بایگانی برچسب: s

بدافزار هدایت کننده ترافیک برای کرنل لینوکس

ویکی لیکس در ادامه افشای پروژه های Vault7 آژانس اطلاعات مرکزی ایالات متحده (CIA) به یک ماژول کرنل لینوکس با نام OutlawCountry اشاره کرده که یک جدول پنهانی در بخش فایروال لینوکس یعنی Netfilter ایجاد و به وسیله Iptables قواعد مورد نظر را در آن ایجاد میکند. قواعد داخل این جدول، دیگر قواعد فایروال را دور زده و موجب می شوند مسیر ترافیک خروجی سرور آلوده به خواست نفوذگر به سمت ماشین تحت کنترل او تغییر کند.

اشتراک گذاری

باج افزار یا خرابکار؟

بر اساس ویژگی های مشاهده شده از نسخه جدید بدافزار Petya که از چهارشنبه گذشته گسترش پیدا کرد، به جای یک باج افزار، باید آن را بدافزاری برای خرابکاری به حساب آورد. چون اطلاعاتی که Petya رمز کرده قابل رمزگشایی با کلید ارائه شده در ازای باج پرداخت شده نیست. این یعنی باج گیری نمیتوانسته هدف بلندمدت آن باشد. همچنین تخریب  Master Boot Record یک عمل خرابکارانه و بر خلاف منطق باج افزارها است.

اشتراک گذاری

روش CIAبرای نفوذ به شبکه های Air-gapped

برای سرقت اطلاعات از کامپیوتر یا شبکه ای از کامپیوترها که هیچ اتصالی به بیرون ندارن، یعنی Air-gapped هستن، بهترین راه اینه که اتصال به بیرون رو به صورت غیرمستقیم، با استفاده از مدیای مشترک مثل حافظه فلش، ایجاد کرد. شما لپ تاپ کسی رو که به اونجا رفت و آمد داره، کارمند یا پیمانکار،  آلوده می کنید. اون آدم فلش مموری شخصی یا سازمانی خودش رو که به اون لپ تاپ آلوده متصل بوده، وارد محیط ایزوله میکنه و به سیستم کاری خودش وصل می کنه. بدافزار شروع به کار میکنه، شبکه ایزوله رو شناسایی میکنه تا به سیستم های مقصد برسه. اطلاعات هدف رو برداشته و به همون سیستم کاری آلوده منتقل می کنه، با این امید که اون کارمند دوباره یک فلش مموری رو از این سیستم برداشته و به خونه میبره و متصل می کنه به لپ تاپ شخصی خودش که در مرحله اول آلوده شده بود. حالا اطلاعات هدف از شبکه ایزوله خارج شده و در دسترس نفوذگر هست. این کار توسط CIA در پروژه Brutal Kangaroo که در ادامه افشاگری ویکی لیکس از مجموعه Vault7 منتشر شده، برای سیستم های ویندوزی انجام شده.

چطور میشه از این اتفاق جلوگیری کرد؟ تا وقتی نیاز به تبادل اطلاعات از/به شبکه ایزوله وجود داشته باشه، ریسک این نفوذ هم وجود داره. به خصوص اگر بدافزار از آسیب پذیری ۰-day استفاده کرده باشه. مدیای مشترک ارتباط شبکه ایزوله با بیرون رو به صورت یک کانال پنهان حتی به صورت یک طرفه برقرار میکنه و این برای ورود بدافزار یا خروج اطلاعات کافی خواهد بود.

اشتراک گذاری

خلاصه ای از اطلاعات افشا شده شرکت Hacking Team

در دو هفته گذشته موضوع هک شدن و نشت بیش از ۴۰۰ گیگابایت از اطلاعات شرکت Hacking Team ، یک شرکت ایتالیایی تولید کننده نرم افزارهای جاسوسی و نفوذ، مورد توجه بسیار زیادی قرار گرفت. کل این اطلاعات در حال حاضر در اینترنت به فرمت های مختلف در دسترس است، از جمله بیش از یک میلون ایمیل که با قابلیت های پیشرفته جستجو در سایت ویکی لیکس قرار گرفته است.

گزارش های متعددی از بررسی این ۴۰۰ گیگابایت اطلاعات منتشر شده که از جمله می توان به شناسایی و انتشار ۳ آسیب پذیری Zero-day در Adobe Falsh Player اشاره کرد که با شناسه های CVE-2015-5122 ، CVE-2015-5123 و CVE-2015-0349 هر سه این روزها به طور گسترده اکسپلویت شده اند، در حالی که دو تا از سه آسیب پذیری فوق تا امروز توسط Adobe اصلاح نشده اند.برای حذف Flash Player از این ابزار و برای بررسی اینکه آیا این کار موفق بوده یا نه از اینجا استفاده کنید.

