AN TOÀN BẢO MẬT TRONG CÔNG NGHỆ THÔNG TIN Giới thiệu sâu máy tính chiến tranh mạng Stuxnet

AN TOÀN BẢO MẬT TRONG CÔNG NGHỆ THÔNG TIN Giới thiệu sâu máy tính chiến tranh mạng Stuxnet. Một loại virút máy tính có tên gọi là Stuxnet được phát hiện ẩn náu trong ngân hàng dữ liệu của các nhà máy năng lượng, hệ thống kiểm soát giao thông và các nhà máy trên khắp thế giới.

TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI

VIỆN CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG

-* -BÀI TIỂU LUẬN

IT6071- AN TOÀN BẢO MẬT TRONG CÔNG NGHỆ

MỤC LỤC

MỤC LỤC 2

DANH MỤC HÌNH ẢNH 3

LỜI MỞ ĐẦU 4

NỘI DUNG 5

1 Giới thiệu sâu máy tính chiến tranh mạng Stuxnet 5

2 Bí mật về siêu sâu Stuxnet 7

3 Hiểm họa vi-rút Stuxnet 19

4 Stuxnet với Microsoft 22

5 Liên hệ thực tế 44

TÀI LIỆU THAM KHẢO 51

DANH MỤC HÌNH ẢNH

Hình 1 Biểu tượng hình ảnh mô tả các virus máy tính Stuxnet 6

Hình 2 out of control: flame, stuxnet, and the cyber-security Landscape 7

Hình 3 Mã độc Flame 19

Hình 4 Một phần đoạn mã nguồn của siêu sâu Stuxnet 20

Hình 5: Tập tin Stuxnet 26

Hình 6: Cấu hình Autoruns 26

Hình 7: File stuxnet 27

Hình 8: Lsass 28

Hình 9: LSA Verify 29

Hình 10: DLL explorer 29

Hình 11: Kích thước Lsass 30

LỜI MỞ ĐẦU

Một loại vi-rút máy tính có tên gọi là Stuxnet được phát hiện ẩn náu trong ngânhàng dữ liệu của các nhà máy năng lượng, hệ thống kiểm soát giao thông và các nhà máytrên khắp thế giới

Máy tính điện tử đã được phát minh vào cuối Thế chiến thứ Hai và vi-rút máy tính

đã xuất hiện từ năm 1971 Năm 2009, một người nào đó (hiện vẫn chưa xác định đượcdanh tính) đã tung ra một loại vi-rút máy tính rất thông minh được gọi là Stuxnet Loại vi-rút này đã tấn công vào các cơ sở hạt nhân tại Iran

Một điều đáng ngạc nhiên về Stuxnet là phần mềm này sử dụng một lỗ hổng bảomật ('zero-day vulnerability' – một lỗ hổng an ninh trong phần mềm mà người ngoài cóthể xâm nhập) Đây là lỗi bảo mật mà cả nhà sản xuất phần mềm lẫn người sáng chế ra vi-rút không biết rằng nó tồn tại Chỉ người phát hiện ra lỗ hổng này mới biết đến nó

Chính vì vậy, lỗ hổng bảo mật có sức tàn phá rất mạnh

Mới xuất hiện được 2 năm, Stuxnet đã chứng tỏ mình là một vũ khí chiến lượctrong môi trường tác chiến không gian mạng Thậm chí, nó đã có "truyền nhân" là Duquvới khả năng tấn công rộng hơn tới các mục tiêu công nghiệp

NỘI DUNG

1 Giới thiệu sâu máy tính chiến tranh mạng Stuxnet

Một loại sâu máy tính có khả năng gây nên một cuộc chiến tranh mạng trên thếgiới, đã từng khiến hàng ngàn máy làm giàu uranium của Iran đột nhiên bị ngừng hoạtđộng Nó đã khiến cho chương trình hạt nhân của Iran bị đẩy lùi hai năm theo một cách

kỳ lạ và đang là sự quan tâm của thế giới Như quyền năng của nó, gốc gác cũng như bảnchất của sâu máy tính Stuxnet là cực kỳ bí ẩn Nó không chỉ hủy diệt những vật thể mà nólen lỏi vào mà còn có thể hủy diệt cả những ý tưởng

Hình 1 Biểu tượng hình ảnh mô tả các virus máy tính Stuxnet

Nguồn gốc của Stuxnet?

Cho đến nay, người ta vẫn chưa biết được nó ra đời từ đâu Chỉ biết rằng, nó là mộtsiêu vũ khí chuyên để chiến tranh mạng, là mối lo ngại thực sự cho mọi quốc gia Nếu rơivào tay bọn khủng bố, chẳng biết là nó sẽ gây nguy hiểm như thế nào nữa

Nó được tạo ra để hủy diệt một mục tiêu cụ thể như nhà máy điện, nhà máy lọc dầuhoặc nhà máy hạt nhân sau khi bí mật xâm nhập hệ thống điều khiển quy trình côngnghiệp, viết lại chương trình điều khiển này theo hướng tự hủy hoại Nó sống trong môitrường Windows, khai thác triệt để những lỗ hổng để phá hoại một mục tiêu vật chất cụthể, được phát hiện hồi tháng 6-2010 bởi một công ty máy tính tại Belarus

Xét về độ phức tạp, sâu Stuxnet có nhiều điểm khó hiểu Nó cho thấy người tạo ra

nó có hiểu biết sâu sắc về các quy trình công nghiệp, về những lỗ hổng của Windows và

có chủ ý tấn công vào cơ sở hạ tầng công nghiệp Việc nó được viết bằng nhiều ngôn ngữlập trình khác nhau (bao gồm cả C và C++) cũng là một chuyện không bình thường.

Stuxnet nhiều khả năng là sản phẩm của một tập thể

Về độ nguy hiểm của nó, chẳng ai có thể lường hết bởi những cấu trúc cực kỳ phứctạp Trên thế giới hiện nay, có khoảng 45.000 máy tính của 9 quốc gia bị nhiễm Stuxnetnhưng số hệ thống kiểm soát công nghiệp bị nhiễm không nhiều, chủ yếu ở Iran Đây làquốc gia tỏ ra khá cứng rắn trong vấn đề làm giàu uranium trong vấn đề hạt nhân

Người tạo ra Stuxnet là ai?

Hình 2 out of control: flame, stuxnet, and the cyber-security Landscape

Chưa ai đứng ra lãnh trách nhiệm khi thiết kế nên sâu máy tính này Từ đó, câuchuyện đi tìm người sáng chế ra nó cũng có nhiều giả thiết, nhiều câu chuyện hư hư, thựcthực

Theo nhiều báo, đài lớn của Anh, Mỹ như The Guardian, BBC và The New YorkTimes thì chẳng một cá nhân nào có thể làm nổi điều này Đó là một công trình tập thểbao gồm 5 đến 10 người, phải mất ít nhất 6 tháng, thậm chí cả năm và hao tốn cả chụctriệu USD mới có thể tạo ra sâu Stuxnet Trong điều kiện đó, chỉ có thể là một quốc giamới có đủ khả năng thuê mướn một nhóm như vậy để làm chuyện mờ ám Quốc gia bị đặt

trong vòng nghi ngờ đầu tiên là Israel – quốc gia của những người Do Thái vốn nổi tiếngthông minh.

