FAQ sobre Stuxnet
En el día que Microsoft soluciona la última vulnerabilidad aprovechada por Stuxnet, la empresa especialista en software de protección antivirus F-Secure ha reunido una serie de preguntas hechas en su pagina por los usuarios, respondiendo dichas inquietudes y publicándolas para despejar dudas acerca de este famoso gusano llamado Stuxnet, el cual se ha propagado de manera veloz en miles de computadora ademas causar estragos en grandes y medianas organizaciones. A continuación la traducción de dichas respuestas:
P: Qué es Stuxnet?
R: Es un gusano para Windows, que se prograga a través de memorias USB. Una vez infectada el computador busca copiarse asi mismo en recursos compartidos de la red donde la clave sea débil.
P: Puede transmitirse a través de otro tipo de dispositivos USB?
R: Claro, el puede progagarse a través de cualquier cosa montada como unidad tales como discos portátiles, móviles, cuadros digitales, etc.
P: Qué hace el gusano?
R: Si infecta el sistema, el se esconde como un rootkit y se cerciora si existe conexión con un sistema de fabricación Siemens Simatic (Step7).
P: Qué hace con el Simatic?
R: Modifica comandos enviados desde Windows al PLC. Una vez ejecutado en el PLC, el busca un tipo de fábrica en específico. si no lo encuentra no hace nada.
P: Qué tipo de fábrica busca?
R: No lo sabemos aún.
P: Ha encontrado el tipo de fábrica buscado?
R: No lo sabemos.
P: Qué pasa si consigue el tipo de fábrica esperado?
R: Realiza complejas modificaciones a el sistema, los resultados de esas modificaciones no pueden ser detectados sin ver el ambiente actual de la fabrica, así que no lo sabemos.
P: Ok, en teoria que podría hacer?
R: Podría ajustar motores, cintas transportadoras, bombas, podría detener la fabrica. Con las modificaciones precisas podría causar riesgos de explosión en los equipos.
P: Por qué se considera Stuxnet tan complejo?
R: Usa distintas vulnerabilidades y crea su propio controlador en el sistema.
P: Cómo puede instalarse con su propio controlador? Este no debería tener una firma de compatibilidad para trabajar con Windows?
R: El controlador de Stuxnet fue firmado con un certificado robado de Realtek Semiconductor Corp.
P: Se ha revocado este certificado robado?
R: Si. Verisign lo revoco el 16 de julio. Una variante con la firma modificada perteneciente a un certificado robado de JMicron Technology Corporation fue detectado el 17th de Julio.
P: Qué relación hay entre Realtek y Jmicron?
R: Nada. Pero ambas compañías tienen su base de operaciones en el mismo edificio de Taiwan, lo cual es extraño.
P: Qué vulnerabilidades explota Stuxnet?
R: En general, Stuxnet explota cinco distintas vulnerabilidades de Windows y una en Internet Explorer, de las cuale 4 fueron 0-days:
P: Ya han sido parcheados por Microsoft?
R: Las dos escalaciones de privilegios no han sido parcheados aún.
P: Por qué se demoró tanto el análisis en detalle de Stuxnet?
R: Por lo inusualmente complejo y grande de su tamaño, el cual está sobre los 1.5MB.
P: Cuándo empezó a propagarse Stuxnet?
R: En Junio de 2009, o puede ser antes. Uno de sus componentes se compilo con fecha de Enero 2009.
P: Cuándo fue descubierto?
R: Una año después, en Junio de 2010.
P: Cómo es eso posible?
R: Buena pregunta.
P: Stuxnet fue creado por algún gobierno?
R: Eso es lo que parece.
P: Cómo podría un gobierno obtener algo tan complejo?
R: Pregunta ambigua, bien próxima pregunta.
P: Podria ser Israel?
R: No lo sabemos.
P: Sería Egipto? Arabia Saudita? USA?
R: No lo sabemos.
P: Sería el objetivo Irán?
R: No lo sabemos.
P: Es verdad que hay referencias bíblicas dentro de Stuxnet?
