Добавить новость
Добавить компанию
Добавить мероприятие
Symantec выпустил специальный аналитический бюллетень по вирусу Stuxnet
04.10.2010 12:31
версия для печати
Бюллетень составлен на основании различных отдельных исследований, проводимых экспертами компании в течение последних трёх месяцев. На основе проведённого комплексного анализа, эксперты компании Symantec заключили, что Stuxnet - необычайно опасная и сложная угроза безопасности компьютерных систем, основной задачей которой было заражение систем контроля промышленным оборудованием, которые, в частности, используются на трубопроводах и электростанциях. Путём изменения кода логических контроллеров (programmable logic controllers - PLC) вирус пытался перепрограммировать системы контроля промышленных систем (industrial control systems – ICS), чтобы, незаметно от операторов систем, захватить над ними контроль. Для достижения этой цели, создатели задействовали необычайно широкий спектр вирусных механизмов в одном черве. Среди них - «уязвимости нулевого дня»[1], руткит под Windows, первый известный руткит для PLC, алгоритм отключения антивирусных программ, заражение сложных системных процессов, заражение кода исполняемых файлов и хукинг (hooking)[2] , механизмы распространения через сетевые соединения и децентрализованного (peer-to-peer) обновления кода червя, поддержка единого интерфейса удалённого управления. В отчёте детально разобраны все механизмы функционирования червя, а также рассмотрены возможные цели, преследуемые создателями Stuxnet. Основные выводы по итогам комплексного анализа вируса Stuxnet следующие: - Stuxnet был создан для атаки на промышленные компьютерные системы Ирана, отвечающие за контроль работы газопроводов и электростанций. Целью червя было вывести эти системы из строя, путём перепрограммирования PLC и нарушения стандартных технологических процессов. - Хотя Stuxnet был выявлен в июле 2010 года, есть подтверждения существования этого вируса за год до его обнаружения и даже ранее. Основная часть инфицированных компьютеров расположена в Иране. Stuxnet содержит немало интересных вирусных свойств, а именно: o Саморепликация через USB-носители, за счёт эксплуатации уязвимости Microsoft Windows Shortcut ‘LNK/PIF’ Files Automatic File Execution Vulnerability (BID 41732) o Активное распространение по сети за счёт исползование уязвимости в «Диспетчере печати» Windows - Microsoft Windows Print Spooler Service Remote Code Execution Vulnerability (BID 43073) o Распространяется через протокол сообщений сервера (SMB) используя Microsoft Windows Server Service RPC Handling Remote Code Execution Vulnerability (BID 31874) o Самореплицируется и запускается на выполнение с общих сетевых дисков o Удалённо самореплицируется и запускается на выполнение на компьютерах, с запущенным сервером баз данных WinCC o Копирует себя в проекты промышленного ПО Step 7 (Siemens), автоматически запускается на выполнение при загрузке этих проектных файлов в клиентскую систему o Поддерживает механизм обновлений peer-to-peer по локальной сети o Использует четыре уязвимости MS Windows, для которых заранее не было выпущено патчей, две из которых (механизмы саморепликации) были известны на момент появления Stuxnet, а две другие были ранее неизвестны o Контактирует с сервером, контролирующим червь, который позволяет хакеру скачивать и выполнять код с заражённых машин, в том числе и удалённо обновлять код червя o Содержит Windows руткит, скривыющий от системы файлы с кодом вируса o Пытается отключить установленное ПО для безопасности компьютера o Оставляет следы в ICS и модифицирует код Siemens PLC для потенциального выведения системы из строя o Скрывает модификацию кода PLC за счёт руткита для PLC Редактор раздела: Юрий Мальцев (maltsev@mskit.ru) Рубрики: ПО, Безопасность
наверх
Для того, чтобы вставить ссылку на материал к себе на сайт надо:
|
|||||
А знаете ли Вы что?
ITSZ.RU: последние новости Петербурга и Северо-Запада13.11.2024 Т2 запустил первый тариф после ребрендингаз> 31.10.2024 «Осенний документооборот – 2024»: взгляд в будущее системы электронного документооборотаз>
|
||||