Cũng có những tin đồn NATO, Mỹ và một số nước phương Tây khác dính líu vàocuộc chiến này Tuần rồi, tuần báo Pháp Le Canard Enchainé, dẫn nguồn tin tình báoPháp, cho biết các cơ quan tình báo Mỹ, Anh và Israel đã hợp đồng tác chiến phá hoạichương trình hạt nhân của Iran sau khi Israel đồng ý từ bỏ kế hoạch tấn công quân sựnhững cơ sở hạt nhân của Iran

Từ những câu chuyện trên, có thể thấy sâu Stuxnet thực sự là một vũ khí nguyhiểm Cầu mong là nó đừng rơi vào tay khủng bố, nếu không thì cả thế giới nguy ngậpmất Với lại, đã phát minh ra được ắt cũng có cách chống, vấn đề là thời gian mà thôi.Không tin là không có cách trị loại sâu máy tính này!

2 Bí mật về siêu sâu Stuxnet

Trong năm qua, đã có rất nhiều cuộc thảo luận và mưu đồ xung quanh Stuxnet sâumột virus máy tính mất khả năng đã quét sạch gần 60% mạng máy tính của Iran Cuộc tấncông của Stuxnet có an ninh mạng và tác động chính sách ảnh hưởng sâu rộng, vì nóchứng minh rằng quốc gia dễ bị hành động mạng làm tê liệt từ các quốc gia tiểu banghoặc các tổ chức tư nhân Cộng đồng quốc tế vẫn còn không chắc chắn về nguồn gốc vàmục đích chính xác của virus, nhưng đã trở thành nhận thức dễ bị tổn thương đáng kể củamình như là một kết quả của cuộc tấn công

Có rất nhiều bài học có giá trị mà các nhà lãnh đạo chính sách có thể thu lượmđược từ việc phát triển và triển khai sâu Stuxnet Để bắt đầu một cuộc đối thoại về những

gì virus có nghĩa là ở một mức độ chính sách quốc gia và giảm thiểu rủi ro của một loạivirus tương tự tấn công cơ sở hạ tầng khác, các nhà hoạch định chính sách phải công nhậnrằng các biện pháp an ninh hiện tại có thể không đủ để bảo vệ chống lại một cuộc tấncông không gian mạng tinh vi của loại này Chi tiết thông tin về sâu Stuxnet ngày càngtrở thành công khai, và có khả năng là ít nhất một số nước và / hoặc các tổ chức sẽ cốgắng sao chép thành công của Stuxnet

Làm sáng tỏ các mã: những bí ẩn của các mục tiêu và nguồn gốc

Có ba cách cơ bản mà ta có thể cố gắng để phân biệt nguồn gốc của một cuộc tấncông không gian mạng Đầu tiên là để tập trung vào các đặc tính kỹ thuật của các phần

mềm độc hại Trong khi kỹ thuật này không thường làm việc tốt chống lại kẻ thù tinh vi,

nó thường có thể mang lại lợi ích Ví dụ, nó là đôi khi có thể xác định các đoạn mã đượcbiết đến hoặc để nhận ra thực hành mã hóa được sử dụng bởi các đương sự cụ thể Ngoài

ra, tác giả phần mềm độc hại đôi khi làm cho những sai lầm mà cho phép các hậu vệ đểtruy nguyên nguồn gốc của mã này ngay cả khi thủ phạm thực hiện các bước để ẩn dấuvết của chúng

Một cách tiếp cận thứ hai là để tập trung vào chiến thuật, kỹ thuật của đối thủ, vàthủ tục (ttps) Đây là một cách tiếp cận hoạt động hơn là tập trung trực tiếp vào các mã,thay vào đó, tập trung vào các quá trình được sử dụng bởi các đối thủ Ví dụ, không mộtđối thủ nào có xu hướng sử dụng một loại hình cụ thể của thư điện tử cho các cuộc tấncông lừa đảo giáo? Họ có xu hướng để nhắm mục tiêu một số loại tổ chức không? Là cómột chu kỳ với các mẫu tấn công của họ? Bằng cách nhìn vào các loại câu hỏi, hậu vệ cóthể có thể xác định nguồn gốc của một phần nhất định của phần mềm độc hại mà khôngcần ghi kỹ thuật trực tiếp

Cuối cùng, hậu vệ có thể cố gắng, cho rằng một sự cố mạng bằng cách nhìn vàobối cảnh chiến lược xung quanh sự kiện này Ví dụ, xác định mục tiêu và những tác động

dự kiến của cuộc tấn công của Stuxnet có thể giúp đỡ để tiếp xúc với các bên hoặc cácbên có trách nhiệm Hơn nữa, các nhà phân tích có thể là có thể thu hẹp lĩnh vực nguyênnhân có thể có bằng cách yêu cầu những người có khả năng và nguồn lực để khởi độngmột cuộc tấn công như vậy, và những người có thể được hưởng lợi từ những hậu quả củanó

về các mục tiêu cụ thể của sâu và hiệu quả như dự kiến

Một trong những thú vị đầu mối được xác định bằng cách phân tích của Symanteccủa mã là Stuxnet sẽ không lây nhiễm sang một máy tính nếu số "19790509" trong khóa

registry của máy Khi nó quay ra, một doanh nhân người Do Thái nổi tiếng Iran và nhà từthiện, Habib Elghanian, được thực hiện tại Tehran vào ngày 09 Tháng Năm 1979 Một sốngười tin rằng điều này phần của các điểm thông tin Y-sơ-ra-ên như là nguồn của sâu.Điều này chắc chắn là không đủ thông tin để chắc chắn xác định vị trí một nguồn, tuynhiên, như là số "19790509" có thể chỉ là một cách dễ dàng tham khảo hầu như bất cứđiều gì khác, bao gồm cả sinh nhật của một ai đó hoặc ngày rằng một sinh viên đại học đã

bị thương bởi Unabomber

Ngoài ra, người ta phải xem xét khả năng rằng những người sáng tạo của sâuStuxnet có thể trồng "manh mối" trong một nỗ lực để cố tình đánh lừa các nhà phân tích,những người sẽ cố gắng, cho rằng các cuộc tấn công Như ghi chú Symantec, "kẻ tấn công

sẽ có mong muốn tự nhiên để ám chỉ một bên khác."

Một quan sát thú vị của một vài nhà phân tích rằng có xuất hiện một sự khác biệttrong phong cách mã hóa được sử dụng cho các phần mềm mà ban đầu lây nhiễm các tổchức có mục tiêu (s) và phần mềm trong các "tải trọng" mà triển khai một lần các phầnmềm độc hại đã xâm nhập các tổ chức của phòng thủ Điều này đã khiến một số người tinrằng Stuxnet là một nỗ lực hợp tác giữa hai nhà phát triển phổ biến nhất giả định là Hoa

Kỳ và Israel Giống như hầu hết các cuộc thảo luận về nguồn gốc của Stuxnet, tuy nhiên,

lý thuyết này có những người hoài nghi của nó, bao gồm cả Rafal Rohozinski và JeffreyCarr