R: Hay una referencia a “Myrtus” (la cual es una planta de mirtus). Sin embargo, no esta escondido en el codigo, si no mas bien dentro de la referencia de compilación del programa. Básicamente nos dice donde el autor guardo el codigo fuente en su sistema, La ruta especifica del Stuxnet es: \myrtus\src\objfre_w2k_x86\i386\guava.pdb. El autor probablemente no que supiéramos sobre su proyecto llamado “Myrtus”, pero gracias a lo encontrado lo sabemos. Hemos visto estas caracteristicas en otros. La Operación Aurora que ataco a Google fue nombrada Aurora despues que su ruta fue encontrada dentro de los binarios: \Aurora_Src\AuroraVNC\Avc\Release\AVC.pdb.
P: Es entonces “Myrtus” una referencia bíblica?
R: Uhh... No lo sabemos realmente.
P: Podría significar algo más?
R: Si: podria ser “My RTUs”, no “Myrtus”. RTU es una abreviación de Remote Terminal Units, usado en sistemas de Fabricas.
P: Cómo sabe Stuxnet que ya ha infectado una maquina?
R: El crea una clave en el registro con el valor de “19790509″ lo cual sería como una marca de infección.
P: Qué significa “19790509″?
R: Es una fecha 9 de Mayo de 1979.
P: Qué paso el 9 de Mayo de 1979?
R: Puede ser la fecha de nacimiento del autor? También en esa fecha fue ejecutado un Judia-Irani llamado Habib Elghanian. Se le acuso de espiar para Israel.
P: Verdad.
R: Si.
P: Hay relación entre Stuxnet y Conficker?
R: Es posible. Las variantes de Conficker se encontraron entre Noviembre de 2008 y Abril 2009. La primera variante de Stuxnet se encontro inmediatamente después de esas fechas. Ambos explotan la vulnerabilidad MS08-067. Ambos usan las memorias USB para progagarse. Ambos buscan claves debiles de red para propagarse. Y por supuesto ambos son inusualmente complejas.
P: Hay relación con otros malware?
R: Algunas variantes de Zlob fueron las primeras en usar la vulnerabilidad LNK.
P: Deshabilitar la auto ejecución de dispositivos USB en Windows detendrá al gusano?
R: Falso. Hay muchos otros mecanismo que utiliza el gusano para propagarse. La vulnerabilidad LNK usada por Stuxnet infecta aún cuando Autoejecución y AutoReproducción hayan sido deshabilitados.
P: Stuxnet se propagará por siempre?
R: La version actual tiene una “kill date” (Fecha de autodestrucción) de Junio 24, 2012 en la cual dejará de propagarse.
P: Cuántas computadoras ha infectado?
R: Cientos de miles.
P: Siemens anunció que sólo 15 fabricas han sido infectadas.
R: Ellos hablan de fábricas. Mas nó de computadoras infectadas, como las del hogar u oficina que no están conectadas a sistemas SCADA.
P: Cómo los atacantes ingresan al troyano en lugares con seguridad alta?
R: Por ejemplo, se infectan en la casa de un empleado, a través de su memoria USB. Al llevarala al trabajo infecta la computadora de su puesto. El gusano se propagara por toda la organización utilizando el ambiente de seguridad y permisos de los usuarios que tengan sus USB infectados, eventualmente conseguirá su objetivo y continuara su propagación hacia otros sitios.
P: Qué más podría hacer, en teoría?
R: Siemens anuncion el año pasado que Simatic puede también controlar sistemas de alarma, control de accesos, puertas, en fin podria penetrar ambito de seguridad y proteccion de acceso. Piensa en Tom Cruise y Mission Impossible.
P: Podría llegar Stuxnet hacia aguas profundas y causar un derrame en el golfo de Mexicano?
R: No, no creemos que sea posible; A pesar que hay en aguas profundas algunos sistemas Siemens PLC.
Nota: Hemos aprendido muchos de los detalles mencionados en este cuestionario gracias a las consultas respondidas por los investigadores de Microsoft, Kaspersky, Symantec y otros fabricantes (ver video).
Fuente: F-Secure
Traducción: Elvis Cortijo
P: Qué es Stuxnet?
