062500/56815aab550346895dc8485c/html5/thumbnails/28.jpg)
28
بدافزار PLCزیر مؤلفه های مولفه ي Stuxnet
Driver Project WinCC CPU
![Page 29: سيد محمد جلالي مرکز تخصصی آپا دانشگاه صنعتي اصفهان آبانماه 1389](https://reader036.vdocuments.net/reader036/viewer/2022062500/56815aab550346895dc8485c/html5/thumbnails/29.jpg)
29
PLCآلودگي پردازنده هاي
هدف نهاييStuxnet تغيير كد PLC.ها است
فقط سيستم هايSiemens.آلوده مي شوند
بسته به خصوصيات سيستم كنترلي هدف، كدهاي تزريق
شده فرق مي كند.
دو نوع كد جهت تزريق درPLC .در بدافزار پيدا شده است
كد نوع اولPLC را آلوده مي كند.315با پردازنده
كد نوع دومPLC را آلوده مي كند.417 با پردازنده
![Page 30: سيد محمد جلالي مرکز تخصصی آپا دانشگاه صنعتي اصفهان آبانماه 1389](https://reader036.vdocuments.net/reader036/viewer/2022062500/56815aab550346895dc8485c/html5/thumbnails/30.jpg)
30
PLCمراحل آلودگي پردازنده هاي
.ابتدا نوع پردازنده را چك مي كند
6اگرES7-315-2 6 ياES7-417 روند آلودگي را ادامه نمي دهد.نباشد
SDB را چك مي كند براي تعيين اين كه آيا بايد روند آلودگي ادامه
پيدا كند.
هدف از چك كردنSDB.معلوم نيست
FC1869 با كد آلوده اي كه داخلStuxnet تعبيه شده جايگزين
مي شود.
به اين ترتيب كنترلprofibus .را به دست مي گيرد
![Page 31: سيد محمد جلالي مرکز تخصصی آپا دانشگاه صنعتي اصفهان آبانماه 1389](https://reader036.vdocuments.net/reader036/viewer/2022062500/56815aab550346895dc8485c/html5/thumbnails/31.jpg)
31
- PLCمراحل آلودگي پردازنده هاي ادامه
ساختار شكل صفحه ي بعد به داخلPLC .تزريق مي شود
OB1 به شكلي آلوده مي شود كه با اجراي هر سيكل كد تزريق
اجرا شود.PLCشده در
OB1 بزرگ تر مي شود. كد آلوده به ابتداي آن اضافه مي شود. كد اصلي به
بعد از آن كپي مي شود.
OB35 به شكلي آلوده مي شود كه در شرايط خاصي جلوي
را بگيرد. OB1اجراي
![Page 32: سيد محمد جلالي مرکز تخصصی آپا دانشگاه صنعتي اصفهان آبانماه 1389](https://reader036.vdocuments.net/reader036/viewer/2022062500/56815aab550346895dc8485c/html5/thumbnails/32.jpg)
32
كد نوع اولساختار
![Page 33: سيد محمد جلالي مرکز تخصصی آپا دانشگاه صنعتي اصفهان آبانماه 1389](https://reader036.vdocuments.net/reader036/viewer/2022062500/56815aab550346895dc8485c/html5/thumbnails/33.jpg)
33
كد نوع دومساختار
![Page 34: سيد محمد جلالي مرکز تخصصی آپا دانشگاه صنعتي اصفهان آبانماه 1389](https://reader036.vdocuments.net/reader036/viewer/2022062500/56815aab550346895dc8485c/html5/thumbnails/34.jpg)
34
PLCتشخيص آلودگي پردازنده هاي
استفاده از رايانه ي بدون آلودگي و پروژه ي خام
ابتدايOB1 اين دستورات را مي بينيد:نوع اول آلوده با كد
UC FC1865
POP
L DW#16#DEADF007
==D
BEC
L DW#16#0
L DW#16#0
![Page 35: سيد محمد جلالي مرکز تخصصی آپا دانشگاه صنعتي اصفهان آبانماه 1389](https://reader036.vdocuments.net/reader036/viewer/2022062500/56815aab550346895dc8485c/html5/thumbnails/35.jpg)
35
- PLCتشخيص آلودگي پردازنده هاي ادامه
ابتدايOB35 اين دستورات را مي بينيد:نوع اول آلوده با كدUC FC1874POPL DW#16#DEADF007==DBECL DW#16#0L DW#16#0
ابتدايOB1 اين دستورات را مي بينيد:نوع دومآلوده با كد
UC FC6083
![Page 36: سيد محمد جلالي مرکز تخصصی آپا دانشگاه صنعتي اصفهان آبانماه 1389](https://reader036.vdocuments.net/reader036/viewer/2022062500/56815aab550346895dc8485c/html5/thumbnails/36.jpg)
36
PLCپاك سازي پردازنده هاي
.برنامه ي داخل پردازنده ها حذف شوند
با يك رايانه و پروژه ي بدون آلودگي دوباره برنامه ريزي
شوند.