Chìa khóa để thành lập nguồn của Stuxnet là xác định những người có khả năng kỹthuật để khởi động các cuộc tấn công Stuxnet là một cuộc tấn công tinh vi, và nhiềuchuyên gia cảm thấy rằng chỉ có một quốc gia có thể tạo ra và tung ra Tuy nhiên, ngay cảkết luận này không được chấp nhận rộng rãi Rafal Rohozinski, Giám đốc của Tập đoànNghiên cứu mạng tiên tiến, quốc phòng và tư vấn James farwell đã suy đoán rằng "một cơthể đáng kể bằng chứng gián tiếp mảnh vỡ của mã, mối quan hệ giữa các cá nhân, và mốitương quan trong không gian mạng cho thấy một liên kết giữa các mã được sử dụng bởisâu và đang phát triển của Nga ngoài khơi lập trình cộng đồng "Nói cách khác, họ chorằng bọn tội phạm mạng đã viết code Stuxnet

Trong khi điều này là một đề xuất thú vị, đó là cuối cùng không hấp dẫn, kể từ khi

mã hóa chính nó không phải là thách thức chủ yếu Thay vào đó, tung ra cuộc tấn côngnày yêu cầu thu thập tình báo rất chi tiết và lập kế hoạch đã thông báo với mã hóa của cácphần mềm độc hại thực tế

Stuxnet được thiết kế để nhắm mục tiêu một tập hợp rất cụ thể của bộ điều khiểnlogic lập trình (PLC) chỉ được thiết kế bởi hai quốc gia trên thế giới: Phần Lan và Iran.Phần mềm độc hại đã thay đổi gây ra hành vi nhắm mục tiêu trong các thiết bị côngnghiệp gắn liền với các PLC, mà có thể bao gồm các van xả áp, tua bin máy bơm nước,máy ly tâm hạt nhân và Một thiết kế như vậy sẽ đòi hỏi sự hiểu biết kỹ thuật chi tiết của

sự tương tác của các hệ thống máy tính, hệ thống điều khiển công nghiệp, và các quá trìnhlàm giàu Uranium

Theo Rand Beers, Theo Bí thư về bảo hộ và Giám đốc Chương trình Quốc gia tạiCục An ninh Nội địa, "sâu máy tính rất phức tạp này là người đầu tiên của loại hình này,mục tiêu cụ thể hệ thống kiểm soát nhiệm vụ quan trọng chạy một sự kết hợp của phầncứng và phần mềm "Hầu hết các chuyên gia đồng ý rằng loại nghiên cứu, lập kế hoạch vàphối hợp cần thiết để thực hiện các loại hình đa giai đoạn tấn công chống lại một hệ thốngđiều khiển công nghiệp nhạy cảm sẽ rất có thể điểm đến một nhà nước quốc gia Ngườisáng lập và giám đốc điều hành của Taia, Inc, Jeffrey Carr cung cấp một học thuyết khác,lập luận rằng đa quốc gia, các công ty có thể có nhà nước ủng hộ có thể chịu trách nhiệmcho Stuxnet

"Các phần mềm độc hại Stuxnet phân tích được thực hiện bởi Symantec, ESET,Kaspersky, LANGNER Truyền thông và Microsoft tất cả các điểm đến một đội ngũ đượctài trợ của các nhà phát triển với bộ kỹ năng nhất định duy nhất và vài tháng để phát triển

và thử nghiệm Kết luận rõ ràng là đội bóng này được tài trợ bởi một nhà nước quốc gia,tuy nhiên, các tập đoàn đa quốc gia nào đó có các nguồn lực tương tự hoặc tốt hơn so vớinhiều chính phủ Ở một số nước, chính phủ có quyền kiểm soát trong những tập đoàn lớnnhất, chẳng hạn như Trung Quốc vô địch quốc gia 'của công ty (tức là, Huawei) hoặcquyền sở hữu phần lớn của Areva của Pháp "

Trong cả hai trường hợp mà một hoặc nhiều quốc gia tiểu bang mở cuộc tấn cônghoặc các tập đoàn đa quốc gia phát triển và triển khai nó câu hỏi hợp lý tiếp theo là: ngườiđược hưởng lợi từ Stuxnet? Các ứng cử viên rõ ràng là Hoa Kỳ và Israel.

Một trong những tiết lộ từ WikiLeaks, tuy nhiên, mức độ mà các quốc gia Ả Rậptại Trung Đông đang lo lắng về một hạt nhân của Iran Một số các quốc gia này thực sựthúc giục Mỹ tấn công Iran để loại bỏ những gì họ coi là một mối đe dọa hiện hữu.Các quốc gia khác có thể được hưởng lợi từ một sụt giảm sản xuất hạt nhân của Iran baogồm Trung Quốc và Nga Cuối cùng, người ta phải xem xét khả năng rằng một quốc gia

có thể muốn làm viêm các căng thẳng chính trị bằng cách làm cho nó có vẻ là một quốcgia khác, chẳng hạn như Mỹ hoặc Israel, đã phát động một cuộc tấn công không gianmạng chống lại Iran

Trong việc phân tích Stuxnet, mục đích của cuộc tấn công cũng là một nguồn vôcùng quan trọng của thông tin trong việc tìm kiếm thủ phạm Có vẻ như là Stuxnet đượctạo ra để triển khai phần mềm sẽ phá vỡ mà không phá hủy các máy ly tâm được sử dụng

để làm giàu uranium

Điều này dẫn đến một kẻ tấn công có kiến thức chi tiết về hành vi máy ly tâm Nócũng cho thấy một mong muốn hoạt động ảnh hưởng đến sản xuất máy ly tâm mà khôngthực sự phá hủy bất cứ máy ly tâm, kẻ tấn công có thể đạt được nhiều lợi ích "dưới radar"

Ví dụ, kẻ tấn công có thể gây ra các hậu vệ để dành nhiều thời gian có giá trị cố gắng đểxác định lý do cho sự sụt giảm trong sản xuất thiết bị của họ

Sự xâm nhập có thể tạo ra sự không chắc chắn trong tâm trí của những người bảo

vệ về khả năng của họ để kéo ra khỏi công việc phức tạp của làm giàu Ảnh hưởng đếnsản xuất máy ly tâm mà không phá hủy các máy ly tâm tự có thể cho phép những kẻ tấncông đang tồn tại trong mạng mục tiêu và hệ thống mà không kêu gọi sự chú ý đến sựhiện diện của Ngài

Cuối cùng, trong trường hợp của Stuxnet, nó có thể là những kẻ tấn công muốn đểtránh làm tổn hại đến bất kỳ người nào Trong khi nó không phải là có thể biết chính xácnhững gì mục đích của Stuxnet là, nó là rõ ràng rằng mục tiêu không đơn giản là để tiêudiệt một phần của thiết bị, và rằng đầu mối không cung cấp một số thực phẩm thú vị chocác tư tưởng

Xác định mục tiêu

Xác định các mục tiêu có thể của cuộc tấn công chắc chắn sẽ làm sáng tỏ về động

cơ và các cầu thủ đằng sau cuộc tấn công thông qua một phân tích chiến lược của các bên

sẽ được hưởng lợi nhiều nhất từ việc thực hiện thành công tiềm năng của Stuxnet

Tuy nhiên, nhiều nhà phân tích vẫn cảm thấy rằng có đủ bằng chứng để xác địnhmột nhãn hiệu nhất định Ví dụ, trong tháng 9 2010 một giám đốc kỹ thuật Symantec lưu

ý rằng tỷ lệ cao các bệnh nhiễm trùng ở Iran (khoảng 60% của tổng số) có thể là do thực

tế rằng Iran "ít siêng năng về sử dụng phần mềm bảo mật để bảo vệ hệ thống của mình"hơn so với các nước khác có bị nhiễm trùng Chuyên gia bảo mật Bruce Schneier xuất bảnmột blog trong tháng 10 năm 2010 lặp lại cảm giác không chắc chắn về các mục tiêu vàmục đích của Stuxnet "Chúng tôi không biết ai đã viết Stuxnet Chúng tôi không biết tạisao Chúng tôi không biết mục tiêu là gì, hoặc nếu Stuxnet đạt nó "

