Как распространяется Stuxnet (PLC-вирус) - Часть 4

Как распространяется Stuxnet (PLC-вирус) - Часть 4
Как распространяется Stuxnet (PLC-вирус) - Часть 4
Anonim

Продолжение работы с распространением Stuxnet (PLC virus) - часть 3 » Читать здесь

Распространение на другие периферийные компьютеры

Image
Image

Как только червь закрепится в сети периметра, он попытается заразить любые серверы печати и файловые серверы, которые он сможет обнаружить. Затем червь идентифицирует программное обеспечение WinCC, установленное на веб-навигации и серверах CAS, и, вероятно, заразит эти локальные базы данных.

Также возможно, что если веб-навигационный сервер настроен на использование служб терминалов для удаленного доступа, на этом хосте может быть установлено программное обеспечение STEP 7, предлагающее червю возможность установить себя внутри файлов проекта STEP 7.

Распространение на сеть контроля и управления технологическими процессами

Как только червь берет серверы PCS 7 в сети периметра, тогда тривиально использовать сетевые соединения, которые существуют для серверов, расположенных в сети управления технологическими процессами, для заражения серверов в этой зоне.

Кроме того, как только файлы проекта STEP 7 заражены, только авторизованный пользователь копирует файл проекта в системы управления технологическими процессами или системами управления. Кроме того, если администратор должен был скопировать эти файлы на другой завод на другом сайте и использовать там файлы, эти файлы проектов STEP 7 приведут к компрометации этого нового сайта червя Stuxnet.

Кроме того, Центральный архивный сервер WinCC (CAS) в сети периметра имеет подключения к базе данных, настроенные через ISA-сервер, так что сервер историков может запрашивать исторические данные с серверов операционной системы (OS) в сети управления технологическими процессами. Червь Stuxnet может распространяться по этим соединениям на эти серверы ОС и заражать все серверы в сети управления технологическими процессами, которые выставляют на них либо серверы печати, файловые серверы, либо на которых установлено программное обеспечение WinCC или STEP 7. ШАГ 7 обычно устанавливается на инженерных станциях, а WinCC является обычным явлением как на операторских, так и на инженерных станциях.

Некоторые из уязвимых серверов ОС управляют соединениями с ПЛК S7, которые управляют физическим процессом. Червь подключается к этим ПЛК и модифицирует программирование во всех ПЛК, которые соответствуют критериям выбора червя. Он также устанавливает специальный драйвер на хостах STEP 7, эффективно скрывая любой модифицированный код от администраторов или инженеров, запрашивающих ПЛК, делая червя «невидимым» после его установки на ПЛК.

Альтернативные пути: Альтернативные пути заражения систем управления технологическими процессами и системами управления включают:

  • Пакеты файлов или диспетчеры печати могут быть открыты для хостов в сети периметра. Даже если сайт не хотел показывать такие службы в сети управления технологическими процессами в сети периметра, компоненты WinCC в сети периметра сильно используют связь Windows RPC для взаимодействия с компонентами в сети управления технологическими процессами. Для печати и обмена файлами используется связь RPC. Любой путь через брандмауэр ISA, который разрешает RPC-связь, позволит подключаться к диспетчерам очереди печати и общим папкам, независимо от того, ожидали ли такие подключения персоналом, разрабатывающим правила брандмауэра ISA.

    Например, если сервер OPC Classic (например, OPC Data Access) в сети управления технологическими процессами передает информацию в приложение в сети периметра, это соединение предоставляет путь связи RPC, поскольку он является основой протокола OPC Classic.

