Embed Size (px)
Citation preview
1
و منطقه اي گزارش هشدارهاي مليايدر زمينه تهديدات امنيتي رايانه
Win32/Stuxnetبدافزار: موضوع
تهيه شده در آپا دانشگاه شيرازتخصصي مركز
89مرداد ماه
2
:مقدمه
اولـين بـار در يـك،كشف شـد، VirusBlockAdaتوسط 2010نئژوماهكه Stuxnet كرم
شدايصنعتي سيستم به Stuxnet.و تهاجم عظيمي را عليه اين سيستم ها آغاز كرد راني مشاهده
اسـتفاده قـرار مـورد زيمنس كه در كارخانه هاي بزرگ توليديSCADA1 دنبال سيستم مديريتي
و تالش مي كند اسرار صنعتي را .از طريق اينترنت براي نفوذ كننده بفرستدمي گيرد بوده
، دوربين Flash memory ،External hard diskاز قبيل USB رابط از طريق دستگاه اين كرم
و ديگر دستگاه هايي كه داراي حافظه داخلي هستند، زماني.گسترش پيدا مي كندهاي ديجيتال
مي گرددهاي زيمنس، كدهاي آن به جستجوي سيستممتصل مي شود آلوده به رايانه دستگاهكه
. ديگري كه بيابد، كپي خواهد كردUSB رابط دارايدستگاهو خود را بر روي هر
: Stuxnet كرم اي از عملكردخالصه
، در فرايند پردازش autorun.inf اين كرم از طريق غير معمولي يعني بدون استفاده از فايل
.زندبه سيستم عامل صدمه ميLNK2.فايل هاي داراي پسوند
W32.Tmphider ياW32.Stuxnetهاا باشند كه به تازگيمي3Rootkitيز نوع تهديد
.اندكشف شده
Win32/Stuxnet.B كهكرمي اين. به تمامي درايو هاي قابل حمل سرايت مي كند است
فايل ميانبري را كه داراي فايلي Win32/Stuxnet.Bفرآيند به اين صورت روي مي دهد كه كرم
بر. ست، مي سازدا LNK.با پسوند يكون ميانبرش نمايشآنامه اي كه با وقتي داريو قابل حمل به
كرم. داده مي شود دسترسي پيدا مي كند اين كرم به صورت اتوماتيك اجرا مي شود
Win32/Stuxnet.Bني توانا وصي قرار دادن، ب اجزاي ديگر، درج كد در برنامه هاي در حال اجرا
و اكتساب داده ها1 كنترل نظارت.دي دارندن در سيستم هاي ويندوزي چنين پسوshortcutفايل هاي2.به طوري كه مي تواند كنترل كل سيستم را به دست هكر بدهد.و قدرت بيشتررفتاري مشابه تروجان ها دارد، البته با توانايي3
3
و كنترل كامپيوتري كه مورد حمله واقع شده ي دسترسي پنهاني كه. ند را داردااجازه گفتني است
.آورد متغير استميزان آلودگي كه اين بدافزار در سيستم ها به وجود مي
قبل از اينكه به بيان اطالعات تخصصي بپردازيم بهتر است نام هاي ديگر اين كرم را كه توسط
يا. ويروس ياب ها استفاده مي شود بشناسيم ب آمده در زير اسامي اين كرم به همراه نام ويروس
:است
• Trojan.DR.Stuxnet.B (VirusBuster)
• TR/Stuxnet.m (Avira)
• Trojan-Dropper.Win32.Stuxnet.b (Kaspersky)
• Win32.Worm.Stuxnet.A (Avira)
• Win32/Stuxnet.B (CA)
• Trojan.Stuxnet.1 (Dr.Web)
• Win32/Stuxnet.B (ESET)
• Stuxnet (McAfee)
• Rootkit/Inject.IW (Panda)
• Troj/Stuxnet-C (Sophos)
• WORM_STUXNET.A (Trend Micro)
• Trojan:Win32/Stuxnet.B (other)
4
:اطالعات تخصصيها Rootkit.باشدميRootkitهاي از نوع تهديد W32.Stuxnetشد ذكرهمان طور كه
و تروجان كه از نظر ساختار كاري بسيار شبيه برنامه هايي هستند با اين،هستند4درهاي پشتي ها
هاتفاوت كه شناسايي . بسيار مشكلتر از درهاي پشتي استآن
Rootkit ها عالوه بر اينكه به عنوان يك برنامه كاربردي خارجي مثل شنوندهNetcat و
شSub7پشتي مثلبابزارهاي در جايگزين برنامه هاي همچنينوند بر روي سيستم اجرا مي
و در ازاجرايي مهم سيستم عامل . مي شوند5 مواقع جايگزين خود هستهبعضي