R: Es un gusano para Windows, que se prograga a través de memorias USB. Una vez infectada el computador busca copiarse asi mismo en recursos compartidos de la red donde la clave sea débil.
P: Puede transmitirse a través de otro tipo de dispositivos USB?
R: Claro, el puede progagarse a través de cualquier cosa montada como unidad tales como discos portátiles, móviles, cuadros digitales, etc.
P: Qué hace el gusano?
R: Si infecta el sistema, el se esconde como un rootkit y se cerciora si existe conexión con un sistema de fabricación Siemens Simatic (Step7).
P: Qué hace con el Simatic?
R: Modifica comandos enviados desde Windows al PLC. Una vez ejecutado en el PLC, el busca un tipo de fábrica en específico. si no lo encuentra no hace nada.
P: Qué tipo de fábrica busca?
R: No lo sabemos aún.
P: Ha encontrado el tipo de fábrica buscado?
R: No lo sabemos.
P: Qué pasa si consigue el tipo de fábrica esperado?
R: Realiza complejas modificaciones a el sistema, los resultados de esas modificaciones no pueden ser detectados sin ver el ambiente actual de la fabrica, así que no lo sabemos.
P: Ok, en teoria que podría hacer?
R: Podría ajustar motores, cintas transportadoras, bombas, podría detener la fabrica. Con las modificaciones precisas podría causar riesgos de explosión en los equipos.
P: Por qué se considera Stuxnet tan complejo?
R: Usa distintas vulnerabilidades y crea su propio controlador en el sistema.
P: Cómo puede instalarse con su propio controlador? Este no debería tener una firma de compatibilidad para trabajar con Windows?
R: El controlador de Stuxnet fue firmado con un certificado robado de Realtek Semiconductor Corp.
P: Se ha revocado este certificado robado?
R: Si. Verisign lo revoco el 16 de julio. Una variante con la firma modificada perteneciente a un certificado robado de JMicron Technology Corporation fue detectado el 17th de Julio.
P: Qué relación hay entre Realtek y Jmicron?
R: Nada. Pero ambas compañías tienen su base de operaciones en el mismo edificio de Taiwan, lo cual es extraño.
P: Qué vulnerabilidades explota Stuxnet?
R: En general, Stuxnet explota cinco distintas vulnerabilidades de Windows y una en Internet Explorer, de las cuale 4 fueron 0-days:
- LNK y PIF - Vulnerability in Windows Shell Could Allow Remote Code Execution (MS10-046)
- Print Spooler - Vulnerability in Print Spooler Service Could Allow Remote Code Execution (MS10-061)
- Server Service - Vulnerability in Server Service Could Allow Remote Code Execution (MS08-067)
- Vulnerabilities in Windows Kernel-Mode Drivers Could Allow Elevation of Privilege - Win32k.sys - (MS10-073)
- Vulnerability in Internet Explorer Could Allow Remote Code Execution - (Advisory 2458511)
- Vulnerabilidades que permiten ejecución de código en Internet Explorer - Cumulative Security Update for Internet Explore (MS02-010)
P: Ya han sido parcheados por Microsoft?
R: Las dos escalaciones de privilegios no han sido parcheados aún.
P: Por qué se demoró tanto el análisis en detalle de Stuxnet?
R: Por lo inusualmente complejo y grande de su tamaño, el cual está sobre los 1.5MB.
P: Cuándo empezó a propagarse Stuxnet?
R: En Junio de 2009, o puede ser antes. Uno de sus componentes se compilo con fecha de Enero 2009.
P: Cuándo fue descubierto?
R: Una año después, en Junio de 2010.
P: Cómo es eso posible?
R: Buena pregunta.
P: Stuxnet fue creado por algún gobierno?
R: Eso es lo que parece.
P: Cómo podría un gobierno obtener algo tan complejo?
R: Pregunta ambigua, bien próxima pregunta.
P: Podria ser Israel?
R: No lo sabemos.
P: Sería Egipto? Arabia Saudita? USA?
R: No lo sabemos.
P: Sería el objetivo Irán?
R: No lo sabemos.
P: Es verdad que hay referencias bíblicas dentro de Stuxnet?