  • Большинство серверов в сети периметра используют подключения базы данных к серверам в сети управления технологическими процессами для получения данных для представления корпоративным пользователям. Если какой-либо из этих серверов или рабочих станций становится скомпрометированным, червь может распространяться по подключению базы данных этого компьютера к сети управления технологическими процессами.
  • Проекты программирования ПЛК могут регулярно выполняться на испытательных стендах, для которых меры безопасности более слабы, чем те, которые применяются к производственным сетям. Такие тестовые кровати могут быть скомпрометированы съемными дисками, удаленными поставщиками, подключениями к взломанным узлам предприятия или другим средствам. Если эти зараженные файлы проектов передаются хостам в системах управления технологическими процессами и системами управления, червь компрометирует эти новые хосты.
  • Подрядчик или поставщик, использующий механизм удаленного доступа для поддержки поддержки хостов в сети управления технологическими процессами, может удаленно получить доступ к этой сети с взломанного ноутбука или рабочей станции. Если подрядчик может обмениваться информацией с любыми открытыми файловыми ресурсами или диспетчерами печати в сети управления технологическими процессами, что позволит скомпрометировать эти узлы. Если рабочая станция подрядчика или поставщика может обмениваться данными с любыми неустановленными хостами, подверженными уязвимости MS08-067, этот канал также разрешает компрометацию хостов в сети управления технологическими процессами.
  • Использование зараженного внешнего диска на любом одном хосте в сети управления технологическими процессами может скомпрометировать этот хост и другие компьютеры в этой сети.

Одноранговая сеть

В этот момент в сценарии физический процесс может или не может немедленно сработать. Червь Stuxnet был разработан для связи с одним из двух серверов управления и контроля (C & C) через Интернет для новых инструкций и обновлений. Червь обменивается информацией с этими серверами по протоколу HTTP, на порту TCP / 80. Полезная нагрузка на связь с этими серверами зашифровывается, но «конверт» для сообщений - это текстовый HTTP. Ни одно из содержимого HTTP-трафика не соответствует правилам защиты от нежелательной почты или вредоносных программ в корпоративных брандмауэрах Интернета или системах контроля вторжений (IPS / IDS), и поэтому трафик на серверы C & C разрешен через Интернет.

Тем не менее, защита в углубленном состоянии сайта примера запрещает связь из любой сети, защищенной ISA, с любой машиной в открытом Интернете, за исключением списка специально разрешенных машин. Серверы C & C не являются утвержденными пунктами назначения, и прямая связь между зараженными хостами в доверенных внутренних сетях управления и серверами C & C эффективно блокируется. Stuxnet работает вокруг этой защиты с помощью одноранговой сети (P2P), встроенной в червь, как показано на рисунке 6.

Сеть P2P использует вызовы удаленных процедур Windows (RPC) в качестве транспорта - тот же протокол, используемый для совместного использования файлов Windows, буферизации печати Windows, OPC и ряда протоколов обмена данными Siemens. Связь RPC должна быть включена в локальных сетях для работы системы PCS 7. Таким образом, все зараженное оборудование в сетях управления технологическим процессом и системой управления взаимосвязано с возможностями P2P.

В этом случае мы предположим, что один из компьютеров в Control Control Network регулярно используется администратором системы управления в Enterprise Control Network. Администратор подключается к аппарату через VPN-соединение, настроенное для разрешения трафика только Remote Desktop (RDC) в туннеле VPN. Таким образом, вирус или червь на компьютере администратора имеет минимальную возможность распространения в защищенной сети. Тем не менее, этот администратор регулярно печатает информацию с клиентской машины OS в сети управления технологическими процессами при дистанционном использовании устройства. Принтер сопоставляется с рабочей станцией администратора Enterprise Network, подключенной к сети, и поэтому соединение RPC разрешено через брандмауэры ISA от клиента ОС на рабочую станцию администратора.

К сожалению, это открытое соединение RPC позволяет использовать весь RPC-трафик, включая сеть P2P RPC, которую использует Stuxnet. Рабочая станция администратора, находящаяся в сети управления предприятием, не имеет ограничений на подключение к новым сайтам в Интернете. Поскольку в предлагаемое время этого сценария (т.е. в мае 2010 года) ни один исследователь по безопасности еще не обнаружил Stuxnet или серверы C &C; эти адреса серверов не включены в список запрещенных сайтов на корпоративном брандмауэре.