و پنهان شدن در عمق نفوذگرهابه اين ويژگي اين اجازه را مي دهد كه از طريق درب پشتي
ب6ها نصب ردياباببتوانند به اين ترتيبو؛سيستم عامل به آن نفوذ كنند رنامه هايو ديگر
و با خيالي راحتمانيتورينگ بر روي سيستم كه مورد نظر، طي مدت زماني طوالني اطالعاتي را
.نياز دارند بدست آورند
د هاي مديريت فايل باز كنيد؛ اين رايو قابل حمل آلوده به اين كرم را با استفاده از نرم افزارهرگاه
.ي خودش را اجرا مي نمايدكرم برنامه
آآفر هايند و پنهان سازي فايل :لوده كردن سيستم
. ساخته مـي شـود"FJGIJK"يا"FJKIKK"ي به نام mutex در هنگام اجراي اين كرم،
، كه به همراه اين كرم نـصب مـي شـود، يكـي يـا تعـدادي از W32.Stuxnet همچنين تروجان
mutexهاي زير را مي سازد يا باز مي كند :
• @ssd<random hex number>
• Global\Spooler_Perf_Library_Lock_PID_01F
• Global\{4A9A9FA4-5292-4607-B3CB-EE6A87A008A3}
• Global\{5EC171BB-F130-4a19-B782-B6E655E091B2}
4 Backdoor 5 Kernel 6 Sniffer
5
• Global\{85522152-83BF-41f9-B17D-324B4DFC7CC3}
• Global\{B2FAC8DC-557D-43ec-85D6-066B4FBC05AC}
• Global\{CAA6BD26-6C7B-4af0-95E2-53DE46FDDF26}
• Global\{E41362C3-F75C-4ec2-AF49-3CB6BCA591CA}
فايل Win32/Stuxnetكرم. ها به وسيله درايوهاي قابل حمل گسترش مي يابندmutexاين
د :هاي قابل حمل قرار مي دهدرايوهاي زير را در
• ~wtr4132.tmp TrojanDropper:Win32/Stuxnet.B
• ~wtr4141.tmp - Worm:Win32/Stuxnet.B
مدرايو، اين كرم. پنهان مي سازدراLNK.بور به طور خاص فايل هاي داراي پسوندز فايل هاي
از. سازدمي"wtr4132.tmp~"يا"wtr4141.tmp~"ميانبري براي فايل اين ميانبر داراي يكي
:نام هاي زير است
• "Copy of Shortcut to.lnk"
• "Copy of Copy of Shortcut to.lnk"
• "Copy of Copy of Copy of Shortcut to.lnk"
• "Copy of Copy of Copy of Copy of Shortcut to.lnk"
:كندسپس فايل با نام زير را پنهان مي
%DriveLetter%\~WTR[FOUR NUMBERS].tmp
. هاي زير پنهان مي كندAPI فايل ها را با دومرتبه نوشتن
• FindFirstFileW
• FindNextFileW
• FindFirstFileExW
• NtQueryDirectoryFile
6
• ZwQueryDirectoryFile
.ي مي شودي شناساExploit:Win32/CplLnk.Aه نامبLNK.فايل
.ماژول هاي پنهان شده را يافته است Vba32 AntiRootkitكهعكس زير نشان مي دهد
Rootkitرا نخ هاي . در فرايند هاي سيستم اجرا مي كند را پنهان مي كندكهي
AntiRootkit gmerبه روش زير اين ناهنجاري ها را تشخيص مي دهد :
7
:ب بدافزارهاي ديگرصن
: هنگامي كه اجرا مي شود فايل هاي زير را كپي مي نمايدWin32/Stuxnetكرم
• <system folder>\mrxcls.sys Trojan:WinNT/Stuxnet.A
• <system folder>\mrxnet.sys Trojan:WinNT/Stuxnet.B
و mrxcls.sysو mrxnet.sysفايل هاي ي درايور فايل ديگري كه يكي از آنها وظيفه
.درج كد هاي مشكوك را به عهده دارندي وظيفه
دو. قرار مي گيرندSystemRoot%\System32\drivers% اين فايل ها در دايركتوري
: به صورت زير ديده مي شوندgmer anti-rootkitفايل فوق در
ميآنا :دهد كه فايلي كه بخش منابع را دارد، داراي اطالعات زير است ليز درايور كنوني نشان
8
9
ي سيستم<: توجه بدافزار اين مكان را با دادن درخواستي. به مكان متغييري اشاره دارد>پوشه
و 2000محل از پيش تعيين شده براي پوشه سيستم در ويندوز. به سيستم عامل تعيين مي كند
NT آدرس C:\Winnt\System32 و در ويندوزXP, vista آدرس7و
C:\Windows\System32مي باشد .
