رد کردن تا محتوای اصلی
یافتن

مهندسي شبكه و راهبري تحقيقات همكاران سيستم > article
شناسایی و مقابله با کرم استاکس نت (Stuxnet Worm)
نويسنده:  فواد جاسمی – امنیت و شبکه
ناشر:  مشورت
تاريخ انتشار:  1/09/1389
كلمات كليدي:
Stuxnet , Worm , Rootkit , PLC , Scada
Stuxnet Review.pdf    
StuxnetPicture_2_4DF56C20.jpg    
StuxnetPicture_thumb_4DF56C20.jpg    

کرم استاکس نت دارای قابلیت برنامه ریزی مجدد( PLC (Programmable Logic Controllers ها و همچنین مخفی نگه داشتن این تغییرات است .(قابل ذکر است کرم استاکس نت اولین کرم کامپیوتری است که حاوی Rootkit برای PLC ها می باشد. )

از این گذشته طبق منابع موثق، هدف این کرم به احتمال زیاد "زیر ساخت های با ارزش" داخل ایران که از سیستم کنترلی شرکت زیمنس استفاده می کنند، می باشد .(طبق گفته مقامات شرکت سیمانتک 60% سیستم های آلوده در ایران هستند و هدف اصلی این کرم به گمان بیشتر کارشناسان تاسیسات هسته ای ایران و از جمله نیروگاه بوشهر و نطنز بوده است )

شرکت امنیتی کسپراسکای معتقد است که این حملات تنها می تواند از طرف یک دولت با پشتوانه ملی بالا صورت بپذیرد و از این رو ایران اولین هدف واقعی یک جنگ سایبری (مجازی) است.

Stuxnet Picture

کرم استاکس نت از طریق 4 حفره Zero-Day (نقاط آسیب پذیری که از زمان تمام شدن کد برنامه که در اینجا سیستم عامل ویندوز مورد نظر است، در برنامه موجود است ولی قبل از Patch شدن توسط برنامه نویس به وسیله هکرها مورد استفاده قرار می گیرد) به سیستم ها حمله می کند که این تعداد استفاده از این حفره ها در نوع خود کم نظیر است .

1. پخش شدن از طریق Removable Device ها که از آسیب پذیری موجود در( Shortcut Icon (.lnk سیستم عامل های ویندوز استفاده و باعث پخش ویروس می شود.(مایکروسافت Patch شماره MS10-046 را بدین منظور ساخته است )

2. پخش از طریق شبکه بوسیله حفره موجود در سرویس Print Spooler که با Patch شماره MS10-061 مایکروسافت می توان جلوی آن را گرفت .

3. پخش از طریق پروتکل SMB که با استفاده از این آسیب پذیری می توان ویندوز را مجبور به اجرای یک کد مخرب از طریق سرویس RPC کرد. البته قابل ذکر است این آسیب پذیری قبلا توسط کرم خطرناک Conficker (Kido) مورد استفاده قرار گرفته است و مایکروسافت آن را با Patch شماره MS08-067 درست کرده است.

کرم استاکس نت برای اینکه در ویندوز ها راحت تر نصب شود و مخفی بماند 2 امضای دیجیتالی تقلبی از شرکت های Realtek و JMicron دزدیده است که این امر باعث غیر قابل تشخیص ماندن آن در طول این مدت شده بود.

پیچیدگی های این کرم به حدی است که سازمان هایی از قبیل Guardian و BBC و New York Times بیان کرده اند باید یک دولت (که به علت شواهدی که در کد یافت شده است کشور اسراییل یا روسیه محتمل تر هستند) وظیفه پشتیبانی و حمایت از این کد نویسی را داشته باشد .

قبلا ذکر شد که این کرم به صورت Rootkit در سیستم های ویندوزی و همچنین PLC های صنعتی کار می کند، یعنی بعد از آلوده کردن سیستم ها تمام فعالیت هایش از دید آن سیستم مخفی می ماند و این کار پروسه شناختن و از بین بردن آن را طولانی تر و سخت تر می کند .(این Rootkit ها در ویندوز فایل هایی با پسوند lnk و tmp که حاوی کد های مخرب این کرم است را مخفی می کنند)

در آخر باید ذکر شود که برای از بین بردن و جلوگیری از پخش این کرم بسیار خطرناک، ذکر چند نکته حائز اهمیت می باشد :

1. به روز بودن ویندوز تمام سرور ها و کاربران در شرکت های بزرگ و همچنین کاربران خانگی.

2. استفاده از سرویس های امنیتی قابل اعتماد که در پایین ترین سطح آن یک آنتی ویروس به روز و قوی می باشد، البته باید با وجود یک دستگاه UTM در قسمت Edge شبکه امنیت بیشتری را برای کاربران و سرور های داخل سازمان فراهم کرد.

3. در سازمان های بزرگ می توان با بستن پورت های USB از طریق اعمال Policy ها توسط سروری که نقش Domain Controller را دارد، خطر آلوده شدن به این کرم را کاهش داد.

4. کاربران یک سازمان باید در باز کردن فایل هایی که دیگران برایشان Share می کنند، دقت لازم را مبذول دارند و حتما قبل از باز کردن Folder ها یک بار با آنتی ویروس آن ها را چک کنند.

نتیجه گیری

همانطور که در بالا به آن اشاره شد هدف اصلی این کرم خطرناک دستگاه های صنعتی و مختل کردن پروسه آنها می باشد، ولی از آنجایی که تمام این PLC ها از طریق سیستم های دارای سیستم عامل ویندوز برنامه ریزی می شوند، پس در نتیجه در مرحله اول سیستم عامل ها را هدف قرار می دهد و در مرحله بعد به سراغ برنامه ربزی سیستم های صنعتی می رود .

منابع

1. www.Symantek.com

2. www.threatpost.com

3.www.Kaspersky.com

4.www.eset.com

نظرات

باتشکر

با تشکر از شما مقاله شما خیلی به دردم خورد .
A.A
در 03/09/1389 01:57 ق.ظ

افزودن نظر

اگر عدد داخل تصوير بالا قابل نمايش نمي باشد، صفحه را Refresh كنيد.
كد بالا را در اين قسمت وارد كنيد : *

(توجه : اگركد بالا به درستي نمايش داده نمي شود، صفحه را براي دريافت كد جديد مجدداً لود كنيد.)
برای محتوای موارد این لیست تاییدیه لازم است. تا زمانی که آنها توسط کاربرانی که مجوز های لازم را دارند تایید نشوند داده های ارسال شده توسط شما در نمای عمومی نشان داده نخواهند شد. اطلاعات جانبی درباره تایید محتوا.

عنوان


متن اصلی *


پست الكترونيكي


پیوست ها
صفحه اصلي درباره ما تماس باما
کليه حقوق اين سايت براي شرکت مهندسي شبكه و راهبري تحقيقات همكاران سيستم محفوظ است. ©