کرم Stuxnet

داستان انیمیشنی بدافزار استاکس‌نت (1/10/89)

خلاصه فعالیت‌های مرکز در حوزه بدافزار استاکس‌نت (8/8/1389)

مرکز تخصصی آپا دانشگاه صنعتی اصفهان به عنوان یکی از مراکز پیشتاز در زمینه تحلیل بدافزار استاکس‌نت، تا کنون مجموعه‌ای از اعمال آماده‌سازی، تحلیلی و عملیاتی را انجام داده است. در بخش آماده‌سازی، واحدهای امداد امنیت رایانه‌ای موجود در کشور برای رسیدگی به حادثه با یکدیگر هماهنگ شده و تیم‌هایی به‌منظور تحلیل و نمونه‌گیری سازماندهی شده‌اند. در بخش تحلیل، رفتار ویروس به‌تدریج در حال بررسی بوده و در هر مرحله روش‌های پاک‌سازی و مقاوم‌سازی مناسب تدوین شده است. اغلب این دستورالعمل‌ها محرمانه بوده و در اختیار سازمان‌های مخاطب قرار گرفته است. در بخش عملیاتی نیز مطالعات میدانی گسترده‌ای صورت گرفته است. همچنین در راستای ارتقاء سطح دانش مدیران سازمان‌های حساس و راهبران شبکه آن سازمان‌ها، دوره‌هایی آموزشی برگزار شده و آموزش‌های لازم در مورد نحوه مقابله با بدافزار تشریح گردیده است.
این مرکز هم اکنون با همکاری مراکز آپای دانشگاه صنعتی شریف و امیرکبیر و حمایت مرکز ماهر در حال برگزاری دوره‌های آشنایی با بدافزار استاکس‌نت در دو حوزه شبکه‌های رایانه‌ای و صنعت می‌باشد. در این دوره‌ها، نحوه آلوده‌سازی این بدافزار در دو حوزه فوق‌الذکر تشریح شده و روش‌های تئوری و عملی شناسایی آلودگی و نحوه پاک‌سازی و مقابله با آن تبیین می‌گردد. علاقه‌مندان به شرکت در دوره‌ها می‌توانند برای کسب اطلاعات بیشتر با این مرکز تماس حاصل نمایند.

انتشار وصله امنیتی جهت رفع آسیب‌پذیری میانبُرها در سیستم عامل ویندوز (13/5/1389)

سرانجام شرکت مایکروسافت اقدام به انتشار وصله‌ای برای رفع آسیب‌پذیری میانبُرها خارج از برنامه زمان‌بندی خود نمود. دلیل این امر آن است که کد سوء‌استفاده از این آسیب‌پذیری به‌صورت همگانی منتشر شده است و با استفاده از آن می‌توان از راه دور اقدام به اجرای برنامه بر روی رایانه آسیب‌پذیر نمود. این آسیب‌پذیری در تمامی نسخه‌های سیستم عامل ویندوز وجود دارد و امکان اجرای کُد از راه دور را در هنگام مشاهده آیکون یک میانبُر فراهم می‌کند. در صورت نفوذ موفقیت‌آمیز، فرد نفوذگر سطح دسترسی مشابه کاربر سیستم آسیب‌دیده را به‌دست خواهد آورد. درنتیجه هرچه سطح دسترسی کاربری کمتر باشد، امکان سوء‌استفاده کمتر خواهد بود.

کرم Stuxnet اولین موردی است که با اهداف خاص صنعتی و با سوء‌استفاده از این آسیب‌پذیری منتشر شده است و متاسفانه کشور ایران در صدر آلودگی به این کرم قرار دارد. پس از آن حملات متعددی با تقلید از روش کرم stuxnet منتشر شده‌اند. ویروس Sality.AT نمونه‌ای است که با سرعت بیشتری نسبت به کرم stuxnet در حال انتشار است. از این‌رو به کاربران سیستم عامل ویندوز که نسخه اصل آن را در اختیار دارند، اکیداً توصیه می‌شود تا نسبت به به‌روزرسانی نسخه ویندوز خود اقدام نمایند. به مابقی کاربران سیستم عامل ویندوز نیز توصیه می‌شود تا فایل به‌روزرسانی مرتبط با این وصله را از این آدرس دریافت نمایند. اخبار تکمیلی مرتبط در طی روزهای آتی در همین صفحه منتشر خواهد شد.

