Slide 1

Report
‫سمينار آشنايي با بدافزار ‪Stuxnet‬‬
‫تشريح عملكرد ‪ Stuxnet‬در سيستمهاي‬
‫كنترل صنعتي و روشهاي مقابله با آن‬
‫سيد محمد جاللي‬
‫مرکز تخصص ی آپا دانشگاه صنعتي اصفهان‬
‫آبان‌ماه ‪1389‬‬
‫بخشهاي مختلف سمينار‬
‫‪ ‬امنيت در سيستم‌های کنترل صنعتی‬
‫‪ ‬زیرمؤلفه‌های مولفه‌ي ‪ PLC‬بدافزار‪Stuxnet‬‬
‫‪2‬‬
‫امنيت در سيستمهای کنترل صنعتی‬
‫‪3‬‬
‫ چيست؟‬SCADA
SCADA: Supervisory Control And Data Acquisition 
‫ مشاهده و كنترل فرآيند صنعتي به صورت متمركز‬
4
‫تفاوت امنیت ‪ IT‬و امنیت ‪SCADA‬‬
‫‪‬‬
‫‪SCADA‬‬
‫‪ ‬استفاده از ضدویروس‌ها به دليل تاخیر مشکل است‪.‬‬
‫•‬
‫می‌توان از ضدویروس استفاده کرد‪.‬‬
‫‪ ‬آگاهی‌ها و آموزش‌های امنیتی پایین است‪.‬‬
‫•‬
‫آگاهی‌ها و آموزش‌های امنیتی وجود دارد‪.‬‬
‫‪ ‬اکثر داده‌ها و اطالعات کنترلی به‌صورت رمزنشده مبادله‬
‫•‬
‫مي‌توان از تکنیک‌های رمزنگاری استفاده نمود‪.‬‬
‫•‬
‫امکان تست نفوذپذیری روتین وجود دارد‪.‬‬
‫•‬
‫وصله‌های امنیتی مرتب وجود دارد و توصيه‬
‫می‌شوند‪.‬‬
‫‪ ‬تست نفوذپذیری ممکن است مخرب باشد‪.‬‬
‫‪ ‬وصله‌های امنیتی نامرتب و اعمال آن‌ها ممکن است‬
‫مخرب باشد‪.‬‬
‫‪5‬‬
‫•‬
‫‪IT‬‬
‫مي‌شود كه اعمال شوند‪.‬‬
‫تفاوت امنیت ‪ IT‬و امنیت ‪ - SCADA‬ادامه‬
‫‪ ‬بی شک امنیت ‪ IT‬مهم است‪.‬‬
‫‪ ‬عواقب نقض امنیت ‪IT‬‬
‫‪ ‬مالی‬
‫‪ ‬نقض حریم خصوص ی‬
‫‪ ‬نیاز به پیکره بندی مجدد سامانه ها‬
‫‪ ‬ارسال نامه های ناخواسته کندی اجرای فرامین و ‪....‬‬
‫‪ ‬ولی زندگی جریان دارد!‬
‫‪6‬‬
‫تفاوت امنیت ‪ IT‬و امنیت ‪ - SCADA‬ادامه‬
‫‪ ‬ناامنی در سیستم‌های ‪ SCADA‬زندگی در دنیای واقعی را تحت تاثیر قر ‌ار‬
‫میدهد‪.‬‬
‫‪ ‬عواقب نقض امنیت ‪SCADA‬‬
‫‪ ‬کشته و زخمی شدن انسانها‬
‫‪ ‬نابودی تاسیسات‬
‫‪7‬‬
‫روش‌های ممکن برای ایجاد اختالل‬
‫‪ ‬انکار سرویس ‪DOS‬‬
‫‪ ‬جلوگیری از دستیابی اپراتور به سیستم‌ها و عدم امکان مشاهده وضعیت یا‬
‫صدور فرمان‌های کنترلی‬
‫‪ ‬گمراه‌سازی اپراتور‌‬
‫‪ ‬گمراه‌سازی اپراتور و تشويق به انجام اقدامات اشتباه بر اساس اطالعات‬
‫نادرست‬