:و مقاديرشان را به منظور اجرا كپي مي كندزير هاي registry subkeyاين كرم همچنين
HKLM\SYSTEM\CurrentControlSet\Services\MRxCls
HKLM\SYSTEM\CurrentControlSet\Services\MRxNet
مي كند كه وقتي درايور قابل حمل وارد سيستم مي شود همچنين درايورش را به گونه اي نصب
.به طور خودكار اجرا مي شود
:درج كد
يعني رفتاري.ي را در برنامه هاي زير درج كندي ممكن است كدهاWin32/Stuxnet.Bكرم
.مشابه ويروس ها
• explorer.exe
• services.exe
• svchost.exe
• lsass.exe
ي مربوط به شرط بندي برخط ) online(كد درج شده حاوي لينكي است كه به سايت ها
:ي اينترنتي بعضي از اين سايت ها در زير آمده استنشانه. فوتبال اشاره مي كند
• www.mypremierfutbol.com
• www.todaysfutbol.com
10
به،اين كرمهمچنين مي منظور فرستادن به فايروال ها اعمالبه iexplore.exe كد خود را
.نمايد
ي زير را مي سازدWin32/Stuxnet.Bكرم : فايل داده هاي كد شده
• %windir%\inf\mdmcpq3.pnf
• %windir%\inf\mdmeric3.pnf
• %windir%\inf\oem6c.pnf
• %windir%\inf\oem7a.pnf
و بارگذاري مي .كنندكدهاي درج شده فايل هاي فوق را رمزگشاي
قرار مي SystemRoot%\inf% در دايركتوري oem6c.pnfو oem7a.pnfفايل هاي
.گيرند
و كنترل آنها :اجازه دسترسي به درپشتي
و احتماال كارهاي نظير زير Win32/Stuxnet.Bكرم به سرور كنترل از راه دور وصل مي شود
:را انجام مي دهد
:تمام برنامه هاي از قبيل.1
• vp.exe
• Mcshield.exe
• avguard.exe
• bdagent.exe
• UmxCfg.exe
• fsdfwd.exe,
• rtvscan.exe
11
• ccSvcHst.exe
• ekrn.exe
• tmpproxy.exe
SQLاجراي درخواست هاي.2
:برقراري ارتباط با وب سايت هاي خاصي مانند.3
• www.windowsupdate.com
• www.msn.com
• www.mypremierfutbol.com
• www.todaysfutbol.com
و اجراي فايل هاي دلخواه.4 بارگذاري
اطالعاتي در مورد سرورهاي عالوه بر مواردي كه در باال به آن ها اشاره گرديد، اين كرم مي تواند
و پيكر بندي شبكه را در كامپيوترايشبكه اي قابل دسترس وريآجمع آلوده در آن قرار دارد
.نمايد
12
:جلوگيري
: كرم مراحل زير توصيه مي شودبه منظور جلوگيري از حمله اين
ي خود فعال نماييد• .يك فايروال را روي رايانه
ي نرم افزارها را استفاده نماييد• .آخرين نسخه
ب• .رساني نماييد روزآنتي ويروس خود را
.از كاربر محدود كامپيوتر خود استفاده نماييد•
كه• ريضميمههنگامي ي انتقال فايلي ا مي دهيد به هشدارها را باز مي كنيد يا اجازه
.توجه كنيد
.از بارگذاري نرم افزارهاي كه كپي آنها مجاز نيست بپرهيزيد•
.خود را در مقابل حمله هاي مهندسي اجتماعي حفظ كنيد•
.از رمز عبورهاي كه امكان حدس زدن آن ها پايين است، استفاده نماييد•
: صورت دستيدرمان به
.را غيرفعال نماييد) System Restore( به طور موقت سامانه بازيابي.1
.ويروس ياب خود را به روز رساني نمايي.2
.دوباره راه اندازي نماييد) Safe Mode( خود را در حالت امن كامپيوتر.3
