超限戰專家:攻擊伊朗核電廠病毒 Stuxnet 與其煙幕彈 Conficker

作者:趨勢科技全球安全研究副總裁 Rik Ferguson

我剛剛讀了篇路透社的新聞報導,裡面有關於備受推崇的「超限戰專家」 – John Bumgarner談到 Conficker 是個掩蓋 Stuxnet 針對伊朗核電廠攻擊的煙霧彈 。

Bumgarner聲稱,一開始的偵查階段是在2007年透過 Duqu去確認之後 Stuxnet 的攻擊目標。到了2008年11月,Conficker 開始散播全球盡可能的感染更多電腦。當這些 Conficker中毒電腦回報時,如果受害者電腦是位在特定的位置(伊朗),就會被標記起來做為以後 Stuxnet的目標。他進一步指出,Conficker 對伊朗之外的電腦並沒有造成損害,而 4 月1 日這惡名昭彰的「發動日期」(出現在2009年3月的第三個變種)是用來將 Stuxnet植入那些位於伊朗位置的目標機器內。

0401

以下是Bumgarner用來佐證他說詞的證據,但是它們對我來說都不夠有力:

1. Stuxnet 和 Conficker 都是「前所未見的複雜」,所以他認為它們是有關連的。

2. Stuxnet和 Conficker都用一樣的系統漏洞來感染電腦( MS08-67

3. 沒講明的「關鍵日期」出現在沒講明的「不同版本」的 Conficker 和 Stuxnet 的時間戳記內是重疊的,也「讓他可以確認攻擊發動的日子是2009年4月1日」。
4. 2009年4月1日是伊朗伊斯蘭共和國宣布建國30週年紀念日。其他未講明的日子也和「伊朗總統內賈德說他的國家將不顧國際社會反對,繼續追求核計劃」還有「他在紐約哥倫比亞大學發表爭議性演講」等日子有關。

至於這攻擊是如何做收尾的,最終的目標機器還坐落在它該在的地方 –核電廠裡面,Bumgarner也說在這時候惡意軟體還沒有進到目標機器上。因此為了要跨過這最後一道鴻溝,Stuxnet被設計來感染隨身碟,然後期望某人會拿著曾經插入 Conficker/Stuxnet中毒電腦的隨身碟,然後將它插到位於核電廠隔離網路的機器上。走到這一步時,Bumgarner說:「這就將軍啦」。

唉,這什麼跟什麼呀!我實在沒有辦法相信這些說法。讓我列舉幾個原因

1. 如果在伊朗以外的目標都是多餘的,那為什麼第一代的 Conficker 會只排除烏克蘭的電腦?為什麼這個限制之後被拿掉?為什麼不一開始就只感染伊朗的電腦?而且說感染 Conficker 的電腦沒事也是不正確的。Conficker曾被用來派送假防毒軟體,而且 它跟Waledac殭屍網路也有關係

2. Conficker和 Stuxnet 的複雜程度出現在不同的地方。原始版本的 Conficker只用了一個已經被修補的Windows系統漏洞來散播,第二個變種加上了透過隨身碟和用常見密碼清單來做暴力密碼破解來散播,這些作法都不大複雜。這惡意軟體複雜的地方在於它會隨機產生網域來做為可能的C&C伺服器位置。但是這些都可以很快的被反組譯和破解。而到了 Conficker的第三個變種,這些傳播方法都被拿掉了,直到第四個變種才再次加回來。Stuxnet 相較起來就複雜得多,它利用了零時差弱點攻擊,而且還需要有SCADA系統和核電廠的專業知識。

3. 關於為什麼 Stuxnet病毒的製造者也選擇用 MS08-67系統漏洞,我有一個理論。因為有強烈的事實證明它很有效,Conficker 在出現三年之後還是企業網路中最常見的病毒感染。不但你幹嘛製造兩種惡意軟體使用相同的漏洞來散播,卻還是要用其中一個來下載另外一個呢?