‫‪ ‬دست‌کاری مستقیم تجهیزات صنعتی‬
‫‪ ‬ارسال غیرمجاز فرمان به تجهیزات‬
‫‪8‬‬
‫توصیه‌های ایمنی‬
‫‪ ‬استفاده سیستم‌عامل مناسب و امن متناسب با شرایط سازمان‬
‫‪ ‬به‌روزرسانی مداوم سیستم‌عامل و نصب وصله‌های امنیتی‬
‫‪ ‬استفاده از نرم‌افزار ضدبدافزار مناسب و به‌روزرسانی مداوم آن‬
‫‪ ‬طبقه‌بندی رایانه‌ها و الیه‌بندی شبکه و استفاده از ‪ firewall‬در هر الیه‬
‫‪ ‬استفاده از حداقل سطح دسترس ی در حساب کاربری به هنگام اتصال ‌رایانه‬
‫به اینترنت یا حافظه‌هاي جانبی‬
‫‪9‬‬
‫توصیه های ایمنی خاص سامانه های کنترل صنعتی‬
‫‪ ‬محدودسازی و کنترل دسترس ی به سامانه‌های صنعتی‬
‫‪ ‬محدودسازی و کنترل ارتباط‌هاي شبکه‌ي اداری‪ ،‬شبکه‌ي کنترلي و شبکه‌ي صنعتی‬
‫‪ ‬تشکیل گروه‌های کاری متشکل از متخصصان ‪ IT‬و متخصصان کنترل صنعتی‬
‫‪ ‬حمایت از توسعه و بهبود دانش و تجربه امنیت در سامانه های صنعتی‬
‫‪ ‬طراحی امنیتی شبکه های جدید و طراحی مجدد شبکه‌های موجود‬
‫‪10‬‬
‫زير مؤلفههای مولفهي ‪ PLC‬بدافزار ‪Stuxnet‬‬
‫« مختص نرم‌افزارها وسخت‌افزارهاي شركت ‪» Siemens‬‬
‫‪11‬‬
Stuxnet ‫ بدافزار‬PLC ‫زير مؤلفههای مولفهي‬
 Driver
 Project
 WinCC
 CPU
12
Stuxnet ‫ بدافزار‬PLC ‫زير مؤلفه های مولفهي‬
 Driver
 Project
 WinCC
 CPU
13
PLC ‫ ارتباط با‬Driver ‫تغيير‬
SIMATIC
Manager
PLC
s7otbxdx.dll
Request code
block from
PLC
S7blk_read
Show PLC
code block
Modified STL
code block
‫ آلوده‬Driver
Modified STL
code block
Modified STL
code block
s7otbxsx.dll
S7blk_read
‫ سالم‬Driver
14
‫تغيير ‪ Driver‬ارتباط با ‪ - PLC‬ادامه‬
‫‪ ‬هدف از آلوده كردن ‪ 3 Driver‬چیز است‪:‬‬
‫‪ ‬مانيتوركردن بلوك‌هاي كدي كه خوانده يا نوشته مي‌شوند‪.‬‬
‫‪ ‬آلوده‌كردن ‪ PLC‬با تزريق كد يا تغيیر كد قبلي آن‌ها‬
‫‪ ‬مخفي‌كردن اين موضوع كه ‪ PLC‬آلوده شده است‪.‬‬
‫‪15‬‬
‫تغيير ‪ Driver‬ارتباط با ‪ - PLC‬يك نمونه‬
‫‪ Driver‬سالم‬
‫‪16‬‬
‫‪ Driver‬آلوده‬
‫تغيير ‪ Driver‬ارتباط با ‪ - PLC‬ادامه‬
‫‪ ‬راه تشخيص‬
‫‪ ‬چك كردن وجود فايل با نام ‪s7otbxsx.dll‬‬
‫‪ ‬راه پاك‌سازي‌‬
