Schlagwort-Archive: Stuxnet

Rückblick 2010: Hype und Wirklichkeit von Stuxnet

Originalartikel von Ivan Macalintal (Threat Research Manager bei Trend Micro)

Das in der Sicherheitsbranche am heftigsten diskutierte Thema des abgelaufenen Jahres war Stuxnet. Zum Teil ist diese hohe Aufmerksamkeit berechtigterweise der Raffinesse des Angriffs geschuldet, zu einem guten Teil jedoch auch der Spekulation über einen Cyber-Krieg, möglichen Verbindungen zu Israel und dem Iran sowie über die außenpolitischen Auswirkungen von Stuxnet. Aber diese Medienwirksamkeit hat auch dazu geführt, dass das Problem eine gewisse Unschärfe erlangte.

Zweifelsohne stellt Stuxnet eine sehr ausgeklügelte Malware dar, deren Entwicklung erhebliche Ressourcen bezüglich Zeit, Geld und Personal gefordert hat. Dennoch waren die meisten Nutzer nicht signifikant betroffen, auch wenn sich die Malware weltweit auf eine Menge von Systemen breit gemacht hat – ohne aber große Probleme zu bereiten. Die Schadsoftware stahl keine Informationen, pries keine gefälschten Antivirusprodukte an und verschickte auch keine Spam-Nachrichten.

Es ist auch nicht ganz richtig zu behaupten, Stuxnet läute eine neue Ära der Malware-Bedrohungen ein, die Einrichtungen der „echten Welt“ betreffen. Bereits 2003 hatte der Slammer-Wurm eine nukleare Einrichtung in Ohio angegriffen und das Überwachungssystem abgeschaltet. Auch der DOWNAD/Conficker-Wurm hatte markante Institutionen wie Krankenhäuser, Strafverfolgungsbehörden und verschiedene militärische Einrichtungen getroffen. Was man über Stuxnet sagen kann, ist, dass es zum ersten Mal jemand für wichtig gehalten hat, die SCADA-Plattform eines bestimmten Anbieters anzupeilen. Die dafür nötige Technik war bereits vorhanden, doch bis dahin fehlte die Motivation.

Diese Art von Schadsoftwareangriffen sind selten in der heutigen Bedrohungslandschaft. Informationsdiebstahl stellt immer noch das größte Problem dar, und die dazu benötigte Malware wird von den Trend Micro-Spezialisten täglich entdeckt. Auf jede Stuxnet-Infektion kommen heutzutage Tausende Vorfälle mit Malware wie Zeus und SpyEye, die Zugangsdaten stiehlt.

Von Stuxnet kann man zweierlei lernen: Für Kontrollsysteme der Industrie, wie die von Stuxnet angegriffenen, sollte der Vorfall ein Weckruf sein. Denn diese Systeme waren in ihren Netzwerken nicht gut gesichert. Man kann davon ausgehen, dass Perimeter-Sicherheit ausgereicht hätte. Schließlich ist ein Netzwerk nur so sicher, wie sein schwächstes Glied. Aus diesem Grund werden Computer und Netzwerke, die zu diesen Kontrollsystemen gehören, auf allen Ebenen „gehärtet“ werden müssen. Die Anwendungen von Drittanbietern, die häufig von Exploit attackiert werden, müssen immer auf aktuellem Stand gehalten oder unter Umständen ganz entfernt werden. Auch Angriffe über Wechselmedien wie USB-Laufwerke müssen in punkto Sicherheit mit einbezogen werden.

Nutzer, die nicht für kritische Systeme verantwortlich sind, sollten die Gefahr, die von Stuxnet ausgeht, in den adäquaten Kontext setzen. Der Diebstahl von Zugangsinformationen durch Malware stellt eine viel höhere Gefahr dar, während Angriffe die auf kritische Systeme abzielen, wahrscheinlich nicht mehr als genau das sind – sie zielen darauf ab.