Lời giải thích đơn giản nhất cho một cuộc tấn công nhằm mục đích tại Natanz và /hoặc Bushehr là phần mềm đã được lắp vào để làm chậm chương trình vũ khí hạt nhâncủa Iran

Nghiên cứu sau đó đã tăng cường các trường hợp đó, các tổ chức ở Iran đã thực sựmục tiêu Trong thực tế, có vẻ như có một số sự đồng thuận rằng mục tiêu chính là cơ sởlàm giàu hạt nhân của Iran ở Natanz, mặc dù một số chuyên gia tin rằng nhà máy Bushehrcũng là một mục tiêu

Có những dấu hiệu cho rằng điều này thực sự có thể xảy ra, mặc dù tác động tổngthể xuất hiện được tối thiểu Lời giải thích này có thể không nói cho toàn bộ câu chuyện

Được Stuxnet có nghĩa là để chứng tỏ một khả năng mới cho Iran (hoặc thế giới)?

Nó có nghĩa là như "bắn qua cung" một mối đe dọa nhằm buộc Iran ngừng làm giàuuranium? Trả thù cho một nhận thức sai (thực hiện ví dụ như người Do Thái của chínhphủ Iran)? Đó có phải là tất cả các bên trên? Không có cách nào để chắc chắn Đây lànhững thách thức của "tín hiệu" trong không gian mạng trở nên rõ ràng Trong thế giới vật

lý, các quốc gia và tổ chức đã phát triển các phương pháp phức tạp để gửi tin nhắn chonhau

Kỹ thuật như vậy là một thành phần quan trọng của ngăn chặn giữa Hoa Kỳ vàLiên Xô, nhưng họ cũng đóng một vai trò quan trọng trong nhiều khía cạnh của quan hệquốc tế.

Không có quy định đối với hành vi như vậy trong không gian mạng, ít nhất là ởcấp nhà nước quốc gia Cho đến khi quy định như vậy của con đường (rõ ràng hoặcngầm) được phát triển, nó có thể là khó khăn cho các quốc gia để giải thích một cáchchính xác ý định đằng sau một hành động được đưa ra trong không gian mạng Stuxnet làmột ví dụ của sự mơ hồ như vậy Thật thú vị, phản ứng của Iran để Stuxnet ngụ ý rằng cácnhà lãnh đạo của đất nước không biết ai để đổ lỗi cho vụ việc, ít nhất ban đầu.Nhiều tháng sau khi sự kiện này, chính phủ Iran đã thực hiện một điểm đánh giá thấp tácđộng của Stuxnet đã có trên cả nước

Đó là chỉ trong tháng 11 năm 2010 mà Tổng thống Iran Mahmoud Ahmadinejadthừa nhận rằng con sâu đã ảnh hưởng đến các cơ sở làm giàu hạt nhân của nước ông.Thậm chí sau đó, tuy nhiên, phản ứng của chính phủ đã bị tắt tiếng Thay vì tuyên bốcông cộng và sử dụng vụ việc để kích động theo hành vi điển hình của nó khi giao dịchvới Hoa Kỳ và Israel chính phủ Iran tập trung vào việc tạo ra một lực lượng dân quânchiến tranh không gian mạng mới

Chỉ mới gần đây (tháng 4 năm 2011) Iran công khai đổ lỗi cho bên cụ thể Hoa Kỳ,Israel, và Siemens (nhà sản xuất của các hệ thống điều khiển đã được nhắm mục tiêu)bằng cách sử dụng sâu Stuxnet cố tình tấn công cơ sở hạ tầng của nó

Cuộc sống sau khi Stuxnet: chuẩn bị cho Zero-Day

Stuxnet đã được phân tích chi tiết Bên động cơ có thể tìm thấy rất nhiều thông tin

về các đặc tính của vector thâm nhập và tải trọng, cung cấp cho họ một kế hoạch hoạtđộng Các lập trình viên có thể với khả năng và nguồn lực vừa phải, lấy code Stuxnet vàchỉ cần sửa đổi nó để nhắm mục tiêu một bộ khác nhau của bộ điều khiển.Theo lời của DHS Theo thư ký Rand Beers, "Sắp tới, Cục có liên quan mà kẻ tấn công cóthể sử dụng thông tin ngày càng công khai về Stuxnet] đang phát triển biến thể nhắm mụctiêu vào các cài đặt rộng hơn các thiết bị lập trình trong các hệ thống kiểm soát."

Một số chuyên gia không tìm thấy dòng này của lý luận để được hấp dẫn Ví dụ,Tiến sĩ Martin Libicki, một nhà nghiên cứu cấp cao tại Tổng công ty RAND, đã lập luận

rằng chúng tôi không nhìn thấy các biến thể Stuxnet vì tấn công tin tặc khai thác lỗ hổng

cụ thể để đạt được quyền truy cập vào một hệ thống nhắm mục tiêu Một khi các cuộc tấncông được phát hiện, các lỗ hổng đến sự chú ý của các tổ chức được nhắm mục tiêu (và

có khả năng thế giới), sau đó đắp vá các lỗ và đưa ra một cuộc tấn công tiềm năng khôngthành công ngay cả trước khi nó diễn ra

Trong khi Tiến sĩ Libicki làm cho một điểm tốt mà các tổ chức có thể bị mất yếu tốbất ngờ khi họ tiết lộ một vector tấn công trước đó chưa biết, khẳng định tổng thể củamình là quá lạc quan trên hai mặt trận Đầu tiên, nó giả định rằng các đối thủ sẽ không sẵnsàng để sử dụng zero-day khai thác mới để khởi động phiên bản Stuxnet.Các tác giả Stuxnet sử dụng bốn riêng biệt zero-ngày, vì vậy họ rõ ràng là sẵn sàng mạohiểm lộ tính mới của các vectơ, và bắt chước rất tốt có thể sẵn sàng và có thể làm như vậy

là tốt

Giả định thứ hai trong lập luận của Tiến sĩ Libicki là các tổ chức sẽ thực hiện cácbước để ngăn chặn các cuộc tấn công được biết đến từ việc làm Thật không may, cónhiều bằng chứng cho thấy rằng các tổ chức có một thời gian khó khăn ở up-to-ngày trêncác bản vá bảo mật

Ví dụ, trong lời khai của Quốc hội trong năm 2009, Richard Shaeffer, Giám đốcđảm bảo thông tin của Cơ quan An ninh Quốc gia, nói rằng 80% các cuộc tấn công khônggian mạng đã thành công vì người nghèo và các chính sách cấu hình mạng lưới giám sátkhông đủ Các dữ liệu gần đây từ Verizon cho thấy rằng tình hình có thể tồi tệ hơn, saukhi kiểm tra 800 sự cố đã xảy ra trong năm 2010 và 2011, Verizon xác định rằng 96%trong các hành vi có thể tránh được thông qua việc sử dụng đơn giản để điều khiển trunggian

