سادگی زیباست...

بررسی انواع معماری های سیستم عامل و برنامه های سیستمی و روشهای توسعه آنها

سادگی زیباست...

بررسی انواع معماری های سیستم عامل و برنامه های سیستمی و روشهای توسعه آنها

سادگی زیباست...

۲ مطلب با کلمه‌ی کلیدی «برسی stuxnet» ثبت شده است

روند فعالیت Stuxnet:

روند کامل فعالیت stuxnet به صورت کامل شناخته شده نیست، اما با اطلاعات موجود می‌توان روند زیر را برای آن ذکر کرد:

  •     آلوده کردن سیستم‌های ویندوزی با استفاده از چندین zero-day exploit، اعتبارات جعل شده یا دزدیده شده از نرم افزار های دیگر سیستم در نهایت نصب روتکیت بر روی سیستم‌های مشابه ویندوزی.
  •     تلاش برای دور زدن سیستم تشخیص نفوذ مبتنی بر HIDS بوسیله یک روش خاص در بارگذاری کتابخانه های مورد نیاز. در این روش بارگذاری کتابخانه‌ها (DLL) توسط خود بد افزار انجام نمی‌شود و یک تکه کد بر روی نرمافزارهای موجود در سیستم تزریق می‌شود و بارگذاری توسط این نرمافزارها انجام می‌شود.
  •     برای توسعه به سیستم‌های متصل به سیستم آلوده، ابتدا مطمعن می‌شود که 1 سیستم مقصد ویندوز باشد، 2 سیستم قبلا آلوده شده است یا خیر 3 روی سیستم آنتی ویروس نصب شده است یا خیر.
  •     گسترش از طریق آلوده کردن شبکه یا دستگاه های ذخیره سازی انجام می‌شود.
  •     جستجوی سیستم‌های صنعتی (Simens Wincc).
  •     اگر سیستم صنعتی مورد نظر یافت شد، از اکانت اعتبارسنجی SQL توکار این سیستم‌ها برای قرار دادن کد درون پایگاه داده آن و آلوده کردن آن برای دسترسی به PLC مقصد استفاده می‌کند.
  •     تزریق کد درون PLC. این کار از طریق پروتکل profibus انجام می‌شود. این تزریق کد خروجی PLC را تغییر می‌دهد.
  •     از طریق برسی (monitor) کردن ترافیک PLC، فعالیت سیستم کلی را برسی می‌کند.
  •     اگر یک فرکانس خاص در ترافیک یافت شد، تنظیمات فرکانس را از 1410 به 2hz کاهش می‌دهد.
  •     وجود مکانیزم حذف کردن خود از سیستم‌هایی که هماهنگی سازم را ندارند، خوابیدن (غیر فعال شدن موقت)، پاک کردن سیستم آلوده به صورت خودکار.

با توجه به اینکه این بد افزار بسیار پیچیده است، اینکه چگونه یافت شد، تنها یک جواب دارد: به دلیل گسترده شدن زیاد این بد افزار. اگر این سیستم با تکنیک خاص‌تری پخش می‌شد، شاید تا مدت‌ها بدون کشف باقی می‌ماند.
۰ موافقین ۰ مخالفین ۱ ۱۱ مرداد ۹۲ ، ۱۲:۱۰
حامد شیخلو

Stuxnet چیست؟

بد افزار Stuxnet یک روتکیت مخصوص سیستم‌های صنعتی است. مجموعه‌ای از نرم‌افزارهاست که کنترل یک سیستم رایانه‌ای را به دست می‌گیرد. در این نوع حمله، کاربر سیستم متوجه حضور روت‌کیت نخواهد شد و هکر رایانه توانایی تغییر تمامی تنظیمات رایانه را دارد. رایانه‌ای که تحت سلطه روت‌کیت و نهایتاً هکر قرار می‌گیرد را زامبی (Zombie) می‌نامند. اگر ضایعه‌ای در شبکه رایانه‌ها پیدا شود، با پیگیری آن به زامبی می‌رسیم و هکر نمی‌تواند ردیابی شود.

stuxnet به عنوان یک اسلحه جدید در جنگ سایبری مطرح شد. اولین مشاهده این بد افزار در سال 2010 صورت گرفت. تمام مجموعه دانش‌ها و یافته‌ها با وجود آمدن این حمله بسیار پیشرفته، کنار گذاشته شد. در مقایسه با حملات دیگر، این بد افزار یک سلاح هسته ای به شمار می‌رود.

هرچند stuxnet برای اولین بار در ژوئن 2009 مشاهده شد، تا تابستان 2010 که سازمان ICS-CERT درباره آن هشدار دهد، در مقابل آن مقابله جدید انجام نشده بود. این ویروس از چهار نوع حمله zero-day برای آلوده کردن و پخش شدن استفاده می‌کند. این ویروس ابتدا به دنبال برنامه های simatic WINCC و PCS7 که توسط شرکت simens توسعه پیدا کرده‌اند می‌گردد، سپس از مجوز اکانت پیش فرض sql برای سرایت کردن به plc های مرتبط با آن، به روش تزریق کد استفاده می‌کند. این تزریق کد از طریق پروتکل fieldbus شرکت simens انجام می‌گیرد. در مرحله بعد، stuxnet به دنبال ابزارهای اتوماسیون که وظیفه کنترل سرعت موتورها را دارند می‌گردد. اگر کنترلی پیدا شد که در محدوده 800-1200hz باشد، تلاش می‌کند تا خرابکاری انجام دهد.

هرچند در ابتدا، اطلاعاتی که از این بد افزار بسیار کم بود، اما شرکت simens سریعاً عمل کرد و یک برنامه برای یافتن و پاک کردن این بد افزار عرضه کرد.

stuxnet در اواخر سال 2010 توجه رسانه‌ها را به خود جلب کرد. در رسانه‌ها این بد افزار به عنوان یک عامل با گسترش سریع و بسیار پیچیده مطرح شد. این مسئله توجه بسیاری به یک مسئله خاص معطوف کرد: «صنایع باید با سرعت زیاد نسبت به افزایش سطح امنیت خود عمل کنند».

کالبد شکافی stuxnet

این بدافزار بسیار پیچیده است، در شکل زیر میتوان ساختار آن را مشاهده کرد. 

Stuxnet

این بد افزار اولین روتکیت شناخته شده برای دستگاه‌های کنترل صنعتی می‌باشد. این روتکیت می‌توانست خود را به صورت خودکار بروز رسانی کند. توانایی تزریق کد در منطق بار کننده یک plc را دارا بود و بعد از این مرحله فعالیت یک plc به خوبی ادامه پیدا می‌کرد، و این بد افزار خود را کاملاً مخفی میکند، فقط در مواقع خاصی داده های اشتباه به HMI ارسال می‌شد.

این بد افزار برای محیط‌های مختلف، خود را هماهنگ می‌کرد، از مجموعه مجوزهای توکار سیستم‌ها استفاده می‌کرد و در مواقعی از کلیدهای دسترسی ابزارهای دیگر که جعل میکند، برای نفوذ استفاده می‌کرد.

در مطلب بعدی به روند کارهایی که این بد افزار انجام می‌داد، پرداخته خواهد شد.
۰ موافقین ۱ مخالفین ۱ ۱۱ مرداد ۹۲ ، ۱۰:۴۱
حامد شیخلو