و فايل هاي آلوده را تمامي فايل هاي سيستم خود را به وسيله.4 ي ويروس ياب بازبيني كنيد
.حذف نماييد
و توقف سرويس.5 :تعيين محل
.را انتخاب نماييد) Run(ي اجراو سپس گزينه) Start(روي دكمه شروع-
و سپس msc.services عبارت- .نماييد كليكOKي روي دكمه را نوشته
13
و مكان يابي نماييد- و مكان هر كدام از اين. سرويس هاي شناسايي شده را انتخاب در زير نام
و نوع راه اندازي آنها آمده اس :تسرويس ها
MRXCLS: نام
خودكار: نوع راه اندازي
% sys.mrxcls\drivers\%System:مسير
MRXNET: نام
خودكار: نوع راه اندازي
% System%\drivers\mrxnet.sys: مسير
. انتخاب نماييدراPropertiesي زير شاخهActionگزينه-
.نماييد كليك Stopي بر روي دكمه-
بهرStartup نوع- .تغيير دهيد Manualا
. را ببنديدServicesو پنجره كليك كنيدOKي روي دكمه-
.نماييدراه اندازي را مجدداً خود كامپيوتر-
.حذف يا تغيير دهيد افزوده شده به رجيستري را مقادير.6
.نماييدراه اندازي را مجدداًو كامپيوتر خود خارج شويدز ويرايشگر رجيستريا.7
: درايورهاي ايجاد شده توسط كرمپاك كردن
Myروي آيكون-1 Computer كليك راست كرده، سپس به قسمت Properties >
Hardware > Device Managerبرويد .
. كليك كنيدShow Hidden Devices روي قسمت Viewدر منوي-2
و هر دو گزينه Non Plug and Play Driverشاخه-3 و MRXNET را باز كرده
MRXCLSراست كليك كردن روي آن ها، غير فعال كنيدبا .
14
15
بعد از راه اندازي مجدد كارهاي زير را انجام. بعد از اين مرحله، سيستم به راه اندازي مجدد نياز دارد
:دهيد
Registryپاك كردن كليد هاي
و پاك كنيدregedit.exeبعد از اجرا كردن : كليد هاي زير را پيدا كرده
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxCls HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxNet HKLM\System\CurrentControlSet\Enum\Root\LEGACY_MRXCLS
HKLM\System\CurrentControlSet\Enum\Root\LEGACY_MRXCLS\0000
HKLM\System\CurrentControlSet\Enum\Root\LEGACY_MRXNET
HKLM\System\CurrentControlSet\Enum\Root\LEGACY_MRXNET\0000
:پاك كردن فايل هاي مربوط به كرم
فايل هاي زير را كه در پوشه ويندوز قرار دارد پاك كنيد-1
%windir%\inf\mdmcpq3.PNF
%windir%\inf\mdmeric3.PNF
%windir%\inf\oem6C.PNF
%windir%\inf\oem7A.PNF
%windir%\system32\drivers\mrxcls.sys
%windir%\system32\drivers\mrxnet.sys
autorunغير فعال كردن قابليت
. كليك كنيدStartروي دكمه-1
و دكمهgpedit.msc، عبارت Searchدر قسمت-2 . را بزنيد enter را وارد نموده
16
را Administrative Templates گزينه Computer Configurationدر قسمت-3
و به قسمت . برويدWindows Componentsگسترش داده
. كليك كنيدAutoplay Policies روي-4
. دابل كليك كنيدTurn off Autoplayدر قسمت جزئيات، روي-5
و سپس در قسمت Enabledدر پنجره جديد، روي-6 All مقدارOptions كليك كنيد
Drivesرا انتخاب كنيد .