‫‪ ‬نصب دوباره نرم‌افزارهاي ‪( Siemens‬راه‌حل بهتر)‬
‫‪ ‬حذف ‪ s7otbxdx.dll‬و تغيیر نام ‪ s7otbxsx.dll‬به ‪s7otbxdx.dll‬‬
‫‪17‬‬
Stuxnet ‫ بدافزار‬PLC ‫زير مؤلفه های مولفهي‬
 Driver
 Project
 WinCC
 CPU
18
‫آلودگي پروژههاي ‪Step7‬‬
‫‪ ‬پوشه‌هايي حاوي فايل‌هاي ‪ S7P‬را آلوده مي‌كند‪.‬‬
‫‪ ‬پروژه‌هاي داخل فايل‌هاي ‪ zip‬هم مي‌توانند آلوده شوند‪.‬‬
‫‪ ‬بازكردن پروژه‌هاي آلوده منجر به آلودگي رايانه‌ها مي‌شود‪.‬‬
‫‪ ‬با بازكردن پروژه‌هاي آلوده به نسخه‌ي جديدتر ويروس‪ ،‬نسخه‌ي‬
‫جديدتر جايگزين مي‌شود‪.‬‬
‫‪19‬‬
‫تشخيص آلودگي پروژههاي ‪Step7‬‬
‫‪ ‬بدافزار اين فايل‌ها را ايجاد مي‌كند‪.‬‬
‫‪xutils\listen\xr000000.mdx ‬‬
‫‪( ‬فایل اصلی بدافزار با حجم ‪)487KB‬‬
‫‪xutils\links\s7p00001.dbf ‬‬
‫‪xutils\listen\s7000001.mdx ‬‬
‫‪20‬‬
‫ ادامه‬- Step7 ‫تشخيص آلودگي پروژههاي‬
xutils\listen\
xutils\links\
21
‫تشخيص آلودگي پروژههاي ‪ - Step7‬ادامه‬
‫‪ ‬درون تمام زيرپوشه‌هاي پوشه‌ي «‪ »hOmSave7‬يك فايل ‪ dll‬كپي مي‌كند‪.‬‬
‫‪ ‬ممكن است نام‌هاي متفاوتي به آن داده ‌شود‪)s7hkimdb.dll( .‬‬
‫‪ ‬با بازكردن يك پروژه‌ي آلوده در يك سيستم سالم اين ‪ dll‬آلودگي را منتشر مي‌كند‪.‬‬
‫‪22‬‬
‫پاكسازي پروژههاي ‪Step7‬‬
‫‪ ‬استفاده از نرم‌افزارهاي ضدويروس كه به روز‌رساني شده‌اند‪(.‬راه‌حل بهتر)‬
‫‪ ‬حذف فايل‌هاي اضافه شده‬
‫‪xutils\listen\xr000000.mdx ‬‬
‫‪( ‬فایل اصلی بدافزار با حجم ‪)487KB‬‬
‫‪xutils\links\s7p00001.dbf ‬‬
‫‪xutils\listen\s7000001.mdx ‬‬
‫‪ dll ‬كپي شده در تمام زيرپوشه‌هاي پوشه‌ي «‪»hOmSave7‬‬
‫‪23‬‬
Stuxnet ‫ بدافزار‬PLC ‫زير مؤلفه های مولفهي‬
 Driver
 Project
 WinCC
 CPU
24
WinCC ‫تشخيص آلودگي‬
.‫ بدافزار اين فايل‌ها را ايجاد مي‌كند‬
GracS\cc_alg.sav 
)487KB ‫ (فایل اصلی بدافزار با حجم حدود‬
GracS\db_log.sav 
GracS\cc_tag.sav 
GracS\cc_tlg7.sav 
25
‫تشخيص آلودگي ‪ - WinCC‬ادامه‬
‫‪26‬‬
‫پاكسازي ‪WinCC‬‬
‫‪ ‬استفاده از نرم‌افزارهاي ضدويروس كه به روز‌رساني شده‌اند‪(.‬راه‌حل بهتر)‬
‫‪ ‬حذف فايل‌هاي اضافه شده‬
