روند فعالیت Stuxnet:
روند کامل فعالیت stuxnet به صورت کامل شناخته شده نیست، اما با اطلاعات موجود میتوان روند زیر را برای آن ذکر کرد:- آلوده کردن سیستمهای ویندوزی با استفاده از چندین zero-day exploit، اعتبارات جعل شده یا دزدیده شده از نرم افزار های دیگر سیستم در نهایت نصب روتکیت بر روی سیستمهای مشابه ویندوزی.
- تلاش برای دور زدن سیستم تشخیص نفوذ مبتنی بر HIDS بوسیله یک روش خاص در بارگذاری کتابخانه های مورد نیاز. در این روش بارگذاری کتابخانهها (DLL) توسط خود بد افزار انجام نمیشود و یک تکه کد بر روی نرمافزارهای موجود در سیستم تزریق میشود و بارگذاری توسط این نرمافزارها انجام میشود.
- برای توسعه به سیستمهای متصل به سیستم آلوده، ابتدا مطمعن میشود که 1 سیستم مقصد ویندوز باشد، 2 سیستم قبلا آلوده شده است یا خیر 3 روی سیستم آنتی ویروس نصب شده است یا خیر.
- گسترش از طریق آلوده کردن شبکه یا دستگاه های ذخیره سازی انجام میشود.
- جستجوی سیستمهای صنعتی (Simens Wincc).
- اگر سیستم صنعتی مورد نظر یافت شد، از اکانت اعتبارسنجی SQL توکار این سیستمها برای قرار دادن کد درون پایگاه داده آن و آلوده کردن آن برای دسترسی به PLC مقصد استفاده میکند.
- تزریق کد درون PLC. این کار از طریق پروتکل profibus انجام میشود. این تزریق کد خروجی PLC را تغییر میدهد.
- از طریق برسی (monitor) کردن ترافیک PLC، فعالیت سیستم کلی را برسی میکند.
- اگر یک فرکانس خاص در ترافیک یافت شد، تنظیمات فرکانس را از 1410 به 2hz کاهش میدهد.
- وجود مکانیزم حذف کردن خود از سیستمهایی که هماهنگی سازم را ندارند، خوابیدن (غیر فعال شدن موقت)، پاک کردن سیستم آلوده به صورت خودکار.
با توجه به اینکه این بد افزار بسیار پیچیده است، اینکه چگونه یافت شد، تنها یک جواب دارد: به دلیل گسترده شدن زیاد این بد افزار. اگر این سیستم با تکنیک خاصتری پخش میشد، شاید تا مدتها بدون کشف باقی میماند.