.ويندوز را مجددا راه اندازي كنيد-7
:W32.STUXNETبسته پيشگيري از ابتال به كرم
شگيري از ابتالي سيستم به اين كرم اينترنتي، بايد ضعف امنيتي كه اين كرم با استفاده از براي پي
در. نمود patchآن سيستم را آلوده ميكند از بين برد يا اصطالحا از اين رو كه اين حفره امنيتي
و پيچيده سيستم عامل ويندوز به عنوان كه قرار دارد، طبيShellيكي از قسمتهاي مهم عي است
و پيچيده است .ايجاد يك بسته امنيتي براي از بين بردن آن با حفظ ايستايي سيستم زمان بر
ايجاد كرده است كه Fix Itلذا مايكروسافت براي پيشگيري زود هنگام، بسته اي تحت عنوان
ك. سرويس هاي جزئي مربوط به اين بخش از ويندوز را غير فعال مي كند ه از توجه داشته باشيد
و و وب و سرور مي تواند ... بين بردن اين سرويس ها، تاثيري در سرويسهايي همچون دامنه نداشته
و راه اندازي مجدد به كار خود ادامه دهد اثر اصلي نصب اين بسته كه مشهود. بعد از نصب اين بسته
آيكون ميانبر ها فعال است، از بين رفتن آيكون ميانبرها است، چرا كه حفره امنيتي هنگام بارگذاري
و نفوذ در سيستم را مي دهد و به بد افزار مربوطه اجازه اجرا شدن خودكار، تخريب .شده
لطفا توجه داشته باشيد كه اين بسته با هدف پيشگيري ساخته شده است، لذا سيستم هاي آلوده را
و صرفا از اجراي مجدد جلW32.STUXNETپاكسازي نمي كند مي روي سيستم آلوده وگيري
.نمايد
17
و پيشگيري :چگونگي نصب
پس از اجراي. كه به اين مستند ضميمه شده است را اجرا نماييدMicrosoftFixit50486فايل
و از اين پس آيكون فايل هاي ميانبر شما از معمولي مراحل نصب، سيستم راه اندازي مجدد شده
مو. بين رفته يا به رنگ سفيد در خواهد آمد و اين مشكل قت تاثيري در سرويس دهي سيستم ندارد
.فقط باعث از كار افتادن بخشي از رابط گرافيكي كه داراي حفره امنيتي است مي شود
پس از نصب اين بسته، اقدامات پيشگيرانه ديگري نيز بهتر است انجام شود كه مربوط به بستن راه
:له داراي سه بخش مي باشداين مرح. پخش ويروس از طريق شبكه است داخلي يا خارجي است
اين سرويس مانند بسياري از سرويس ها معموال: WebDAVغير فعال كردن سرويس-1
و با هدف پاسخگويي به درخواست هاي روي وب DELETEو PUTبطور پيش فرض فعال
اين سرويس نيز با داشتن حفره هايي، بخصوص در ويندوز هاي. سرور هاي ويندوز ايجاد شده است
و يا امحاي فايل ها را بطور غير قانوني به مهاجمان مي دهد2003و 2000سرور .، امكان ارسال
:براي غير فعال كردن اين سرويس بطور كامل به اين صورت عمل مي كنيم
a.از منويstart برنامه ،Runرا اجرا مي كنيم
b.در پنجرهRun دستور regedit و را كليك مي كنيمOk را وارد كرده
c.تار درختي سمت چپ پنجره در ساخRegeditبه سلسله مراتب زير مرا جعه مي كنيم :
i.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service
s\W3SVC\Parameters
d.سپس منويEdit و گزينه و در پنجره باز New Value را باز كرده را انتخاب مي كنيم
:د مي كنيمشده مقادير زير را در فيلد هاي ذكر شده وار
Value name: DisableWebDAV
Data type: DWORD
Value data: 1
18
را راه اندازي مجدد IIS سرويس Internet Information Servicesسپس از قسمت مديريت
شدWebDAVبدين ترتيب سرويس. مي كنيم restartيا . غير فعال خواهد
shared) براي داده تسهيم شدهغير فعال كردن، محدود كردن دسترسي يا رمز گذاري-2
data/folders) :و مديران سرور ها سهل الوصول و براي كاربران خبره اين قسمت بسيار متداول
براي اين كار ابتدا بر روي سرور يا كامپيوتر تسهيم كننده داده، به پوشه مربوطه مراجع. مي باشد
و روي آن كليك راست مي كنيم ش. كرده در…shareده گزينه سپس از منوي باز و كليك كرده
سپس در قسمت تحتاني پنجره باز. را كليك كنيدAdvanced Sharingپنجره باز شده دكمه
در پنجره باز شده در اين مرحله، در ليست بااليي. را انتخاب مي كنيمPermissionsشده كليد
و روي Everyoneكاربر ي حال. كليك نماييدremove را انتخاب كرده OKبا انتخاب گزينه
.بطور متوالي عمليات را ثبت كنيد
به: ftp در سرويس دهنده هاي (anonymous)غير فعال كردن كاربر ناشناس-3 با توجه
يا anonymous userتنوع پياده سازي هاي اين سرويس بايد در قسمت تنظيمات
unauthenticated accessرا غير فعال نمود .
و بررسي هاي : صورت گرفتهآمار
از60 نزديـك بـه اطالعات جمع آوري شده توسط شركت سـايمنتك با توجه به تمـامي درصـد
و هندوستان نيز. آلوده شده اند در ايران قرار دارند توسط اين كرمكهيسيستمهاي توسـط اندونزي
گرفته قرار به شدت مورد حمله شناخته شده است Stuxnet كه تحت عنوان اين نرم افزار مخرب
.اند
مدير ارشد فني بخش پاسخگويي ايمني سـايمنتك بـا توجـه بـه" Elias Levy" گفته طبق
كه، توليد شده توسط اين كرم تاريخ نشانه هاي ديجيتالي اين نرم افزار از ماه اين امكان وجود دارد
.ژانويه ميان رايانه ها در گردش بوده است
19
و ديگر كشورها چرا ايرا نمي داند سايمنتك اعالم كرده بـه گفتـه. آلـوده شـده انـد تا اين حـدن
Levy را هـدف قـرار اين نقاط جغرافيايي، شركت هاي خاص تهديدات اين طراحان مي توان گفت
.داده اند
اعالم كـرده دو شـركت در حال حاضرزيمنس تعداد مشتريان خود را در ايران را اعالم نمي كند اما
ي كـه رايگـان اسـكنر سخنگوي اين شركت اعالم كـرد.وده شده اند آلماني به واسطه اين ويروس آل
. استدريافت شده بار 1500 تا كنون ارسال شده است زيمنساوايل هفته توسط شركت
و تغيير مسير ترافيك به وجود آمـده بـه داده هاي سايمنتك خود را به واسطه همكاري با صنايع
و فرمان كرم رايانه اي به سوي رايانه هاي خود جمع آوري كـرده منظور اتصال به سرورهاي كنترل
در. است حضور داشتند تـالش كردنـد بـاIP هزار آدرس14طي دوره اي سه روزه رايانه هايي كه
و فرمان ارتباط برقرار كنند كه اين نشان مي دهد تعداد كمـي از رايانـه هـاي اين سرورهاي كنترل
تعداد دقيق رايانه هاي آلوده مي تواند در حدود. شده اند خانگي در سرتاسر جهان به اين كرم آلوده
. در نظر مي گيرندIPها براي چند رايانه يك آدرس هزار باشد زيرا بسياري از شركت20 تا 15
مورد استفاده سيستمهاي رايانه اي را براي اتصالIP كه سايمنتك مي تواند آدرسهاي از آن جا
و فرمان مشاه رايانه. ده كند، مي تواند تعيين كند كدام رايانه آلوده شده استبه سرورهاي كنترل
و سيستمهاي SCADAهاي آلوده شده به سازمانهاي متعددي تعلق داشتند كه از نرم افزار
.استفاده مي كردند، ويژگي كه به روشني مورد هدف حمله هكرها بوده است
، مـي يابـد انتقـال USB داراي توسط ابزارهـاي Stuxnet، كرمPCworld بر اساس گزارش
كـدهاي آن بـه جـستجوي بـه رايانـه اتـصال پيـدا مـي كنـد، كـرم زماني كه ابزاري آلوده به ايـن
و خود را بر روي هر ابزار كپـي هـستند، USB هاي ديگـري كـه داراي سيستمهاي زيمنس گشته
و دسترسـي بـه داده هدف بدافزار مذكور.خواهد كرد هـاي سيـستم گرفتن حق دسترسي مديريتي
كه Scadaهاي هاي حياتي مورد اسـتفاده قـرار هاي داراي زيرساخت معموالً توسط سازمان است
20
و كلمه عبوري كه در نرم افزار. گيرد مي -hard بـه صـورت Siemens اين بدافزار از نام كاربري
coded وجود دارد، سوءاستفاده مي كند.