‫‪GracS\cc_alg.sav ‬‬
‫‪( ‬فایل اصلی بدافزار با حجم حدود ‪)487KB‬‬
‫‪GracS\db_log.sav ‬‬
‫‪GracS\cc_tag.sav ‬‬
‫‪GracS\cc_tlg7.sav ‬‬
‫‪27‬‬
Stuxnet ‫ بدافزار‬PLC ‫زير مؤلفه های مولفهي‬
 Driver
 Project
 WinCC
 CPU
28
‫آلودگي پردازندههاي ‪PLC‬‬
‫‪ ‬هدف نهايي ‪ Stuxnet‬تغيیر كد ‪PLC‬ها است‪.‬‬
‫‪ ‬فقط سيستم‌هاي ‪ Siemens‬آلوده مي‌شوند‪.‬‬
‫‪ ‬بسته به خصوصيات سيستم كنترلي هدف‪ ،‬كدهاي تزريق شده فرق مي‌كند‪.‬‬
‫‪ ‬دو نوع كد جهت تزريق در ‪ PLC‬در بدافزار پيدا شده است‪.‬‬
‫‪ ‬كد نوع اول ‪ PLC‬با پردازنده ‪ 315‬را آلوده مي‌كند‪.‬‬
‫‪ ‬كد نوع دوم ‪ PLC‬با پردازنده ‪ 417‬را آلوده مي‌كند‪.‬‬
‫‪29‬‬
‫مراحل آلودگي پردازندههاي ‪PLC‬‬
‫‪ ‬ابتدا نوع پردازنده را چك مي‌كند‪.‬‬
‫‪ ‬اگر ‪ 6ES7-315-2‬يا ‪ 6ES7-417‬نباشد روند آلودگي را ادامه نمي‌دهد‪.‬‬
‫‪‬‬
‫‪ SDB‬را چك مي‌كند براي تعيین اين‌كه آيا بايد روند آلودگي ادامه پيدا كند‪.‬‬
‫‪ ‬هدف از چك كردن ‪ SDB‬معلوم نيست‪.‬‬
‫‪‬‬
‫‪ FC1869‬با كد آلوده‌اي كه داخل ‪ Stuxnet‬تعبيه شده جايگزين مي‌شود‪.‬‬
‫‪ ‬به اين ترتيب كنترل ‪ profibus‬را به دست مي‌گیرد‪.‬‬
‫‪30‬‬
‫مراحل آلودگي پردازندههاي ‪ - PLC‬ادامه‬
‫‪ ‬ساختار شكل صفحه‌ي بعد به داخل ‪ PLC‬تزريق مي‌شود‪.‬‬
‫‪‬‬
‫‪ OB1‬به شكلي آلوده مي‌شود كه با اجراي هر سيكل كد تزريق شده در ‪ PLC‬اجرا شود‪.‬‬
‫‪ OB1 ‬بزرگ‌تر مي‌شود‪ .‬كد آلوده به ابتداي آن اضافه مي‌شود‪ .‬كد اصلي به بعد از آن كپي مي‌شود‪.‬‬
‫‪‬‬
‫‪31‬‬
‫‪ OB35‬به شكلي آلوده مي‌شود كه در شرايط خاص ي جلوي اجراي ‪ OB1‬را بگیرد‪.‬‬
‫ساختار كد نوع اول‬
‫‪32‬‬
‫ساختار كد نوع دوم‬
‫‪33‬‬
‫تشخيص آلودگي پردازندههاي ‪PLC‬‬
‫‪ ‬استفاده از رايانه‌ي بدون آلودگي و پروژه‌ي خام‬
‫‪ ‬ابتداي ‪ OB1‬آلوده با كد نوع اول اين دستورات را مي‌بينيد‪:‬‬
‫‪UC FC1865‬‬
‫‪POP‬‬
‫‪L DW#16#DEADF007‬‬
‫‪==D‬‬
‫‪BEC‬‬
‫‪L DW#16#0‬‬
‫‪L DW#16#0‬‬
‫‪34‬‬
‫تشخيص آلودگي پردازندههاي ‪ - PLC‬ادامه‬
‫‪ ‬ابتداي ‪ OB35‬آلوده با كد نوع اول اين دستورات را مي‌بينيد‪:‬‬
‫‪UC FC1874‬‬
‫‪POP‬‬