4. 4月1日的「發動日期」直接寫在Conficker的第三個變種的程式碼內。並不需要未講明檔案上的未講明時間戳記來告訴你。

5. 4月1日同時也是很多國家的愚人節,它也是Apple成立的日子,英國內政部重大組織犯罪署(Serious Organised Crime
Agency)成立的日子,愛爾蘭的生日,東德軍隊封鎖西柏林的日子。你知道我的意思嗎?至於什麼伊朗總統內賈德說他的國家會繼續追求核計劃,當然了,隨便任何一天也都可以掰出個對應的事件出來…

最後還有這艱難的結尾方式,依靠不知名的人,將隨身碟插到感染 Confuxnet 的電腦上,在毫無所覺的情況下再將同一個隨身碟插到核電廠的可編成控制器(PLC)上?看看我們談到的這一切「前所未有的複雜性」,這成功的機會不會太渺小了點嗎?也太靠運氣了些。

抱歉了,Bumgarner先生,它可能是真的,當然它的確可能。也可能是你被報導錯誤了,但是看看你到目前為止列出的那些證據,我就是無法接受。

如果我是一個擁有這麼多資源的政府組織,那麼我不會直接找特務拿著裝有 Stuxnet病毒的隨身碟去目標設施就好了嗎?

我知道,這篇文章並沒有出現Aliens(外星人)。

@原文出處:Conficker, Duqu, Stuxnet, Aliens, Confuxnet!

 

@延伸閱讀:

Stuxnet 蠕蟲藉著USB隨身碟等感染電力公司等公共基礎建設電腦和個人電腦

資訊安全廠商趨勢科技2010 年 10 月 6 日針對一隻已經危害全球各地許多電腦、名為Stuxnet的蠕蟲惡意程式提出嚴重警訊。該惡意程式的特徵是會自動自我複製,其主要攻擊目標是例如發電廠、煉油廠中的自動化生產與控制(SCADA)系統,同時SCADA系統的主要製造商西門子公司亦已警告客戶該隻惡意程式會藉由 USB設備和網路共享進行漫延。

趨勢科技資深技術顧問簡勝財指出,這是世界上首隻攻擊西門子SIMATIC WinCC與PCS 7系統的病毒,目的在取得WinCC SQL Server登入SQL資料庫的權限。其利用了微軟所公告一可允許遠端執行程式碼的MS10-046 Windows 系統漏洞進行散佈。建議用戶盡快更新部署,若無法立即更新者,可參考微軟所提供解決方法

簡勝財進一步表示若為趨勢科技的用戶,只要是病毒碼已經更新至7.353.00以上或在趨勢科技「主動式雲端截毒技術」(Smart Protection Network) 的保護下即能避免被攻擊。請參考: 搜尋超級電腦病毒Stuxnet,搜尋結果頁面夾帶更多守株待兔惡意攻擊 。提醒民眾不要隨便在網路搜尋該病毒名稱「Stuxnet」,因為發現有駭客利用搜尋引擎優化的手段,將有內含病毒的網頁連結放在檢索結果之最前面幾筆以吸引點選,除非是受信任的網站否則切勿輕易點選連結。

Stuxnet 的一系列惡意程式,已經在全球各地造成許多感染。趁著 Stuxnet 的新聞熱潮,其他的網路犯罪者也發動了一波 Black_Hat SEO 搜尋引擎毒化攻擊行動,讓 Stuxnet 搜尋結果中的一些連結指向惡意網站,這些網站有些會下載假防毒軟體( Fake AV),有些則專門攻擊 JAVA、Flash、Windows、PDF 等等的漏洞。

Stuxnet 是一個蠕蟲型的惡意程式,可透過已感染的 USB 等可卸除式裝置進入電腦,專門攻擊 Windows Shell 當中的一個漏洞 (請參考 Microsoft 資訊安全公告 MS10-046)。此漏洞會讓惡意程式入侵一些所謂的「監控與資料擷取」(SCADA) 系統,如電力公司或能源煉解廠用來控制生產和營運的系統。

Stuxnet 的最主要目標是電力公司的 SCADA 系統,因此,SCADA 系統的主要製造商西門子 (Siemens) 已經對使用者發出此病毒的警告通知,因為它也會攻擊西門子的 WinCC 系統。

