Stuxnet, caso de estudio

Alejandro Ramos

http://www.securitybydefault.com

Yo. Ego - presentación

• Manager del TigerTeam de SIA

• Profesor en el MOSTIC de la Universidad

Europea de Madrid

• Editor de SecurityByDefault.com

Ralph Langner

• “Operation myrtus is the first real cyberwar operation in

history”

– uses a CYBER WEAPON

– created physical destruction

– hit a dedicated military target

– is lead by a coalition of nation states

– would have triggered a conventional military hardware

attack

• one could say Iran was Stuxnet’s designated beta tester

http://www.langner.com/english/?p=251

Definiciones de infraestructuras que

monitorizan y controlan procesos industriales

• ICS – Industrial control systems

• SCADA – Supervisory control and data acquisition

• DCS – Distributed control systems

• PLC – Programmable logic controllers

Control systems

Transport

Oil

Water

Manufacturing

Food and bevarage

Gas

Electricity

Chemical pharmaceutical

Algunos incidentes en SCADA

• (2000) Según Ministerio de Interior ruso, hackers entran

en Gazprom, colaboración con empleado que instalo

troyano dando acceso a un control del panel de un

centro. Podía haber generado un desastre nuclear

• (2001) Trabajador de planta de agua por rechazo en

nuevo puesto libera aguas tóxicas en ríos (Australia)

desde un portátil en el aparcamiento de las instalaciones

• (2003) Gusano Slammer infecta red de planta nuclear

David-Basse. Queda desactivado sistema de

monitorización durante 5 horas

Propagación de Stuxnet

Hosts infectados – 100.000

Propagación

Tipos de ataques según su objetivo

• Ataques a una organización o compañía

– Banca

– Sistemas SCADA

– Alta dirección / VIPs

– Espionaje industrial

• Ataques a un software específico o infraestructura

tecnológica concreta

– Adobe Acrobat

– Internet Explorer

– Dispositivos USB

Introducción

• El primero (detectado) con objetivos Industriales

• Ataca a sistemas PLC (Programming Logic Controllers)

que usan Siemens SIMATIC WinCC y Step 7 SCADA

• Métodos de infección:

– Explotando 4 vulnerabilidades de Windows no

parcheadas (0days)

– Recursos compartidos

– Contraseña por defecto

– Variante: Discos USB

• Infecta y se oculta así mismo usando drivers firmados

Introducción

• Se actualiza mediante C&C y P2P

• Incluye un rootkit que afecta a PLC

• Especialmente bien programado

• Diseñado para evitar errores

• Muy complejo, aproximadamente 1.5MB

• Intenta deshabilitar antivirus

• No se ha completado su análisis

• Se desconoce el objetivo real

Introducción

• Detectado por primera vez el 17 de junio de 2010

• Por la compañía VirusBlokAda Bielorusa

(http://www.anti-virus.by)

• En base al timestamp de ~wtr4141.tmp. Compilación de

03 Febrero 2010

Fima digital

• Objetivo de saltarse listas blancas en antivirus y

advertencias en Windows Vista y 7

• Firmado digitalmente por Realtek y JMicron (variante)

Fima digital - revocados

Firma digital - Drivers

Driver Compilado Firmado Software

~wtr4141.tmp 3/2/2010 3/2/2010 MS Visual Studio 2009

Mrxcls.sys 1/1/2009* 25/1/2010 MS Visual Studio 2005

Mrxnet.sys 25/1/2010 25/1/2010 MS Visual Studio 2005

Jmidebs.sys 14/7/2010

* tal vez obtenida de otro proyecto

Teorías

• Realtek y JMicron son empresas físicamente cercanas

(Hschinchu Sciense Park, Taiwan), por lo que han

podido sufrir un robo del certificado

• Los certificados han sido robados con ZeuS (conocido

malware que tiene esa característica)

• Distintos drivers firmados por distintas compañías y

usando distinto lenguaje hacen pensar en un equipo de

desarrolladores de malware

¿Myrtus?

• Referencias en el código a «Myrtus», similar al hebreo

«Esther»

• El Libro de Esther relata un complot persa para destruir

Israel

• Sospechas de que el gobierno israelí esté detrás

• My RTUs”, RTU = Remote Terminal Units

Otras fechas

• Clave en el registro con valor «19790509» (no infecta si

existe)

– ¿Fecha del nacimiento del autor?

– Fecha de Habib Elghanian empresario judío

ejecutado en Irán acusado de espía para Israel

• Fecha de expiración «kill date» 24 de Junio, 2012,

incluida en fichero de configuración

Vulnerabilidades

• MS10-046: Archivos LNK, propagación por USB

• MS10-061: Servicio printer Spooler, escalada de

privilegios y ejecución remota en XP

• MS10-073: Keyboard, windows 2000 y XP, escalada de

privilegios

• MS08-067: Servicio RPC, ejecución remota.

• MS10-0xx: Task Scheduler, escalada de privilegios

• CVE-2010-2772: Contraseña en el código de la

aplicación.

CVE-2010-2772

http://www.wilderssecurity.com/showthread.php?p=1712146

openrowset(''SQLOLEDB'',''Server=.\WinCC;uid=WinCCConnect;pwd=2WSXcder'','

MS10-046

Dispositivos

removibles

MS08-067

Red local

MS10-061

MS10-073

Win2000/XP

MS10-0XX

Vista/7/Server 2008

Propagación y

vectores de

instalación

propagación instalación

escalada de privilegios

escalada de privilegios vector general de ataque

ataques adicionales

http://www.eset.com/resources/white-

papers/Stuxnet_Under_the_Microscope.pdf

Propagación P2P

http://www.symantec.com/connect/es/blogs/stuxnet-p2p-component

http://www.langner.com/english/?p=183

Command & Control

• Conexión por HTTP a:

– www.mypremierfutbol.com (Malasia)

– www.todaysfutbol.com (Dinamarca)

• Permite actualizar la configuración con el fichero:

“%Windir%\inf\mdmcpq3.PNF”

• Información de la versión del sistema operativo

• Nombre del equipo

• Nombre del grupo de trabajo o dominio

• Si el software de WinCC está o no instalado

• Direcciones IP de las tarjetas de red

http://bit.ly/dfEQ9X

¿Objetivo?

• Teoría: Planta nuclear y el reactor de Bushehr y planta

centrífuga en Natanz

– Irán donde más infecciones hay

– Bushehr es un punto estratégico

– Bushehr usa Siemens

– Stuxnet se replica por USB y se puede propagar sin

Internet

– Se ha encontrado evidencias de que en Bushehr no

controlan correctamente el software

Instalaciones nucleares en Irán

La investigación continúa

http://bit.ly/dfEQ9X

Contramedidas

• HIDS basado en listas blancas

• Segmentación y filtrado en la red

• Aplicar parches de aplicaciones y sistemas operativos

• Desactivar dispositivos externos (USBs)

• Auditoría de vulnerabilidades

• Antivirus de red y sistema

“The problem is not Stuxnet. Stuxnet is history,“

“The problem is the next generation of

malware that will follow." Langner

Gracias

Referencias / Imágenes

• www.eset.com/resources/white-

papers/Stuxnet_Under_the_Microscope.pdf

• http://www.symantec.com/content/en/us/enterprise/medi

a/security_response/whitepapers/w32_stuxnet_dossier.p

df

• http://www.langner.com/en/

• http://ciip.wordpress.com/2009/06/21/a-list-of-reported-

scada-incidents/