Nó không nên ngạc nhiên khi thấy rằng Văn phòng Trách nhiệm Chính phủ đã kếtluận rằng hệ thống công nghệ thông tin liên bang vẫn còn dễ bị tổn thương các mối đe dọamạng như Stuxnet: "số lượng ngày càng tăng các mối đe dọa và các sự cố được báo cáongày càng tăng làm nổi bật sự cần thiết cho các chính sách an ninh thông tin hiệu quả vàthực tiễn Tuy nhiên, nghiêm trọng và phổ biến rộng rãi thông tin thiếu kiểm soát an ninhtiếp tục đặt tài sản rủi ro liên bang tại "

Có lẽ nhiều hơn liên quan đến đường xu hướng: các tin tặc đang tăng nhanh hơnhậu vệ của chính phủ Theo Alan Paller, Giám đốc nghiên cứu tại Viện SANS: " trongkhi chính phủ liên bang đã tăng mức phòng thủ của nó, những kẻ xấu tiếp tục vượt qua tỷ

lệ cải tiến tổng thể những kẻ tấn công đang nhận được tốt hơn, nhanh hơn so với chínhphủ liên bang đang được cải thiện "

Trong ngắn hạn, những kẻ tấn công có thể không cần phải dựa vào khai thác lỗhổng zero-day để khởi động một cuộc tấn công thành công như Stuxnet Họ chỉ đơn giản

là cần phải tìm một mục tiêu mà không phải là 100% phù hợp với tất cả các bản vá lỗi của

nó Hoặc, vẫn còn dễ dàng hơn, họ có thể sử dụng kỹ thuật xã hội như giáo nhắm mụctiêu lừa đảo để xâm nhập vào mạng doanh nghiệp và sau đó lan rộng sang hai bên trongtoàn tổ chức trong một nỗ lực để đạt được quyền truy cập vào tài khoản đặc quyền và cácthông tin nhạy cảm Cách tiếp cận này là rất phổ biến và được sử dụng nhiều lần để xâmnhập vào các công ty và chính phủ trên khắp thế giới

Cuối cùng, bài học quan trọng nhất của Stuxnet có thể không nằm trong mã của nó,

mà là trong khả năng của mình đã chứng minh Stuxnet có thể được xem như là một vũkhí "tàng hình" độ chính xác kỹ thuật cho nặc danh nhắm mục tiêu một hệ thống cụ thểhoặc tổ chức mà không có thiệt hại lớn Stuxnet cũng có thể chứng tỏ khả năng của kẻ tấncông hoặc phá vỡ hoặc tiêu diệt mục tiêu của họ, tùy thuộc vào mục tiêu của mình Nó làrất khó khăn để phát triển khả năng trong thế giới vật lý có thể cung cấp hạt mịn kiểmsoát hiệu ứng

Trong ý nghĩa đó, Stuxnet có thể chứng minh là cực kỳ hấp dẫn đối với một loạtcác diễn viên trong không gian mạng, từ các quốc gia khủng bố

Kết luận

Quy cuộc tấn công mạng là rất khó khăn Điều này là khó có một cái nhìn mới,nhưng nó không vui mà rất nhiều người đã phân tích Stuxnet quá lâu mà không đạt đượcmột kết luận dứt khoát về nguồn gốc của nó Ngay cả những cân nhắc chiến lược khôngcung cấp bằng chứng thuyết phục về những người có thể đã mở cuộc tấn công Lãnh đạo

Mỹ nên chuẩn bị cho một tình huống mà ở đó họ có để đối phó với một cuộc tấn côngmạng nghiêm trọng về tài sản quan trọng mà không biết nguồn của phần mềm độc hạihoặc mục đích

Stuxnet cho thấy sự vô ích của dựa vào hệ thống an ninh hiện có như không khígapping-cách ly hệ thống máy tính quan trọng từ net-công trình được kết nối với Internet

để ngăn chặn tinh vi và cũng như các kế hoạch các cuộc tấn công phần mềm độc hại

Mặc dù biện hộ này là một cách phổ biến để giữ cho phần mềm độc hại ra khỏi hệthống quan trọng và để giữ cho các thông tin nhạy cảm trong một vùng đất an toàn, hiệuquả của Stuxnet cho thấy rằng ngay cả những cơ sở hạ tầng an toàn nhất cấu trúc dễ bịxâm nhập Theo lời của farwell và Rohozinski: "khả năng nhảy hệ thống không khíkhoảng cách là tin cũ."

Hoạch định chính sách cần phải giả định rằng ngay cả không khí gapped net-côngtrình sẽ bị vi phạm, và phải có công nghệ, quy trình, và đào tạo tại chỗ để đối phó với tìnhhuống này

Khái quát thời điểm này, người ta có thể kết luận một cách hợp lý rằng những nỗlực hiện nay tập trung vào việc ngăn chặn các cuộc tấn công Stuxnet như là cần thiết,nhưng không đủ trong việc hoàn thành kết thúc Nó là quan trọng cho các nhà hoạch địnhchính sách để giả định rằng một cuộc tấn công mạng một ngày nào đó sẽ phá vỡ hoặc pháhủy một cơ sở hạ tầng quan trọng của quốc gia và nghĩ rằng thông qua những hành độngcần thiết để giảm thiểu các tác động của các kịch bản như vậy

Với sự không chắc chắn rất lớn và căng thẳng có khả năng để đi cùng với một kịchbản như vậy, cũng như một loạt các yếu tố pháp lý và chính trị phức tạp mà sẽ cần phảiđược xem xét, các nhà hoạch định chính sách phải bắt đầu suy nghĩ thông qua các tùychọn trả lời bây giờ, thay vì cố gắng để phát triển và đánh giá như vậy tùy chọn trên-the-fly trong cuộc khủng hoảng

Các tùy chọn này phản ứng phải bao gồm các biện pháp để giảm thiểu những thiệthại gây ra bởi một cuộc tấn công giống như Stuxnet, cho phép khôi phục lại nhanh chóngcác khả năng cần thiết, và có những hành động chống lại các thủ phạm của cuộc tấn côngnày (nếu muốn)

Trong khi nó có thể chứng minh gần như không thể để ngăn chặn một cuộc tấncông Stuxnet-như thành công trong tương lai, có là thực hành an ninh mạng hiện có vàcác công nghệ đó, nếu thực hiện theo cách tốt-kiến trúc và tự củng cố, rất nhiều có thể cải

thiện khả năng của một tổ chức để ngăn chặn, phát hiện, và đáp ứng với các loại sự cốmạng.