Рисунок 6: Командная и контрольная коммуникации

Stuxnet берет на себя рабочую станцию администратора, используя уязвимость диспетчера очереди печати с нулевым днем, и использует соединение RPC с этой рабочей станцией для расширения сети P2P до сети управления предприятием. В настоящее время сеть P2P включает в себя узлы, которые имеют контакт с сервером C & C, а вся сеть скомпрометированных машин связана с серверами команд и серверов управления Stuxnet.

Важно отметить, что этот путь успешный из-за принципиальной разницы в философии между политикой «отрицать по умолчанию», используемой в конфигурации брандмауэров, которые взаимодействуют с доверенными сетями систем управления, и широко используемой политикой «разрешить исходящие по умолчанию» в брандмауэрах, которые соединяют корпоративные сети с Интернетом.

Некоторые возможности серверов C & C были определены путем изучения программного обеспечения червя Stuxnet, но больше ничего не опубликовано ни о каких расследованиях этих серверов. Мы знаем, что C & C-коммуникация Stuxnet и коммуникационное ПО RPC способны получать новые версии червя и распространять эти версии в сети P2P. Мы также знаем, что червь способен получать новые исполняемые файлы любого типа, включая функциональные блоки программ PLC, по этим каналам связи и способен выполнять их локально.

Пока нет информации о том, какие исполняемые файлы, помимо новых версий червя, могут быть переданы на зараженные сайты. Эта возможность получать и запускать исполняемые файлы может помочь в разработке новых версий червя и может использоваться для распространения червя через определенные целевые сети. Тем не менее, но ничего окончательного не было опубликовано о том, как фактически использовалась возможность запуска произвольных файлов.

Альтернативные пути: Альтернативные пути связи с командами и серверами управления включают:

  • Компоненты WinCC в Perimeter Network интенсивно используют связь Windows RPC для взаимодействия с компонентами в сети управления технологическими процессами. Все такие пути связи через брандмауэр ISA, включая соединения OPC Classic, также обеспечивают связь RPC P2P.
  • Хотя это не описано в рекомендациях по безопасности Siemens, на многих сайтах администраторы сети Enterprise Control Network используют общий доступ к файлам для обмена информацией с серверами в Perimeter Network. Пути через брандмауэр ISA, разрешающие такую связь, также позволяют трафик Stuxnet P2P.
  • Хотя это не описано в рекомендациях по безопасности Siemens, на многих сайтах VPN-соединения с рабочих станций Enterprise Control Network в Perimeter Network не ограничивают связь с конкретными портами и хостами; большинство рабочих станций с VPN-подключениями к сети периметра могут связываться с любым портом на любом хосте в сети периметра. В таких случаях любой взломанный хост в сети управления предприятием с подключением VPN к сети периметра предоставляет возможности P2P-связи всем взломанным хостам в сети периметра.
  • Даже если связь с серверами управления успешно заблокирована, любой маршрут, который исходная инфекция использовала или могла использовать, может служить в качестве маршрута распространения обновлений для червя. Когда новые версии червя устанавливаются на взломанных машинах, они повторно распространяются так же, как и оригинальный червь. Однако этот вид коммуникаций можно использовать только для обновления копий червя, а не для интерактивного и удаленного выполнения произвольных файлов на взломанных хостах.

ИСТОЧНИК: Как распространяется Stuxnet - исследование путей заражения в системах наилучшей практики: Eric Byres, P. Eng. Член ISA, Эндрю Гинтер, CISSP, Джоэл Лангилл, CEH, CPT, CCNA (www.tofinosecurity.com www.abterra.ca www.scadahacker.com) - разрабатывайте рекомендации по лучшей практике для сертификации безопасности и надежности ваших инфраструктурных и информационных активов