趨勢科技使用者只要是使用7.359.00 以上的病毒碼版本就能防止這項威脅,此外,也還可透過趨勢科技 主動式雲端截毒服務 SPN( Smart Protection Network)的檔案信譽評等服務來防止此攻擊相關的所有惡意程式執行。

趨勢科技強烈建議所有使用者務必安裝 Microsoft 的安全更新來防堵此漏洞。至於無法立即套用修補程式的使用者,Microsoft 也提供了一個替代方案,詳情請參考這篇文章

趨勢科技建議使用者養成下列二點習慣來防止電腦感染 Stuxnet 蠕蟲:

  • 在使用可卸除式裝置或提供給他人使用之前,務必先加以掃瞄,以防止惡意程式擴散
  • 僅從可信賴的來源取得 Stuxnet 的相關資訊


Stuxnet 蠕蟲藉著USB隨身碟等感染電力公司等公共基礎建設電腦和個人電腦
2010年重大資安事件回顧:Stuxnet的喧擾與真相
搜尋超級電腦病毒Stuxnet,搜尋結果頁面夾帶更多守株待兔惡意攻擊
DOWNAD/Conficker 冬眠了嗎?超過一億個 IP 蠢蠢欲動

假微軟名義發送的 Conflicker.B病毒警告信,真中毒
DOWNAD/Conflicker是愚人節的惡作劇?

繼DOWNAD/Conflicker 之後,又有蠕蟲攻擊同一漏洞

DOWNAD/Conficker一歲生日回顧

 

社群媒體黑暗的一面:選舉相關主題被刻意洗版

一群親克里姆林宮份子利用機器人在Twitter上發動攻擊,它們會張貼主題標籤為「#триумфальная」(Triumfalnaya,莫斯科勝利廣場的俄文名稱)的訊息。這些機器人張貼了一大堆的國家口號和粗俗語言。以每秒十則速度出現,很成功阻擋了真正和這主題標籤有關的訊息被人接收到。

社群媒體黑暗的一面:選舉相關主題被刻意洗版

 

為什麼要去封鎖跟主題標籤「#триумфалtная」相關的對話串出現?是因為在莫斯科勝利廣場(Triumfalnaya Square)舉行對俄羅斯最近選舉結果的抗議活動的反對派抗議份子,利用這個主題作為即時文字更新與訊息交流。

下面是可能的機器人名單,其中有許多可能是被入侵的帳戶:

繼續閱讀

DNSCrypt – 不是根本解決之道

在上周 OpenDNS 發表了他們新工具 – DNSCrypt的預覽版。將它吹捧成是網路私密性和安全性的巨大進步。立意很簡單,就是加密使用者在查詢DNS過程中的全部流量。這是個很好的想法,但我覺得他們並沒有真正解決問題。

DNSCrypt – 不是根本解決之道

 

根據OpenDNS所說,這是世上第一支真正實作DNSCurve的程式。他們的目標是提供整個DNS查詢過程的私密性(Privacy)和真實性(Authenticity)。不幸的是,你不能只用加密來包裝現有的通訊協定,就期望會變得比以前更安全。你還必須要看看整體的網路運作模式。當然你的DNS查詢會變得私密,讓同一個網路上的其他使用者或攻擊者都無法看到。但問題是出在你得到結果的幾毫秒之後。當瀏覽器對伺服器發出請求時,你透過加密DNS封包所得到的私密性瞬間消失。一個能夠看到你DNS封包的攻擊者,也就可能可以看到其他的網路流量。

 如果你對資料的真實性比對私密性還重視,那有更好的方法可以做到。DNSSEC是給你的最佳答案。一個DNSSEC的主要優點是一些頂級網域(TLD)可以做到完整的認證直到根伺服器(該列表會指出有哪些頂級網域是簽證過的)。根據OpenDNS的DNSCrypt常見問答集,DNSSEC和DNSCrypt的功能完全相容:「他們完全不會有任何衝突。」 繼續閱讀

HTML5所帶來醜惡的一面 3-3

這篇文章是HTML5三部曲的第三篇,也是最後一篇。你可以參考前面兩篇–HTML5 好的一面3-1面 HTML5所帶來不好的一面3-2

歡迎來到趨勢科技HTML5迷你系列的最後一篇,以及所要探討的安全問題。今天,要談些什麼呢?對我來說,在HTML5的新功能中,以長期來看最可怕的安全擔憂是BITB(瀏覽器殭屍網路/傀儡網路 Botnet – Botnets in The Browser)。