!هشدار
از عدم آلودگي تشخيص آلودگي پروژه ها پيش از بازكردن پروژه با انجام روند
آن ها مطمئن شويد.
در صورتDownload ،كد، با رايانه ي آلوده يا پروژه هاي آلودهPLC پاك سازي نشده
است.
فايل هاي پشتيبان پروژه ها حتي اگرzip.شده باشند ممكن است آلوده باشند
![Page 37: سيد محمد جلالي مرکز تخصصی آپا دانشگاه صنعتي اصفهان آبانماه 1389](https://reader036.vdocuments.net/reader036/viewer/2022062500/56815aab550346895dc8485c/html5/thumbnails/37.jpg)
37
جمع بندي
Driver ارتباط باPLC .آلوده مي شود
درPLC كدهايي را تزريق مي كند و كدها را از ديد استفاده كننده مخفي
مي كند.
پروژه هايstep7 .آلوده مي شوند
.مي توانند آلودگي را نيز به يك رايانه ي سالم منتقل كنند
پروژه هايWinCC.آلوده مي شوند
.عالوه بر انتقال آلودگي مي توانند اطالعات را به سرقت ببرند
.پردازنده ها آلوده مي شوند
.ممكن است در نحوه ي كار سيستم كنترل اخالل ايجاد شود
![Page 38: سيد محمد جلالي مرکز تخصصی آپا دانشگاه صنعتي اصفهان آبانماه 1389](https://reader036.vdocuments.net/reader036/viewer/2022062500/56815aab550346895dc8485c/html5/thumbnails/38.jpg)
38
جمع بندي - ادامه
آلودگیPLC ها می تواند مستقل از آلودگی رایانه های محیط
هاي آلوده، رايانه هاي پاك و يا بالعكس(PLC)صنعتی باشد.
ها و پردازنده ها پاالیش شوند.برای پاک سازی باید رایانه ها، پروژه
هدف بدافزار از تزريق كد درونPLC :معلوم نيست زيرا
با اين كه تغييرات بدافزار در كدPLC .مشخص شده است
.اما ساختار سيستم كنترلي كه جزء اهداف بدافزار بوده را نمي دانيم
پس نشانه ها و اشکاالت غیرمتعارف سيستم كنترل را
جدي بگيريد!
![Page 39: سيد محمد جلالي مرکز تخصصی آپا دانشگاه صنعتي اصفهان آبانماه 1389](https://reader036.vdocuments.net/reader036/viewer/2022062500/56815aab550346895dc8485c/html5/thumbnails/39.jpg)
39
تماس بگیرید...
ی وقایع نامتعارفدر صورت مشاهدهافزارهای صنعتیسایت های تولید نرمنياز به آموزشنياز به ايجاد گوهر در سازماننياز به اطالعات بیشتر
http://www.certcc.irhttp://[email protected]
![Page 40: سيد محمد جلالي مرکز تخصصی آپا دانشگاه صنعتي اصفهان آبانماه 1389](https://reader036.vdocuments.net/reader036/viewer/2022062500/56815aab550346895dc8485c/html5/thumbnails/40.jpg)
?
40