Ví dụ, các nhà hoạch định chính sách có thể hỗ trợ những nỗ lực để củng cố cáckhía cạnh cơ bản của bảo mật thường xuyên nhận được ngắn sự xưng tội và tha tội trongngân sách ví dụ bao gồm bảo hiểm phần mềm, khả năng phục hồi và bảo vệ dữ liệu

Họ cũng có thể khuyến khích thử nghiệm với công nghệ đầy hứa hẹn và thực hành, chẳnghạn như ảo hóa và pháp lý bộ nhớ thời gian chạy Bằng cách nâng cao mức độ tinh tế cầnthiết để kéo-off Stuxnet như cuộc tấn công mạng, chính phủ Mỹ, làm việc với các ngànhcông nghiệp, có thể làm giảm số lượng các đối thủ có thể, những người có thể thực hiệncác hoạt động đó ngay bây giờ và trong tương lai Điều đó một mình sẽ là một thành tựulớn

Flame nguy hiểm hơn Stuxnet

Vì chuyên đánh cắp những thông tin về dầu mỏ nên loại mã độc này được mangtên Flame (Ngọn lửa) Ảnh: BBC

Theo New York Times, chính quyền Mỹ không thừa nhận việc sở hữu virus Flame,

và Flame cũng không nằm trong chiến dịch "Thế vận hội Olympic" của ông GeorgeW.Bush hay ông Obama

Hình 3 Vì chuyên đánh cắp những thông tin về dầu mỏ nên loại mã độc này được mang

tên FlameKhác với Stuxnet, Flame không phá hoại mà hoạt động như một điệp viên côngnghệ cao, đánh cắp những thông tin giá trị liên quan đến tình hình dầu mỏ và chính trị.Hiện tại, Iran đã khắc chế được virus này

Hãng bảo mật Bit Defender cũng đã phát hành công cụ miễn phí có khả năng tiêudiệt Flame (Xem "Đã có công cụ diệt virus "siêu tinh vi" Flame")

Công khai mã nguồn của "siêu sâu" Stuxnet

Sâu Stuxnet được đánh giá là loại virus đầu tiên có khả năng hủy hoại vật chất.Theo giới chuyên gia, cấu trúc của Stuxnet cực kì phức tạp, người ta khó có thể tưởngtưởng ra cá nhân nào là cha đẻ của nó

Hình 4 Một phần đoạn mã nguồn của siêu sâu StuxnetViệc công khai mã nguồn của Stuxnet là điều cực kì nguy hiểm, Stuxnet sẽ trởthành một con “siêu sâu mã nguồn mở” để trong giới tin tặc có thể “cải tiến” nó thànhnhững vũ khí số lợi hại nhất có khả năng hủy diệt vật chất thay vì xâm hại dữ liệu nhưnhững virus thông thường

3 Hiểm họa vi-rút Stuxnet

Vi-rút Stuxnet lần đầu tiên được chú ý đến là vào tháng 6 năm nay Các chuyên giabảo mật cho rằng nó được tạo ra với mục đích tấn công các cơ sở hạ tầng quan trọng vàmạng máy tính Ví dụ như hệ thống vệ sinh công cộng, mạng lưới phân phối thực phẩm…

Người ta cũng từng nghi ngờ rằng Stuxnet đã được dùng để tấn công vào nhà máyđiện của Iran Tuy nhiên giới chức chính quyền phủ nhận bản tin của hãng Sky News,theo họ thì không có bằng chứng là phần mềm độc hại này đã lọt vào tay bọn tội phạmmạng Trong khi đó, một chuyên gia bảo mật cấp cao nói với Sky News rằng Stuxnet sẽtrở thành một công cụ tàn phá nếu lọt vào tay kẻ xấu Các chuyên gia lo ngại rằng loại vi-rút này có thể dùng làm ngưng trệ hệ thống cấp cứu 999, làm sập mạng máy tính bệnhviện, làm hỏng các thiết bị y khoa, tác động đến mạng lưới giao thông, hệ thống ngânhàng, các nhà máy điện

Các chuyên gia suy đoán, Stuxnet có thể là hành động khủng bố mạng ở cấp quốcgia và là loại vi-rút máy tính đầu tiên có thể làm thay đổi hiện trạng vật lý trong thế giớithực Stuxnet có khả năng tái lập trình các phần mềm khác để buộc một máy tính thựchiện các lệnh khác nhau Nó có thể lây lan từ máy này qua máy khác bằng con đường làcác ổ USB Vì vậy, nhiều máy tính không kết nối internet để bảo mật nhưng vẫn có thể bịnhiễm Stuxnet

Theo báo Telegraph, loại vi-rút này là một sự kết hợp giữa các dòng mã lệnh rấtphức tạp cùng với kỹ thuật tấn công máy tính mà hacker từng sử dụng Vì vậy, chúng lâylan rất nhanh chóng nhưng lại khó tiêu diệt hơn Nó cũng khai thác triệt để các máy tínhdùng hệ điều hành Windows nhưng chưa cập nhật các bản vá lỗi mới nhất

Siêu virus Stuxnet đe dọa công nghiệp toàn cầu

- Không chỉ tấn công vào công nghiệp hạt nhân của Iran, hiện tại siêu virus Stuxnetđang gây ra làn sóng hoang mang cho nhiều ngành công nghiệp trọng yếu của các quốcgia trên khắp thế giới

Ngày hôm qua (17/10), nhiều chuyên gia an ninh và nhân viên chính phủ đồngloạt cảnh báo cao độ rằng những hacker cao thủ hoàn toàn có thể sử dụng những thông tincông khai về đoạn mã được biết đến dưới cái tên siêu virus Stuxnet để phát triển ra cácbiến thể tấn công vào nhiều ngành công nghiệp khác

Cách đây không lâu, đoạn mã này đã tấn công một số trang web của Iran và vàiquốc gia khác, và lây nhiễm vào laptop của một số nhân viên tại nhà máy hạt nhânBushehr Rất may, nó chưa kịp gây ra nhiều thiệt hại lớn (ít nhất là theo những thông tinđược công khai).

Trong bản báo cáo với Ủy ban Thượng viện về An ninh Lãnh thổ và Nội vụ Chínhphủ Hoa Kỳ, ông Sean McGurk, quyền giám đốc của trung tâm an ninh mạng quốc giatrực thuộc Uỷ ban này khẳng định: Hệ thống điều khiển của một số ngành công nghiệpđặc biệt sử dụng các phần mềm "dính dáng" tới Windows và có thể bị đoạn mã độc nàytấn công Nhiều mảng công nghiệp trọng yếu sẽ bị ảnh hưởng, từ công nghiệp xe hơi chođến hoá chất hay hoá thực phẩm

Tại một buổi giảng về an ninh mạng, McGurk cũng cho biết đoạn mã độc này cóthể tự động xâm nhập vào một hệ thống, đánh cắp công thức pha trộn sản phẩm, xáo trộnthành phần nguyên liệu; đánh lừa hệ điều hành và phần mềm diệt virus rằng mọi thứ vẫnđang hoạt động bình thường

Dean Turner, giám đốc Mạng lưới Thông minh Toàn cầu của tập đoàn Symantecxác nhận rằng con virus này hoàn toàn có khả năng tung đòn tấn công như trên đã nêu, vàcho rằng "tác động của Stuxnet tới thế giới thực cao hơn rất nhiều so với bất cứ mối nguynào chúng ta từng gặp trong quá khứ."