تذکر:کاربرانی که قبلاَ نسبت به غیرفعال‌سازی نمایش آیکون‌ها در ویندوز اقدام کرده‌اند می‌توانند پس از به‌روزرسانی ویندوز، با مراجعه به این مسیر نسبت به فعال‌سازی مجدد نمایش آیکون‌ها اقدام کنند.

تذکر:درصورتی‌که به هر دلیل نتوانستید ویندوز خود را به‌روز نمائید و پیغام خطا دریافت نمودید، با آدرس cc[at]nsec[dot].ir مکاتبه نمائید. کارشناسان مرکز در وقت اداری پاسخگوی شما خواهند بود.

تنوع یافتن بدافزارهایی که از آسیب‌پذیری میانبُرها سوء‌استفاده می‌کنند (13/5/89)

پس از انتشار کرم stuxnet، حملات دیگری با استفاده از ایده این کرم پدید آمده‌اند. در این میان در طول هفته اخیر، خانواده بدخیم بدافزار Sality (و به‌خصوص Sality.AT) در کانون توجه قرار گرفته است. این بدافزار خود را بر روی رسانه‌های قابل حمل کپی نموده و با غیرفعال کردن تمهیدات امنیتی، اقدام به بارگیری بدافزارهای دیگر بر روی سیستم عامل می‌نماید. در طی سال اخیر، خانواده بزرگ بدافزارهای Sality یکی از شایع‌ترین تهدیدات موجود در شبکه‌های رایانه‌ای بوده است و خصوصاً پس از انتشار گزارش آسیب‌پذیری میانبُرها در ویندوز، ویروس Sality.AT نیز بلافاصله از آن سو‌ء‌استفاده نموده و در حال حاضر از کرم Stuxnet نیز پیشی گرفته است. در شکل زیر میزان آلودگی به تصویر کشیده شده است (آمار شرکت مایکروسافت که بر اساس گزارش محصولات امنیتی که بر روی سیستم‌های مشتریان آن‌ها نصب شده است، تهیه شده است).

در شکل زیر نیز نحوه توزیع جغرافیایی آلودگی به انواع بدافزارهایی که از این آسیب‌پذیری ویندوز سوء‌استفاده می‌کنند، به تصویر کشیده شده است. نحوه توزیع جغرافیایی انواع بدافزارها نشان می‌دهد که هر کدام از بدافزارها، ناحیه جغرافیایی خاصی را هدف قرار گرفته‌اند. به‌عنوان مثال، کرم Stuxnet بیشتر کشور ایران و همسایگان آن را آلوده نموده است و در کشور برزیل آلودگی به این کرم بسیار کم می‌باشد ولی درعوض میزان آلودگی به خود آسیب‌پذیری میانبُرها در کشور برزیل بسیار بالا است.

در ادامه لیستی از بدافزارهایی که از این آسیب‌پذیری سوء‌استفاده نموده‌اند، لیست شده است.

Malicious links exploiting CVE-2010-2568

Exploit:Win32/CplLnk.A

Exploit:Win32/CplLnk.B

Stuxnet

TrojanDropper:Win32/Stuxnet.A

Trojan:WinNT/Stuxnet.A

Trojan:WinNT/Stuxnet.B (initially called VirTool:WinNT/Rootkitdrv.HK)

Trojan:Win32/Stuxnet.A

Worm:Win32/Stuxnet.A

Worm:Win32/Stuxnet.B

Sality

Virus:Win32/Sality.AU (initial detection provided by generic signature Virus:Win32/Sality.AT)

Vobfus

Worm:Win32/Vobfus.H

Worm:Win32/Vobfus.P

Chymine

Trojan:Win32/Chymine.A

TrojanSpy:Win32/Chymine.A

TrojanDownloader:Win32/Chymine.A

با این حال احتمال وجود تهدیدات دیگری که از این آسیب‌پذیری سوء‌استفاده می‌نمایند، وجود دارد و با توجه به انتشار وصله مناسب برای این آسیب‌پذیری توسط شرکت مایکروسافت، اکیداً توصیه می‌شود تا کاربران هرچه سریع‌تر نسبت به اعمال این وصله اقدام نمایند.