به علاوه، بررسی ایمیل ها و اسناد اداری افشا شده نشان می دهد که این شرکت ابزارهای شنود، جاسوسی و نفوذ را به بسیاری از کشورهایی که به عنوان ناقض حقوق بشر شناخته شده اند، فروخته است و به همین دلیل، با وجود تکذیب این موارد توسط شرکت، از مدت ها قبل توسط گزارشگران بدون مرز به عنوان یکی از دشمنان اینترنت هم معرفی شده بود.

طبق ایمیل های افشا شده، این شرکت به همراه بوئینگ در حال کار روی پهپادهای حامل بدافزار بوده اند، به طوری که این پهپادها با پرواز به سمت هدف خود از فاصله مناسبی به شبکه wifi آن نفوذ و بدافزار را در شبکه هدف منتشر کنند!

بخشی دیگر از اطلاعات نشان می دهند که ابزارهای شرکت قابلیت نفوذ به انواع سیستم عامل های موبایل را دارند. حتی سیستم های iOS ای که JailBreak نشده اند هم قابل نفوذ با این ابزارها می باشند.

با وجود اینکه مدیرعامل Hacking Team از دست داشتن یک دولت خارجی در این حادثه خبر داده بود، اخیراً اعلام شده که احتمالاً موضوع افشای این اطلاعات ناشی از سوء استفاده چند کارمند پیشین شرکت از دسترسی های خود بوده است.

اشتراک گذاری

نسخه دوم Duqu : بدافزار جاسوس مذاکرات هسته ای

همین امروز در دومین سمینار تهدیدهای نوین امنیتی در مرکز فابا بحث های زیادی در مورد تهدیدهای پیشرفته ماندگار (APT) به خصوص در بانک ها انجام شد. حالا جدید ترین خبر در این زمینه:

شرکت کسپرسکی امروز اعلام کرده که نسخه دوم بدافزار جاسوسی Duqu ماه ها فعال بوده و بخش هایی از سیستم های خود کسپرسکی را نیز آلوده کرده است. این بدافزار که خبر فعالیت آن به شدت مورد توجه قرار گرفته، از استاکس‌نت و نسخه قبلی Duqu قوی تر بوده و برای اهداف مختلفی استفاده شده است، از جمله به منظور جاسوسی از ۳ هتل محل برگزاری مذاکرات ایران و گروه ۱+۵ در سوئیس! البته کسپرسکی اطمینان داده که محصولات امنیتی این شرکت آلوده به این بدافزار نیستند!

من چهارسال پیش در مورد Duqu نوشته بودم: اینجا و اینجا.

برای بررسی جزئیات فنی فرصت بیشتری لازم است که امیدوارم در اوین فرصت در این باره بنویسم.

اشتراک گذاری

پرسش و پاسخ در باره ویروس استاکس‌نت

این پرسش و پاسخ در خصوص ویروس استاکس‌نت در وبلاگ آنتی ویروس F-Secure منتشر شده. علاوه بر موارد فنی، نکته های خیلی جالبی هم در برخی سوالات و پاسخ ها هست که آنها را با رنگ قرمز مشخص کردم.

Q: What is Stuxnet?
A: It’s a Windows worm, spreading via USB sticks. Once inside an organization, it can also spread by copying itself to network shares if they have weak passwords.

Q: Can it spread via other USB devices?
A: Sure, it can spread anything that you can mount as a drive. Like a USB hard drive, mobile phone, picture frame and so on.

Q: What does it do then?
A: It infects the system, hides itself with a rootkit and sees if the infected computer is connected to a Siemens Simatic (Step7) factory system.

Q: What does it do with Simatic?
A: It modifies commands sent from the Windows computer to the PLC. Once running on the PLC, it looks for a specific factory environment. If this is not found, it does nothing.

Q: Which factory is it looking for?
A: We don’t know.

Q: Has it found the factory it’s looking for?
A: We don’t know.

Q: What would it do if it finds it?
A: It makes complex modifications to the system. Results of those modifications can not be detected without seeing the actual environment. So we don’t know.

Q: Ok, in theory: what could it do?
A: It could adjust motors, conveyor belts, pumps. It could stop a factory. With right modifications, it could cause things to explode.

Q: Why is Stuxnet considered to be so complex?
A: It uses multiple vulnerabilities and drops its own driver to the system.

Q: How can it install its own driver? Shouldn’t drivers be signed for them to work in Windows?
A: Stuxnet driver was signed with a certificate stolen from Realtek Semiconductor Corp.

Q: Has the stolen certificate been revoked?
A: Yes. Verisign revoked it on 16th of July. A modified variant signed with a certificate stolen from JMicron Technology Corporation was found on 17th of July.