STUXNET Scanner: Ein forensisches Tool

Originalartikel von  Julius Dizon (Research Engineer bei Trend Micro)

Trend Micro hat ein STUXNET Scanner Tool entwickelt, das Administratoren Hinweise darauf gibt, welche Computer in ihren Netzwerken noch durch Stuxnet infiziert sind.
Vor einigen Monaten hatte Stuxnet SCADA-Systeme (Supervisory Control and Data Acquisition) angegriffen. Dies sind geschäftskritische Kontrollsysteme in komplexen Infrastrukturen wie etwa Transportsystemen oder Raffinieren, die technische Prozesse überwachen, steuern und visualisieren. Stuxnet sucht nach SCADA-bezogenen Zeichenketten, um Projektdatenbanken und Informationen aus kritischen Systemen zu finden.
Obwohl es mittlerweile einen sofortigen Schutz für infizierte Anwender gibt, wollen Kunden eine Hilfestellung, um sicherzustellen, dass alle ihre Systeme von dieser Gefahr befreit sind.
Das STUXNET Scanner Tool kann kostenlos herunter geladen werden. Es unterstützt Administratoren dabei festzustellen, welche Maschinen in ihren Netzwerken noch infiziert sind, auch wenn Stuxnet nicht kommuniziert. Stuxnet installiert sowohl Server- als auch Client-Komponenten für einen Remote Procedure Call auf infizierten Maschinen, damit diese miteinander kommunizieren und sich gegenseitig aktualisieren können.
Das Stuxnet Scanner Tool listet alle Live-IP-Adressen im internen Netzwerk auf und schickt Stuxnet nachgebaute Pakete los. Jeder infizierte Host wird auf diese Fälschungen antworten, so dass Administratoren jede infizierte IP im Netzwerk identifizieren können. Darüber hinaus unterstützt das Tool auch bei den erforderlichen Aktionen, um diese Systeme zu säubern.

Anwender von Trend Micro-Produkten sind über das Smart Protection Network vor Stuxnet-Schadsoftware geschützt. Weitere Blog-Einträge zu den Risiken durch Stuxnet finden Sie beispielsweise unter:
„USB-Wurm nutzt Windows Shortcut-Schwachstelle aus“
„Blackhat SEO-Kampagnen nutzen den berüchtigten Stuxnet-Schädling

Blackhat SEO-Kampagnen nutzen den berüchtigten Stuxnet-Schädling

Originalartikel von Bernadette Irinco (Technical Communications bei Trend Micro)

Wie zu erwarten war, nutzen Kriminelle den zweifelhafte Berühmtheit von Stuxnet als Mittel, um bösartigen Code zu verbreiten. Der Senior Threats Researcher Ivan Macalintal hat diesbezüglich infizierte Suchergebnisse gefunden. Einige der Suchanfragen dieser Blackhat SEO-Kampagne (Search Engine Optimization) enthielten unter anderen die Schlagwörter “stuxnet SCADA”; “stuxnet removal tool,” “stuxnet cleanup,” “stuxnet siemens” oder “stuxnet worm” und erschienen als Top-Ergebnisse. Eine der manipulierten URLs ({BLOCKED}lo-canada.org/2008/stuxnet.html) leitet die Nutzer auf Websites, die Sicherheitslücken ausnützt, wie sie die „Common Vulnerabilities and Exposure“-Datenbank unter CVE-2010-0886 und CVE-2010-1885 beschreibt. Andere bösartige Suchergebnisse leiten Nutzer auf Websites mit PDF- und SWF-Exploits um.

Prinzipiell führen die Ergebnisse zu verschiedenen Payloads, die einen Downloader enthalten, der andere Schädlinge auf dem Nutzersystem installiert, oder eine FAKEAV-Variante (TROJ_FAKEAV.SMZU).

Ein weiteres Beispiel dieser Kampagne ist eine bösartige URL, {BLOCKED}l.com/loja/media/stuxnet.html, die sich als Youtube-Seite tarnt und zu einem Schädling (TROJ_CODECPAY.AY)  führt.

Bereits in der Vergangenheit nutzten Cyberkriminelle bekannte Sicherheitsbedrohungen wie Conficker für ihre hinterhältigen Zwecke.

Trend Micro rät Nutzern, die an Informationen zu Stuxnet interessiert sind, diese nur von vertrauenswürdigen Seiten abzurufen. Informationen zu Stuxnet gibt es auch auf unserem Blog, etwa „USB-Wurm nutzt Windows Shortcut-Schwachstelle aus“.

Anwender von Trend Micro-Lösungen sind vor der beschriebenen Gefahr über das Trend Micro Smart Protection Network geschützt. Denn dessen Webreputationsdienst verhindert den Zugriff auf die infizierte Site.