Turner cũng chỉ ra rằng đoạn mã này có một cấu trúc và kỹ thuật cực kỳ tinh vi, cóthể nói là "mười năm mới xuất hiện một lần" Tuy nhiên, vì virus có cấu trúc quá phức tạp

và đáng giá, nên chỉ có một số rất ít hacker đủ trình độ sử dụng nó cho một cuộc tấn cônglớn Tuy khả năng đó không phải không có, nhưng sẽ không xảy ra bất ngờ trên diện rộng

Các chuyên gia cho rằng chính phủ các quốc gia và đại diện các ngành côngnghiệp cần làm nhiều hơn nữa để bảo vệ những hệ thống trọng yếu Trước mắt, các hệthống điều khiển cần phải được cách ly khỏi các mạng kết nối để ngăn hacker xâm nhập.Cần phải thừa nhận các chiến lược bảo mật hiện tại quá rời rạc và thường không hiệu quảvào những lúc cần kíp nhất

Các nhà lãnh đạo nên hiểu rằng những đòn tấn công nguy hiểm nhất không chỉđơn thuần là vô hiệu hoá một hệ thống, mà sẽ chiếm quyền điều khiển và sử dụng nó đểgây ra những hậu quả còn nghiêm trọng hơn gấp nhiều lần

Stuxnet – Nguy cơ chiến tranh ảo

Bị phát hiện lần đầu tiên bởi VirusBlokAda, một công ty an ninh mạng ít tên tuổi

có trụ sở tại Belarus vào tháng 6-2010, “sâu” Stuxnet ngay lập tức khiến giới an ninhmạng lo ngại vì nó được thiết kế không phải để ăn cắp tiền, gửi thư rác hay lấy dữ liệu cánhân mà để phá hoại nhà máy, hệ thống công nghiệp Nhiều nhà nghiên cứu bảo mật choStuxnet là malware tinh vi chưa từng thấy vì nó là sâu duy nhất khai thác cùng lúc 4 lỗhổng zero-day của hệ điều hành windows Giới phân tích cho rằng Stuxnet chúng đượcxây dựng theo hình thức “groundbreaking”, tức bởi một nhóm có tiềm lực về tài chính,quyền lực mà đứng đằng sau có thể là một chính phủ Symantec ước tính phải 10 chuyêngia làm việc liên tục trong 6 tháng mới có thể "sản xuất" ra được một sâu chuyên nghiệpnhư Stuxnet Giám đốc điều hành Microsoft, cảnh báo sâu Stuxnet có thể gây hại cho sựphát triển của nền kinh tế thế giới, còn Bộ ngoại giao Iran nghi ngờ chính phủ của mộtquốc gia phương Tây đã phát tán sâu này để phá hoại chương trình hạt nhân của họ Cácchuyên gia của hãng bảo mật Kaspersky Lab cũng gọi Stuxnet là sự khởi đầu thời đại mớicủa chiến tranh không gian mạng Cho đến nay, Iran là nơi bị lây nhiễm sâu Stuxnet nặng

nề nhất, chiếm 60% toàn cầu với trên 30.000 địa chỉ IP bị lây nhiễm Việc lây nhiễmStuxnet đã khiến nhà máy hạt nhân của Iran ở Bushehr phải hoãn ngày khởi động Trongmột số báo hồi tháng 9, tờ Guardian của Anh nhận định rất có thể cha đẻ của Stuxnet làchính phủ Israel, nước luôn phản ứng gay gắt với chương trình hạt nhân của Iran Khôngnhư những virus khác được viết chỉ để khai thác thông tin trên máy tính, sâu Stuxnet “độchại một cách không bình thường” vì là phần mềm đầu tiên được lập trình với mục đíchkiểm soát các hệ thống liên quan đến các công trình quan trọng của ngành công nghiệp.Stuxnet có khả năng viết lại các PLC (hệ thống điều khiển logic chương trình) và đượcthiết kế đặc biệt để tấn công các SCADA (những hệ thống kiểm soát công nghiệp quy môlớn)

4 Stuxnet với Microsoft

Mặc dù tôi đã không nhận ra những gì tôi đã nhìn thấy, Stuxnet đầu tiên đến sự chú

ý của tôi vào ngày 05 Tháng Bảy mùa hè năm ngoái khi tôi nhận được một email từ mộtlập trình bao gồm một tập tin trình điều khiển, Mrxnet.sys, rằng họ đã xác định là mộtrootkit Một người lái xe mà thực hiện chức năng rootkit là không có gì đặc biệt đáng chú

ý, nhưng những gì làm này đặc biệt là thông tin về phiên bản của nó xác định nó như là

một trình điều khiển Microsoft và nó có một chữ ký hợp lệ kỹ thuật số do Tổng công tyRealtek Semiconductor, nhà sản xuất thành phần một máy tính hợp pháp (trong khi tôiđánh giá cao các lập trình uỷ thác cho trình điều khiển rootkit với tôi, cách chính thứctrình phần mềm độc hại cho Microsoft là thông qua cổng thông tin Trung tâm Bảo vệMalware)

Tôi chuyển tiếp các tập tin để chống malware Microsoft và các đội nghiên cứu bảomật và đánh giá nội bộ của chúng tôi vào những gì đã trở thành saga Stuxnet bắt đầu mở

ra, nhanh chóng làm cho các trình điều khiển tôi đã nhận được trở thành một trong nhữngtác phẩm nổi tiếng nhất của phần mềm độc hại từng được tạo ra Trong suốt vài tháng tới,điều tra tiết lộ rằng Stuxnet đã sử dụng bốn "ngày zero" lỗ hổng của Windows để lây lan

và để đạt được quyền quản trị một lần trên một máy tính (tất cả đều đã được cố định ngaysau khi họ đã được tiết lộ) đã được ký kết với giấy chứng nhận bị đánh cắp từ Realtek vàJMicron Thú vị nhất, các nhà phân tích đã phát hiện ra mã mà reprograms SiemensSCADA (giám sát điều khiển và thu nhận dữ liệu) hệ thống được sử dụng trong một sốmáy ly tâm, và nhiều Stuxnet nghi ngờ đã được đặc biệt thiết kế để phá hủy các máy lytâm được sử dụng bởi chương trình hạt nhân của Iran làm giàu uranium, là một mục tiêuchính phủ Iran báo cáo các virus ít nhất một phần được thực hiện

Kết quả là, Stuxnet đã được thừa nhận, như những mảnh tinh vi nhất của phầnmềm độc hại được tạo ra Bởi vì động cơ rõ ràng của nó và các manh mối được tìm thấytrong các mã, một số nhà nghiên cứu tin rằng đó là ví dụ đầu tiên được biết đến phầnmềm độc hại được sử dụng cho chiến tranh mạng nhà nước bảo trợ Trớ trêu thay, tôitrình bày một số ví dụ của phần mềm độc hại nhắm mục tiêu các hệ thống cơ sở hạ tầngmới xuất bản gần đây ngày của tôi không cyber-phim kinh dị, mà khi tôi viết cuốn sáchmột vài năm trước đây dường như là một chút của một căng Stuxnet đã chứng minh các

ví dụ được nhiều hơn nữa khả năng hơn tôi đã nghĩ (bằng cách này, nếu bạn đã đọc ZeroDay, xin vui lòng để lại một nhận xét trên Amazon.com)

Phần mềm độc hại và các công cụ Sysinternals

Một số bài đăng trên blog cuối cùng của tôi đã ghi nhận trường hợp của các công

cụ Sysinternals được sử dụng để giúp lây nhiễm phần mềm độc hại sạch, nhưng các nhànghiên cứu phần mềm độc hại cũng thường sử dụng các công cụ để phân tích phần mềmđộc hại Phân tích phần mềm độc hại chuyên nghiệp là một quá trình nghiêm ngặt và tẻnhạt mà đòi hỏi phải tháo phần mềm độc hại để đảo ngược kỹ sư hoạt động, nhưng hệthống giám sát các công cụ như Sysinternals Process Monitor và Process Explorer có thểgiúp các nhà phân tích được một cái nhìn tổng thể của phần mềm độc hại hoạt động Họcũng có thể cung cấp cái nhìn sâu sắc vào mục đích của phần mềm độc hại và giúp đỡ đểcác điểm nhận dạng của thực hiện và từng phần mã đó có yêu cầu kiểm tra sâu hơn Nhưgợi ý trước bài đăng trên blog, những phát hiện này cũng có thể phục vụ như là mộthướng dẫn cho việc tạo ra các công thức nấu ăn làm sạch phần mềm độc hại để đưa vàotrong các sản phẩm chống malware