Q: What’s the relation between Realtek and Jmicron?
A: Nothing. But these companies have their HQs in the same office park in Taiwan. Which is weird.

Q: What vulnerabilities does Stuxnet exploit?
A: Overall, Stuxnet exploits five different vulnerabilities, four of which were 0-days:

LNK (MS10-046)
Print Spooler (MS10-061)
Server Service (MS08-067)
Privilege escalation via Keyboard layout file
Privilege escalation via Task Scheduler

Q: And these have been patched by Microsoft?
A: The two Privilege escalations have not yet been patched.

Q: Why was it so slow to analyze Stuxnet in detail?
A: It’s unusually complex and unusually big. Stuxnet is over 1.5MB in size.

Q: When did Stuxnet start spreading?
A: In June 2009, or maybe even earlier. One of the components has a compile date in January 2009.

Q: When was it discovered?
A: A year later, in June 2010.

Q: How is that possible?
A: Good question.

Q: Was Stuxnet written by a government?
A: That’s what it would look like, yes.

Q: How could governments get something so complex right?
A: Trick question. Nice. Next question.

Q: Was it Israel?
A: We don’t know.

Q: Was it Egypt? Saudi Arabia? USA?
A: We don’t know.

Q: Was the target Iran?
A: We don’t know.

Q: Is it true that there’s are biblical references inside Stuxnet?
A: There is a reference to “Myrtus” (which is a myrtle plant). However, this is not “hidden” in the code. It’s an artifact left inside the program when it was compiled. Basically this tells us where the author stored the source code in his system. The specific path in Stuxnet is: \myrtus\src\objfre_w2k_x86\i386\guava.pdb. The authors probably did not want us to know they called their project “Myrtus”, but thanks to this artifact we do. We have seen such artifacts in other malware as well. The Operation Aurora attack against Google was named Aurora after this path was found inside one of the binaries: \Aurora_Src\AuroraVNC\Avc\Release\AVC.pdb.

Q: So how exactly is “Myrtus” a biblical reference?
A: Uhh… we don’t know, really.

Q: Could it mean something else?
A: Yeah: it could mean “My RTUs”, not “Myrtus”. RTU is an abbreviation for Remote Terminal Units, used in factory systems.

Q: How does Stuxnet know it has already infected a machine?
A: It sets a Registry key with a value “19790509” as an infection marker.

Q: What’s the significance of “19790509”?
A: It’s a date. 9th of May, 1979.

Q: What happened on 9th of May, 1979?
A: Maybe it’s the birthday of the author? Then again, on that date a Jewish-Iranian businessman called Habib Elghanian was executed in Iran. He was accused to be spying for Israel.

Q: Oh.
A: Yeah.

Q: Is there a link between Stuxnet and Conficker?
A: It’s possible. Conficker variants were found between November 2008 and April 2009. First variants of Stuxnet were found shortly after that. Both exploit the MS08-067 vulnerability. Both use USB sticks to spread. Both use weak network passwords to spread. And, of course, both are unusually complex.

Q: Is there a link to any other malware?
A: Some Zlob variants were the first to use the LNK vulnerability.

Q: Disabling AutoRun in Windows will stop USB worms, right?
A: Wrong.
There are several other spreading mechanisms USB worms use. The LNK vulnerability used by Stuxnet would infect you even if AutoRun and AutoPlay were disabled.

Q: Will Stuxnet spread forever?
A: The current versions have a “kill date” of June 24, 2012. It will stop spreading on this date.

Q: How many computers did it infect?
A: Hundreds of thousands.

Q: But Siemens has announced that only 15 factories have been infected.
A: They are talking about factories. Most of the infected machines are collateral infections, i.e. normal home and office computers that are not connected to SCADA systems.

Q: How could the attackers get a trojan like this into a secure facility?
A: For example, by breaking into a home of an employee, finding his USB sticks and infecting it. Then wait for the employee to take the sticks to work and infect his work computer. The infection will spread further inside the secure facility via USB sticks, eventually hitting the target. As a side effect, it will continue spread elsewhere also. This is why Stuxnet has spread worldwide.

Q: Anything else it could do, in theory?
A: Siemens announced last year that Simatic can now also control alarm systems, access controls and doors. In theory, this could be used to gain access to top secret locations. Think Tom Cruise and Mission Impossible.

Q: Did Stuxnet sink Deepwater Horizon and cause the Mexican oil spill?
A: No, we do not think so. Although it does seem Deepwater Horizon indeed did have some Siemens PLC systems on it.

Q: Does F-Secure detect Stuxnet?
A: Yes.

Note: We have learned many of the details mentioned in this Q&A in discussions with researchers from Microsoft, Kaspersky, Symantec and other vendors.

اشتراک گذاری