خبر تکمیلی (7/5/1389)

آسیب‌پذیری بسیار خطرناک پردازش نامناسب میانبرها در سیستم عاملWindows در تیر ماه ۱۳۸۹کشف شده است ولی تا زمان تالیف این نوشتار هنوز وصله‌ی مناسب برای رفع آن از سوی Microsoft منتشر نشده است. گزارش‌های منابع مختلف داخلی و خارجی نشان دهنده‌ی سوء‌استفاده‌ی وسیع خانگی، تجاری و صنعتی نفوذگران از این آسیب‌پذیری به ویژه در ایران است.

از سوی دیگر، آسیب‌پذیری حساب کاربری ثابت و غیرقابل تغییر در نرم‌افزارهای SIMATIC WinCC وSIMATIC PCS 7 در حدود دو سال پیش کشف شده است ولی تا زمان تالیف این نوشتار هنوز وصله ی مناسب برای رفع آن از سوی شرکت Siemens منتشر نشده است. این آسیب‌پذیری به خودی خود بحرانی نیست ولی ترکیب این آسیب‌پذیری با آسیب‌پذیری قبلی نتایج خطرناکی به دنبال داشته است.

کرم خطرناک W32.Stuxnet با سوءاستفاده از این دو آسیب‌پذیری نسبت به سرقت اطلاعات مهم صنایع اقدام نموده و به گزارش شرکت امنیتی Symantec، ۶۵٪ازقربانیان آن از ایران بوده‌اند. این امر زنگ خطری جدی برای صنایع بزرگ کشور محسوب می‌شود. از این‌رو راهنماهای جداگانه‌ای برای آشنایی و مقابله با این کرم برای کاربران عادی، راهبران شبکه و مدیران توسط مرکز تخصصی آپا دانشگاه صنعتی اصفهان تهیه شده است:

دریافت راهنمای امن‌سازی ویژه کاربران عادی

دریافت راهنمای امن‌سازی ویژه راهبران شبکه و فایل‌های رجیستری

راهنمای ویژه مدیران

برای جلوگیری از انتشار بدافزارهای مبتنی بر این آسیب‌پذیری نیاز است رایانه‌ها و سیستم‌های ضدویروس به روز باشند. هم چنین باید از سلامت حافظه‌های جانبی مورد استفاده در سازمان و مخازن تبادل فایل در شبکه سازمان اطمینان حاصل کرد. برای این منظور توصیه می‌شود که از برنامه SysClean استفاده نمایید (این برنامه توسط شرکت Trend Micro تهیه شده و برای ساده‌تر کردن فرایند مقابله، در این سایت نیز قرار گرفته است).

هشدار مهم (28/4/1389)

پس از اعلام آسیب‌پذیری بررسی میانبُرها در سیستم‌عامل ویندوز و انتشار گسترده کد سوء‌استفاده از آن بر روی اینترنت، در هفته گذشته گزارش‌های متعددی از انتشار یک کرم تحت عنوان Win32/Stuxnet منتشر شده‌اند که حاکی از گسترش این کرم در کشورهای مختلف و خصوصاً ایران است. این کرم بیشتر توسط حافظه‌های قابل حمل USB منتقل و منتشر می‌شود و با سوء‌استفاده از آسیب‌پذیری بررسی میانبرها، کامپیوترهای آسیب‌پذیر را آلوده می‌کند. هدف اصلی این کرم نفوذ به سیستم‌های کنترل صنعتی مبتنی بر فناوری زیمنس و دریافت اطلاعات حساس از پایگاه داده سیستم اتوماسیون کنترل SCADA است که به طور وسیعی در صنایع مختلف (صنایع آب، تولید برق و...) استفاده می‌شود.
آمار منتشر شده توسط شرکت مایکروسافت، نشانگر وسعت انتشار این کرم در سطح کشور است (شکل زیر).

از این‌رو به طور اکید توصیه می‌شود تمامی استفاده کنندگان از سیستم عامل ویندوز (تمامی نسخه‌ها) خصوصاً سیستم افرادی که به شبکه شرکت‌های صنعتی متصل هستند، نسبت به اعمال مراحل امن‌سازی منتشر شده اقدام نمایند و هم‌چنین راهبران چنین شبکه‌هایی نسبت به محدودسازی دسترسی کاربران غیرمجاز به پایگاه داده SQL نرم‌افزار SCADA اقدام کنند.