R: Hay una referencia a “Myrtus” (la cual es una planta de mirtus). Sin embargo, no esta escondido en el codigo, si no mas bien dentro de la referencia de compilación del programa. Básicamente nos dice donde el autor guardo el codigo fuente en su sistema, La ruta especifica del Stuxnet es: \myrtus\src\objfre_w2k_x86\i386\guava.pdb. El autor probablemente no que supiéramos sobre su proyecto llamado “Myrtus”, pero gracias a lo encontrado lo sabemos. Hemos visto estas caracteristicas en otros. La Operación Aurora que ataco a Google fue nombrada Aurora despues que su ruta fue encontrada dentro de los binarios: \Aurora_Src\AuroraVNC\Avc\Release\AVC.pdb.
P: Es entonces “Myrtus” una referencia bíblica?
R: Uhh... No lo sabemos realmente.
P: Podría significar algo más?
R: Si: podria ser “My RTUs”, no “Myrtus”. RTU es una abreviación de Remote Terminal Units, usado en sistemas de Fabricas.
P: Cómo sabe Stuxnet que ya ha infectado una maquina?
R: El crea una clave en el registro con el valor de “19790509″ lo cual sería como una marca de infección.
P: Qué significa “19790509″?
R: Es una fecha 9 de Mayo de 1979.
P: Qué paso el 9 de Mayo de 1979?
R: Puede ser la fecha de nacimiento del autor? También en esa fecha fue ejecutado un Judia-Irani llamado Habib Elghanian. Se le acuso de espiar para Israel.
P: Verdad.
R: Si.
P: Hay relación entre Stuxnet y Conficker?
R: Es posible. Las variantes de Conficker se encontraron entre Noviembre de 2008 y Abril 2009. La primera variante de Stuxnet se encontro inmediatamente después de esas fechas. Ambos explotan la vulnerabilidad MS08-067. Ambos usan las memorias USB para progagarse. Ambos buscan claves debiles de red para propagarse. Y por supuesto ambos son inusualmente complejas.
P: Hay relación con otros malware?
R: Algunas variantes de Zlob fueron las primeras en usar la vulnerabilidad LNK.
P: Deshabilitar la auto ejecución de dispositivos USB en Windows detendrá al gusano?
R: Falso. Hay muchos otros mecanismo que utiliza el gusano para propagarse. La vulnerabilidad LNK usada por Stuxnet infecta aún cuando Autoejecución y AutoReproducción hayan sido deshabilitados.
P: Stuxnet se propagará por siempre?
R: La version actual tiene una “kill date” (Fecha de autodestrucción) de Junio 24, 2012 en la cual dejará de propagarse.
P: Cuántas computadoras ha infectado?
R: Cientos de miles.
P: Siemens anunció que sólo 15 fabricas han sido infectadas.
R: Ellos hablan de fábricas. Mas nó de computadoras infectadas, como las del hogar u oficina que no están conectadas a sistemas SCADA.
P: Cómo los atacantes ingresan al troyano en lugares con seguridad alta?
R: Por ejemplo, se infectan en la casa de un empleado, a través de su memoria USB. Al llevarala al trabajo infecta la computadora de su puesto. El gusano se propagara por toda la organización utilizando el ambiente de seguridad y permisos de los usuarios que tengan sus USB infectados, eventualmente conseguirá su objetivo y continuara su propagación hacia otros sitios.
P: Qué más podría hacer, en teoría?
R: Siemens anuncion el año pasado que Simatic puede también controlar sistemas de alarma, control de accesos, puertas, en fin podria penetrar ambito de seguridad y proteccion de acceso. Piensa en Tom Cruise y Mission Impossible.
P: Podría llegar Stuxnet hacia aguas profundas y causar un derrame en el golfo de Mexicano?
R: No, no creemos que sea posible; A pesar que hay en aguas profundas algunos sistemas Siemens PLC.
Nota: Hemos aprendido muchos de los detalles mencionados en este cuestionario gracias a las consultas respondidas por los investigadores de Microsoft, Kaspersky, Symantec y otros fabricantes (ver video).
Fuente: F-Secure
Traducción: Elvis Cortijo
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!