‫‪L DW#16#DEADF007‬‬
‫‪==D‬‬
‫‪BEC‬‬
‫‪L DW#16#0‬‬
‫‪L DW#16#0‬‬
‫‪ ‬ابتداي ‪ OB1‬آلوده با كد نوع دوم اين دستورات را مي‌بينيد‪:‬‬
‫‪UC FC6083‬‬
‫‪35‬‬
‫پاكسازي پردازندههاي ‪PLC‬‬
‫‪ ‬برنامه‌ي داخل پردازنده‌ها حذف شوند‪.‬‬
‫‪ ‬با يك رايانه‌ و پروژه‌ي بدون آلودگي دوباره برنامه‌ريزي شوند‪.‬‬
‫‪ ‬هشدار!‬
‫‪ ‬پيش از بازكردن پروژه با انجام روند تشخيص آلودگي پروژه‌ها از عدم آلودگي آن‌ها مطمئن شويد‪.‬‬
‫‪ ‬در صورت ‪ Download‬كد‪ ،‬با رايانه‌ي آلوده يا پروژه‌هاي آلوده‪ PLC ،‬پاك‌سازي نشده است‪.‬‬
‫‪ ‬فايل‌هاي پشتيبان پروژه‌ها حتي اگر ‪ zip‬شده باشند ممكن است آلوده باشند‪.‬‬
‫‪36‬‬
‫جمعبندي‬
‫‪ Driver ‬ارتباط با ‪ PLC‬آلوده مي‌شود‪.‬‬
‫‪ ‬در ‪ PLC‬كدهايي را تزريق مي‌كند و كدها را از ديد استفاده‌كننده مخفي مي‌كند‪.‬‬
‫‪ ‬پروژه‌هاي ‪ step7‬آلوده مي‌شوند‪.‬‬
‫‪ ‬مي‌توانند آلودگي را نیز به يك رايانه‌ي سالم منتقل كنند‪.‬‬
‫‪ ‬پروژه‌هاي ‪ WinCC‬آلوده مي‌شوند‪.‬‬
‫‪ ‬عالوه بر انتقال آلودگي مي‌توانند اطالعات را به سرقت ببرند‪.‬‬
‫‪ ‬پردازنده‌ها آلوده مي‌شوند‪.‬‬
‫‪ ‬ممكن است در نحوه‌ي كار سيستم كنترل اخالل ايجاد شود‪.‬‬
‫‪37‬‬
‫جمعبندي ‪ -‬ادامه‬
‫‪ ‬آلودگی ‪PLC‬ها می‌تواند مستقل از آلودگی رایانه‌های محیط صنعتی باشد‪PLC( .‬هاي‬
‫آلوده‪ ،‬رايانه‌هاي پاك و يا بالعكس)‬
‫‪ ‬برای پاک‌سازی باید رایانه‌ها‪ ،‬پروژهها و پردازنده‌ها پاالیش شوند‪.‬‬
‫‪ ‬هدف بدافزار از تزريق كد درون ‪ PLC‬معلوم نيست زيرا‪:‬‬
‫‪ ‬با اين‌كه تغيیرات بدافزار در كد ‪ PLC‬مشخص شده است‪.‬‬
‫‪ ‬اما ساختار سيستم كنترلي كه جزء اهداف بدافزار بوده را نمي‌دانيم‪.‬‬
‫بگیريد!‬
‫‪ ‬پس نشانه‌ها و اشکاالت غیرمتعارف سيستم كنترل را جدي ‌‬
‫‪38‬‬
‫تماس بگيريد‪...‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫در صورت مشاهدهی وقایع نامتعارف‬
‫سایت‌های تولید نرمافزارهای صنعتی‬
‫نياز به آموزش‬
‫نياز به ايجاد گوهر در سازمان‬
‫نياز به اطالعات بیشتر‬
‫‪http://www.certcc.ir‬‬
‫‪http://www.nsec.ir‬‬
[email protected]
‫‪39‬‬
40

similar documents