Vì vậy, tôi nghĩ rằng nó sẽ là thú vị để hiển thị các hiểu biết sâu sắc các công cụSysinternals cho khi áp dụng cho các bước lây nhiễm ban đầu của virus Stuxnet (lưu ýrằng không có máy ly tâm đã bị hại trong các văn bản của bài viết trên blog này) Tôi sẽchỉ cho một bệnh nhiễm trùng đầy đủ của một hệ thống Windows XP và sau đó phát hiện

ra virus sử dụng một trong các lỗ hổng zero-day để nâng cao quyền hành chính khi chạy

từ một tài khoản không có đặc quyền trên Windows 7 Hãy ghi nhớ rằng Stuxnet là một

phần vô cùng phức tạp của phần mềm độc hại Nó truyền và giao tiếp bằng cách sử dụngnhiều phương pháp và thực hiện các hoạt động khác nhau tùy thuộc vào các phiên bản của

hệ điều hành bị nhiễm và các phần mềm cài đặt trên hệ thống bị nhiễm Xem Stuxnet chỉtrầy xước bề mặt và được thiết kế để hiển thị như thế nào không có chuyên môn kỹ thuậtđảo ngược đặc biệt, các công cụ Sysinternals có thể cho biết tác động hệ thống bị nhiễmphần mềm độc hại Xem hồ sơ W32.Stuxnet của Symantec cho một phân tích sâu hoạtđộng của Stuxnet

Nhiễm trùng Stuxnet Vector

Stuxnet lây lan vào mùa hè năm ngoái chủ yếu thông qua các phím USB, vì vậy tôi

sẽ bắt đầu nhiễm virus được cài đặt trên một phím Virus bao gồm sáu tập tin: bốn tập tinshortcut độc hại với những cái tên được dựa tắt của "Bản sao to.lnk Shortcut" và hai tậptin có tên mà làm cho họ trông giống như các tập tin phổ biến tạm thời Tôi đã sử dụngchỉ là một trong các tập tin shortcut cho phân tích này, kể từ khi tất cả họ đều phục vụcùng một mục đích:

Hình 5: Tập tin StuxnetTrong vector lây nhiễm, Stuxnet bắt đầu thực hiện mà không có sự tương tác củangười sử dụng bằng cách lợi dụng một lỗ hổng zero-day trong Windows Explorer Shell(Shell32.dll) phím tắt phân tích cú pháp mã Tất cả người dùng phải làm là mở một thưmục chứa các tập tin Stuxnet trong Explorer Để cho sự lây nhiễm thành công, lần đầutiên tôi gỡ bỏ cài đặt việc sửa chữa cho các lỗ hổng Shell, KB2286198, đã được đẩy ra bởiWindows Update trong tháng 8 năm 2010 Khi Explorer mở file shortcut trên một hệthống chưa được vá để tìm tập tin mục tiêu của phím tắt để nó hữu ích có thể hiển thị cácbiểu tượng, Stuxnet lây nhiễm hệ thống và sử dụng các kỹ thuật rootkit để ẩn các tập tin,làm cho chúng biến mất khỏi tầm nhìn

Stuxnet trên Windows XP

Trước khi kích hoạt các nhiễm trùng, tôi bắt đầu Process Monitor, ProcessExplorer và Autoruns Tôi cấu hình Autoruns để thực hiện một quét với "Hide Microsoft

và Windows Entries" và "Xác nhận chữ ký Mã" tùy chọn kiểm tra:

Hình 6: Cấu hình Autoruns

Điều này loại bỏ bất kỳ mục có chữ ký kỹ thuật số của Microsoft hoặc Windows đểAutoruns chỉ hiển thị mục dân cư của mã của bên thứ ba, bao gồm cả mã chữ ký của cácnhà xuất bản khác Tôi đã lưu các đầu ra của quá trình quét để tôi có thể đã Autoruns sosánh với nó sau đó và đánh dấu bất kỳ mục được thêm vào của Stuxnet Tương tự nhưvậy, tôi tạm dừng Process Explorer hiển thị bằng cách nhấn thanh không gian, mà sẽ chophép tôi để làm mới sau khi nhiễm trùng và gây ra nó để hiển thị bất kỳ quy trình bắt đầubởi Stuxnet trong Process Explorer màu nền xanh lá cây sử dụng cho các quy trình mới.Với hoạt động Monitor Process registry, hệ thống tập tin, và DLL chụp, tôi lái đến thưmục gốc các phím USB của, xem các file tạm thời biến mất, chờ một phút cho các thờigian vi rút để hoàn thành lây nhiễm, ngừng Process Monitor và làm mới cả Autoruns vàProcess Explorer

Sau Autoruns làm mới, tôi sử dụng chức năng So sánh trong menu File để so sánhcác mục cập nhật với quét đã lưu trước đó Autoruns phát hiện hai đăng ký trình điềukhiển thiết bị mới, Mrxnet.sys và Mrxcls.sys:

Hình 7: File stuxnet

Mrxnet.sys là các trình điều khiển mà các lập trình ban đầu gửi cho tôi và thực hiệncác rootkit ẩn file, và Mrxcls.sys là Stuxnet tập tin trình điều khiển thứ hai mà ra mắt cácphần mềm độc hại khi hệ thống khởi động Stuxnet tác giả có thể dễ dàng mở rộng chiếc

áo choàng của Mrxnet để ẩn các tập tin từ các công cụ như Autoruns, nhưng họ dườngnhư cảm thấy tự tin rằng chữ ký kỹ thuật số có giá trị từ một công ty phần cứng nổi tiếng

sẽ gây ra bất cứ ai mà nhận thấy họ vượt qua chúng Nó chỉ ra rằng Autoruns đã nói vớichúng tôi tất cả những gì chúng ta cần biết để làm sạch các nhiễm trùng, đó là dễ dàngnhư xóa hoặc vô hiệu hóa các mục trình điều khiển

Chuyển sự chú ý sang Process Explorer, tôi cũng nhìn thấy hai mục màu xanh lácây, cả hai trường hợp của quá trình An ninh Chính quyền địa phương (Lsass.exe) hệthống con:

Hình 8: LsassLưu ý các ví dụ của Lsass.exe ngay lập tức dưới chân họ sẽ được tô sáng trongmàu hồng: một cài đặt Windows XP bình thường có chỉ là một thể hiện của Lsass.exerằng quá trình Winlogon tạo ra khi hệ thống khởi động (Wininit tạo ra nó trên WindowsVista và cao hơn) Cây quá trình tiết lộ rằng hai trường hợp Lsass.exe mới đã được tạo rabởi services.exe (không nhìn thấy trong ảnh chụp màn hình), Service Control Manager,

mà ngụ ý rằng Stuxnet bằng cách nào đó có mã của nó vào quá trình services.exe.Process Explorer cũng có thể kiểm tra chữ ký kỹ thuật số trên các tập tin, bạn bắt đầubằng cách mở hộp thoại thuộc tính quá trình hoặc DLL và nhấp vào nút Verify, hoặc bằngcách chọn Image Xác nhận chữ ký tùy chọn trong menu Options Kiểm tra quá trình Lsasscác rogue xác nhận rằng họ đang chạy hình ảnh Lsass.exe chứng khoán: