новый червь Win32/Stuxnet атакует

[VSimanin 39]

При запуске этой вредоносной программы используется ранее неизвестная уязвимость в обработке файлов с расширением LNK, содержащихся на USB-накопителе. Выполнение вредоносного кода происходит благодаря наличию уязвимости в Windows Shell, связанной с отображением специально подготовленных LNK-файлов. Новый способ распространения может повлечь появление других злонамеренных программ, использующих такую технологию заражения, поскольку на данный момент уязвимость остается открытой. "Злоумышленники постарались разработать свою программу таким образом, чтобы она привлекала к себе как можно меньше внимания, - комментирует Александр Матросов, руководитель Центра вирусных исследований и аналитики российского представительства компании ESET. - Способ заражения Win32/Stuxnet тоже уникален, так как ПО использует неизвестную ранее уязвимость. А возможность проникновения вируса на ПК через USB-накопители позволяет в короткие сроки получить большую распространенность".

Win32/Stuxnet также может обходить технологию HIPS (Host Intrusion Prevention System), которая защищает от попыток внешнего воздействия на систему. Это стало возможным благодаря наличию во вредоносной программе файлов, имеющих легальные цифровые подписи.

"Скорее всего, создание Win32/Stuxnet имеет целевую направленность, так как общеизвестных способов монетизации при анализе данного вредоносного ПО выявлено не было, - добавляет Александр Матросов. - Что касается географии распространения червя, высокое проникновение угрозы именно в США, возможно, связано с целевой атакой, задачей которой является промышленный шпионаж".

Распространение Win32/Stuxnet в странах мира

США 57,71%

Иран 30,00%

Россия 4,09%

Индонезия 3,04%

Фарерские острова 1,22%

Великобритания 0,77

Турция 0,49%

Испания 0,44%

Индия 0,29

Остальные страны 1,73

MVP Enterprise Security

Сообщение в блоге: http://www.securitylab.ru/blog/personal/tecklord/12729.php

Несмотря на вектор распространения, новый червь, эксплуатирующий уязвимость при обработке ярлыков, становится очень популярным. Казалось бы, что подобному вектору распространения вредоносного ПО давно должен был прийти конец. Ведь черви подобным образом распространяются еще со времен Elk Cloner (1982 год). И теперь, 28 лет спустя, мы видим тот же вектор атаки, только скорость и масштабы заражения гораздо выше.

Хронология событий

10.07.2010

Белорусская антивирусная компания VirusBlok

da (VB

) сообщает о появлении новой вредоносной программы.

US-CERT получает уведомление об атаке с использованием 0-day уязвимости в Microsoft Windows.

15.07.2010

Данные об уязвимости попадают в публичный доступ

16.07.2010

Microsoft выпускает уведомление безопасности, в котором подтверждает наличие уязвимости

19.07.2010

В публичном доступе появляется эксплоит

Уязвимые системы

Microsoft Windows XP SP2/SP3

Microsoft Windows 2003 SP2

Microsoft Windows Vista SP1/SP2

Microsoft Windows 2008 SP0/SP2

Microsoft Windows 7

Windows Server 2008 R2 for x64-based Systems

В настоящий момент антивирусы распознают червя следующим образом:

Symantec: W32.Temphid

Kaspersky: Rootkit.Win32.Stuxnet.a

TrendMicro: RTKT_STUXNET.

F-Secure: Rootkit.Stuxnet.

Sophos: W32/Stuxnet-B

Bitdefender: Rootkit.Stuxnet.

vast: Win32:Stuxnet-B

Microsoft: Trojan:WinNT/Stuxnet.

VG: Rootkit-Pakes.

G

PCTools: Rootkit.Stuxnet

Eset: Win32/Stuxnet.

GData: Rootkit.Stuxnet.

hnLab: Backdoor/Win32.Stuxnet

DrWeb: Trojan.Stuxnet.1

Fortinet: W32/Stuxnet.

!tr.rkit

Ikarus: Rootkit.Win32.Stuxnet

Norman: W32/Stuxnet.D

Скорость распространения червя: 1000 хостов/день.

Основной метод распространения – USB носители.

Как происходит заражение

Уязвимость заключается в ошибке при обработке ярлыков (.lnk) файлов. Червь распространяется через инфицированные USB устройства. Заражение происходит, когда пользователь открывает диск автоматически с помощью функционала автозапуска, либо при открытии диска непосредственно в Windows Explorer или аналогичном менеджере файлов. Специально сформированный ярлык заставляет Windows Shell подгрузить внешнюю динамическую библиотеку, которая выполняет произвольный код с привилегиями пользователя, запустившего Windows Explorer.

Текущий вариант червя осуществляет следующие действия на системе:

1. Червь копирует себя в файлы:

%System%driversmrxcls.sys

%System%driversmrxnet.sys

Некоторые образцы имеют цифровую подпись Realtek Semiconductor Corporation.

2. Регистрирует себя (mrxcls.sys) в качестве службы под названим MRXCLS.

3. Создает ключ в реестре

HKEY_LOC

L_M

CHINESYSTEMCurrentControlSetServicesMRxCls­"ImagePath" = "%System%driversmrxcls.sys"

4. Регистрирует файл mrxnet.sys в качестве службы под названием MRXNET

5. Создает ключ в реестре

HKEY_LOC

L_M

CHINESYSTEMCurrentControlSetServicesMRxNet­"ImagePath" = "%System%driversmrxnet.sys"

6. Скрывает файлы под именами:

%DriveLetter%~WTR[FOUR NUMBERS].tmp

Посредством перезаписи следующих

PI:

FindFirstFileW

FindNextFileW

FindFirstFileExW

NtQueryDirectoryFile

ZwQueryDirectoryFile

После успешного запуска червь завершает работу служб, содержащих следующие имена:

vp.exe

Mcshield.exe

avguard.exe

bdagent.exe

UmxCfg.exe

fsdfwd.exe,

rtvscan.exe

ccSvcHst.exe

ekrn.exe

tmpproxy.exe

Червь собирает информацию о сетевых настройках и серверах в локальной сети. Может подключаться к следующим адресам:

ww.windowsupdate.com

www.msn.com

www.mypremierfutbol.com

www.todaysfutbol.com

Червь распространяется путем создания файлов:

%DriveLetter%~WTR4132.tmp

%DriveLetter%~WTR4141.tmp

%DriveLetter%Copy of Shortcut to.lnk

%DriveLetter%Copy of Copy of Shortcut to.lnk

%DriveLetter%Copy of Copy of Copy of Shortcut to.lnk

%DriveLetter%Copy of Copy of Copy of Copy of Shortcut to.lnk

Защита от уязвимости

Пока Microsoft готовит к выпуску исправления, давайте рассмотрим следующие временные решения.

1. Запрет отображения иконок для ярлыков

•Описанные ниже действия приведут к тому, что иконки не будут больше отображаться для арлыков. Отключение возможности отображать ярлыки предотвращает возможность эксплуатации уязвимости на системе.

Запустить редактор реестра (Пуск->выполнить->regedit)

•Перейти к ключу

HKEY_CL

SSES_ROOTlnkfileshellexIconHandler

•Удалить данные для значения (Default)

•Перезапустить Windows Explorer.

2. Отключение службы WebClient

Отключение этой службы позволит устранить вектор атаки путем блокирования наиболее вероятного источника атаки через службу Web Distributed

uthoring and Versioning (WebD

V).

•Пуск->Выполнить->cmd

•sc stop WebClient

•sc config WebClient start= disabled

Отключение этой службы приведет к недоступности WebDav ресурсов.

Источники:

http://www.securitylab.ru/vulnerability/395902.php

http://www.securitylab.ru/poc/395903.php

http://www.microsoft.com/technet/secu...86198.mspx

http://blogs.technet.com/b/mmpc/archi...sting.aspx

http://www.symantec.com/security_resp...99&tabid=2

http://anti-virus.by/press/viruses/3948.html

ftp://anti-virus.by/pub/docs/russian...pHider.pdf

[Bengamin 18]

В настоящий момент антивирусы распознают червя следующим образом:

Интересно, моя Авира распознает, или нет...

[VSimanin 39]

попробуй

http://www.securityfocus.com/bid/41732/exploit

Антивирусные компании детектируют данный червь по сигнатурам, но сигнатура, по которой определяется, что данный ярлык — эксплойт, может меняться.

Возьмем ярлык от публичного PoC (suckme.lnk_) и отправим это чудо на virustotal.com. В итоге мы имеем 27 антивирусов, которые его обнаружили. Теперь откроем панель управления и создадим пару ярлыков, один желательно от Java. Далее переименуем эти ярлыки через консоль:

сopy Java.lnk Java.lnk_

Второй ярлык копируем аналогично первому. Теперь мы можем редактировать их в HEX-редакторе. Обычно все ярлыки имеют указатель в виде Unicode-формата, но Java-ярлык — нет. В итоге мы видим две ссылки на CPL-апплеты, причем для Java — не в Unicode-виде. Меняем путь к CPL (DLL) на наш файл, удаляем посередине лишние байты (fa ff ff ff 20) и сохраняем. Копируем обратно с расширением .LNK. Итоги отправляем на virustotal.com. Для Unicode-ярлыка осталось 11 антивирусов, для Java-ярлыка — 8, то есть 70% антивирусов перестали детектить эксплойт, и среди этих антивирусов такие гиганты, как Symantec, Kaspersky,

VG, NOD32.

[VSimanin 39]

В качестве временного решения можно воспользоваться также утилитой Fix it от компании Microsoft.

Microsoft изменила ранее опубликованное уведомление безопасности, добавив два новых вектора эксплуатации уязвимости:

1.Internet Explorer. Злоумышленник может с помощью специально сформированного Web сайта заставить браузер пользователя загрузить иконку для ярлыка и выполнить вредоносный код на целевой системе.

2.Документы Office. Злоумышленник может встроить специально сформированный ярлык в документ Microsoft Office (или другого офисного пакета, поддерживающего работу со встроенными ярлыками) и скомпрометировать целевую систему.

Это говорит о том, что в скором времени можно ожидать распространение эксплоита через вложенные файлы в email сообщениях.

[VSimanin 39]

Как и прогнозировали вирусные аналитики, создание Win32/Stuxnet вызвало появление новых вредоносных программ, а также модификаций уже известного злонамеренного ПО, использующего данную уязвимость.. Также зафиксированы новые способы распространения подобных угроз.

Теперь заражение может происходить также и через общие сетевые папки

"Ежедневно мы фиксируем несколько тысяч новых заражений Win32/Stuxnet - отмечает Александр Матросов, руководитель Центра вирусных исследований и аналитики компании ESET. – При этом страдают не только промышленные предприятия, но и домашние пользователи. И в ближайшее время мы прогнозируем рост числа вредоносных программ, использующих уязвимость в программной оболочке Windows Shell при обработке LNK-файлов".

[VSimanin 39]

Немецкий эксперт по киберзащите промышленных систем Ральф Лангнер выяснил, что червь Stuxnet был создан с намерением поразить конкретную цель. Лангнер предполагает, что этой целью является атомная электростанция в Бушере (Иран).

Напомним, что Stuxnet был обнаружен специалистами белорусской компании "ВирусБлокАда". Очень быстро стало понятно, что на этот раз антивирусники столкнулись с исключительно хитроумной вредоносной программой, явно созданной профессионалами.

Так, червь распространялся через флеш-накопители при помощи неизвестной ранее уязвимости Windows и, к тому же, был подписан легальной цифровой подписью известной компании (а именно, Realtek). Выяснилось также, что, несмотря на столь эффективные возможности для распространения, Stuxnet интересуется исключительно системами контроля производственными процессами (SC

D

), которые работают под управлением SIM

TIC WinCC корпорации Siemens.

Более пристальное изучение червя антивирусными специалистами выявило, что вредонос содержит ещё несколько эксплойтов, в том числе для так называемых уязвимостей нулевого дня. Эти уязвимости, использующиеся червём для распространения по локальным сетям, были обнаружены специалистами "Лаборатории Касперского", а также, независимо от них, экспертами Symantec. Одну из них в Microsoft уже успели устранить, выпустив соответствующую "заплатку" в начале этого месяца.

Казалось бы, все эти свойства Stuxnet свидетельствуют в пользу гипотезы о том, что речь идёт о промышленном шпионаже. Однако Лангнер недавно обнаружил в коде червя ещё один весьма примечательный фрагмент. Оказалось, что Stuxnet на самом деле интересуется не всеми подряд системами SIM

TIC WinCC, а лишь той, что настроена на работу с определённым программируемым логическим контроллером (ПЛК). При обнаружении именно этого "железа" червь внедряет в него особый код.

Таким образом, очень дорогостоящий червь распространяется по многочисленным компьютерам мира с единственным намерением — найти одну конкретную цель. Очевидно, что для атакующих эта цель имеет особую важность. Очевидно и то, что с атакой долго тянуть нельзя, ведь рано или поздно червь будет обнаружен и исследован.

В связи этим Лангнер предположил, что червь уже, скорее всего, достиг цели. И высказал гипотезу, что этой целью является Бушерская АЭС в Иране. Хотя долгожданный запуск этой станции официально состоялся 21 августа, работу она так и не начала. Вскоре появились признания со стороны высокопоставленных иранских чиновников о том, что к АЭС до сих пор свозится топливо, и задержка вызвана якобы жаркими погодными условиями.

В поддержку гипотезы Лангнера говорят также несколько косвенных фактов, а именно: широкое распространение Stuxnet в Иране и близлежащих странах и игнорирование иранскими атомщиками вопросов киберзащиты. Для иллюстрации второго факта Лангнер приводит скриншот с просроченным WinCC на Бушерской АЭС, а также даёт ссылку на одну из заражённых страничек сайта российского "Атомстройэкспорта", занимавшегося постройкой реактора.

[VSimanin 39]

Китайские эксперты предупредили, что вирус Stuxnet, из-за которого на несколько месяцев был отложен запуск первой иранской атомной электростанции "Бушер", поразил уже более 6 млн персональных компьютеров китайских пользователей, а также внедрился в почти 1 тыс. операционных систем, установленных на корпоративных компьютерах. Для борьбы с ним уже разработано специальное программное обеспечение, распространяемое бесплатно, сообщил ведущий китайский производитель антивирусных программ Rising International Software Co. Ltd.

Специалистам китайской компании удалось выяснить, что компьютерный червь Stuxnet, попадая в новую систему, крадет частную информацию и направляет ее на сервер, расположенный в Соединенных Штатах. Взломать установленное антивирусное программное обеспечение ему удается за счет "багов", или неполадок, в системе автоматического управления Siemens. "Хакеры могут управлять станками и конвейерами предприятия, если их функционирование обеспечивается посредством компьютера, зараженного Stuxnet", - сообщил представитель китайской компании.

Напомним, 29 сентября с.г. Иран сообщил, что АЭС "Бушер" начнет вырабатывать электроэнергию в начале 2011 г., что связано с распространением вредоносной программы Stuxnet. Вирус вмешался в работу компьютеров, принадлежащих сотрудникам атомной электростанции, но не привел, однако, к нарушению работы системы в целом. Иранские специалисты по вопросам безопасности подозревают, что данный компьютерный вирус мог быть атакой, спланированной на государственном уровне. По их мнению, его родиной может являться Израиль или США, выражающие наибольшее недовольство в отношении иранской ядерной программы.

Несмотря на то, что одним из главных подозреваемых в заражении компьютеров ирнской атомной электростанции в Бушере вирусом Stuxnet был “Моссад”, оказалось, что на этот раз евреи не при чем. Подозрения в адрес российских специалистов также оказались напрасными, равно как и обвинения в адрес американских хакеров.

Компания Siemens Systems призналась, что за распространение компьютерного червя и в частности его внедрение в комьютеры иранского ядерного реактора, стоят ее сотрудники. При этом представитель компании подчеркнул, что это было сделано “неумышленно”.

По сообщению немецкой газеты Sueddeutsche Zeitung, за последний месяц как минимум 15 компаний, использовавших технологию Siemens, в том числе электростанции, химические заводы и другие промышленные предприятия, сообщили об обнаружении данного вируса в своих компьютерах.

Cпециалисты Siemens утверждают, что вирус не так опасен, как кажется. Они смогли изолировать его и поместить в тестовую среду для дальнейшего изучения. Однако, пока “исследования не дали никаких определенных результатов, цель вируса и его создатели по-прежнему неизвестны”.