 有了HTML5,現在攻擊者可以建立一個在任何作業系統、任何地點、任何設備上都能運作的殭屍網路/傀儡網路 Botnet。而且因為大都是在記憶體內執行,幾乎不會用到硬碟,所以傳統以檔案為基礎的防毒軟體很難偵測到。JavaScript程式碼也很容易模糊化,所以網路入侵偵測系統(Network IDS)的特徵碼也很難去偵測它。最後,因為它使用的是HTTP,所以也可以輕易的通過大多數的防火牆。

 下面是從我們新推出的HTML5攻擊報告中,節錄出關於基於瀏覽器的殭屍網路/傀儡網路 Botnet攻擊的部份:

 以下是基於瀏覽器的殭屍網路攻擊的各個階段

 感染:只要能讓使用者執行JavaScript就可以感染他的電腦。有非常多的方法可以做到這一點,包括XSS攻擊、點擊電子郵件或即時訊息內的連結、Black SEO黑帽搜尋引擎優化社交工程攻擊、被入侵的網站,還有許多其他的方法。

 持久性:一個基於瀏覽器的殭屍網路/傀儡網路 Botnet殭屍網路,本質上無法像傳統的殭屍網路那樣持久。只要受害者關閉瀏覽器,惡意程式碼就會停止執行。攻擊者會需要記住這一點,所以送給瀏覽器殭屍網路的任務設計也必須考慮到這些殭屍網路節點的過渡性質。要能夠很容易的進行再次感染是很重要的,所以使用像是被XSS攻擊所入侵的網站這樣的持續型攻擊媒介是最有可能的。其他的方法是結合點擊劫持(Clickjacking)和標籤綁架(Tabnabbing)。點擊劫持一開始用來讓受駭者去點選另外的網頁,雖然跟原本的網頁長得一模一樣。當受駭者瀏覽網頁時會看到他預期的內容,但在背景有惡意標籤頁在執行著。當攻擊者使用標籤綁架時,甚至可以想辦法延長惡意標籤頁的壽命,例如偽裝成常用的頁面,像是Google或 YouTube。更簡單的延長持久性的方法是將惡意網頁偽裝成一個互動遊戲。最好是那種被設計成讓遊戲玩家保持全天都開啟著,偶爾回來完成一些新任務的遊戲。

攻擊後果:這類攻擊可能會造成以下的可能性:

    • DDoS攻擊:攻擊者可以利用跨網域請求(Cross Origin Requests)去發送數以千計的GET請求到目標網站來造成阻絕服務。
    • 發送發送垃圾郵件(SPAM)在網站的聯絡頁面上使用設定不當的網頁表格,一個殭屍網路機器人就可以被用來製造垃圾郵件
    • 開採比特幣:比特幣是地下網路犯罪份子會使用的新貨幣。目前有好幾個以瀏覽器為基礎的比特幣採礦機。 

網路釣魚(Phishing)利用標籤綁架的方法,攻擊者可以讓惡意標籤頁在每次失去焦點時改變內容。因此,每當受害者返回該標籤頁時,都會出現不同的服務登入畫面,讓攻擊者可以竊取身分認證資料。

  • 內部網路偵測:使用本報告中所描述的技術,攻擊者可以對受害者的內部網路做弱點掃描或是端口掃描。
  • 成為代理網路:透過跟未來的使用者介面工具一樣的作法,一個被入侵系統的網路可以讓攻擊者做為攻擊或網路連線的中繼站,讓他們更加難以追查。
  • 擴散:殭屍網路/傀儡網路 Botnet可以設計成含有蠕蟲病毒元件,利用XSS攻擊或資料隱碼(SQL Injection)在有弱點的網站間散播。

 這代表攻擊者有了新的攻擊武器,而且在不久的將來我們也一定會看到這些攻擊數量的增加,尤其是被用來做目標攻擊。雖然傳統針對惡意軟體的防禦措施並不適合用來攔截這種新的媒介,但是有兩個免費工具可以提供很好的保護: 

  • NoScriptNoScript瀏覽器擴充套件在資安界已經很有名了。這個出色的工具可以限制JavaScript和其他外掛在非受信任的網站上執行。
  • BrowserGuard趨勢科技的BrowserGuard工具包括許多功能(包括先進的啟發式技術)可以阻止基於網頁的攻擊。

 趨勢科技的報告 – 「HTML5概述:了解HTML5的攻擊方式」已經可以在這下載了。

 @原文出處:HTML5 – The Ugly作者:Robert (資深威脅研究員)

 

 

 

◎ 歡迎加入趨勢科技社群網站

HTML5所帶來不好的一面 3-2

這篇文章是HTML5迷你系列的第二篇。你也可以看看第一篇:探討新的HTML5標準。從那些能夠加強網站互動的新功能開始。

而在今天的文章裡,趨勢科技將帶領讀者看看這些HTML5功能可能被攻擊者如何的濫用。這裡並不打算詳盡的列舉出來,但是你如果有興趣知道更多的資訊,我們會在本系列第三篇發表關於HTML5攻擊的深入報告。

下面並沒有照特別順序的,我們要介紹五種可能會利用HTML5功能的攻擊:

點擊劫持(Clickjacking)更加容易:點擊劫持本身不是種新的攻擊。它的目的是竊取受害者的滑鼠按鈕點擊,然後導到攻擊者所指定的其他頁面。攻擊者的目的是讓使用者在不知情下點擊了隱藏的連結。目前,對於點擊劫持最好的伺服器端防禦措施之一,是被稱為Framekilling的技術。本質上來說,受到影響的網站可以利用JavaScript來看看自己是否在一個iframe中被執行,如果是的話,就拒絕顯示。這種技術已經在用在Facebook、Gmail和其他一些網站中。但是HTML5在iframe增加了一個新的沙箱屬性,這會讓網站停止執行JavaScript。在大多數情況下,這其實是比較安全的設定,但它也有缺點,就是會抵消目前對點擊劫持最好的防禦。

  • 利用跨網域請求(Cross Origin Requests)或是WebSockets的端口掃描:有了HTML5,瀏覽器現在可以連到任何IP位址或網站(幾乎)的任何端口。雖然除非這目標的網站有特別的允許,不然並無法接收到連線的回應。但是研究人員已經表示,這類請求所花的時間可以用來判斷目標端口是打開還是關閉。這允許攻擊者可以直接利用瀏覽器對受害者的區域網路作端口掃描。

利用桌面通知做社交工程攻擊:我們在HTML5 好的一面的文章內有提到HTML 5的新功能 – 桌面通知。這些出現在瀏覽器之外的彈出視窗,其實是可以用HTML程式碼來客製化的。雖然這帶來了很不錯的互動可能性,但它也是社交工程攻擊,像是網路釣魚(Phishing)或是假防毒軟體等手法的寶庫。看看下面的圖片就可以想像攻擊者可以如何的利用這一個新功能了。

利用地理定位追蹤受害者:地理定位是HTML5新功能中最受注目的之一。因為安全和隱私考量,網站必須先得到使用者的允許才能夠獲得位置訊息。然而,就跟之前出現過的其他功能一樣,像是Vista的使用者帳戶控制,Android的應用程式權限,還有無效的HTTPS憑證等,這些需要使用者作決定的安全措施很少是有用的。而一旦有了授權後,網站不僅可以知道受害者的位置,而且還可以在使用者移動時也能即時的追踪他們。

  • 表格篡改:另一個新功能讓攻擊者可以在被注入JavaScript的網站(例如XSS攻擊)改變該網頁上的表格行為。舉例來說,攻擊者可以改變一個網路商店的正常行為,不是將內容送到購買或是登入頁面,而是將使用者的身分認證送到攻擊者的網站。

這裡只列了五項 HTML5可能導致的新攻擊,趨勢科技只是概略的描述。請繼續收看這迷你系列的最後一篇 –HTML5所帶來醜惡的一面 3-3

@原文出處:HTML5 – The Bad作者:Robert(資深威脅研究員)

@延伸閱讀:

 

◎ 歡迎加入趨勢科技社群網站