ي صنايع پذيري آسيبازبا سوءاستفاده W32.Stuxnet خطرناك كرم نسبت به سيستم ها
هاسرقت اطالعات مهم با توجه به اين نكته كه بيشترين قربانيان اين كرم.است اقدام نموده آن
مي. اند بوده يانايران .شود اين امر زنگ خطري جدي براي صنايع بزرگ كشور محسوب
:وس آمده استدر زير نمودار درصد آسيب پذيري كشورهاي مختلف از اين وير
ازسيستم عامل هايي كه توسط اين كرم تحت تاثير واقع شده :اند عبارتند
Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista,
Windows NT, Windows Server 2003, Windows 2000
.در زير نمودار تاثيرپذيري هر يك از اين سيستم عامل هل آمده است
21
مي اين از تمامي(ويندوز شود تمامي استفاده كنندگان از سيستم عامل رو به طور اكيد توصيه
متصل هستند، نسبت به اعمال هاي صنعتي خصوصاً سيستم افرادي كه به شبكه شركت)ها نسخه
هم اقدام شدهسازي منتشر امن مراحل و هايي نسبت به محدود چنين راهبران چنين شبكه نمايند
.اقدام كنند SCADA افزار نرم SQL غيرمجاز به پايگاه داده سازي دسترسي كاربران
و پذيري نياز است رايانه جلوگيري از انتشار بدافزارهاي مبتني بر اين آسيب براي هاي سيستم ها
و هاي جانبي چنين بايد از سالمت حافظههم. به روز باشندويروس ياب مورد استفاده در سازمان
مي. كرد مخازن تبادل فايل در شبكه سازمان اطمينان حاصل از براي اين منظور توصيه شود كه
تو(استفاده نماييد SysClean برنامه .)تهيه شده است Trend Micro سط شركتاين برنامه
از زيمنس،(econews.ir) به گزارش خبرگزاري اقتصادي ايران از كليه كاربران خواسته است
مي Wincc افزار نرم هايي كه در آنها بر تمام رايانه USB حافظه گفتني. شود، خودداري ورزند اجرا
قد نرم windows control centerيا Wincc است رتمندي است كه شركت زيمنس آن را افزار
.كردن ابزارهاي قابل دسترس يك اپراتور در صنعت فراهم نموده است به منظور كامل
22
درپذيري بررسي ميانب آسيب پذيري به همراه استفاده تركيبي از اين مورد آسيب سوء:هشدار رها
هـاي شـركت هـاي كـامپيوتري خصوصاَ در شبكه محصول شركت مايكروسافتعامل ويندوز سيستم
ميو كنترل شركت زيمنس PLC فعال در زمينه صنايع كه از تجهيزات را استفاده كنند، سيـستم
. دهد در معرض سرقت اطالعات حساس قرار مي
23
:منابع
http://www.symantec.com/connect/blogs/w32stuxnet-network-information http://www.symantec.com/connect/blogs/distilling-w32stuxnet-components http://www.symantec.com/connect/blogs/hackers-behind-stuxnet http://www.symantec.com/connect/blogs/w32stuxnet-installation-details http://www.symantec.com/connect/blogs/w32stuxnet-commonly-asked-questions http://www.precisesecurity.com/threats/worms/w32-stuxnet/ http://www.norman.com/security_center/virus_description_archive/85143/ http://www.enigmasoftware.com/w32stuxnetlnk-removal/ http://www.ciol.com/Technology/Security/News-Reports/Symantec-updates-against-W32Stuxnet-threat/139108/0/ http://www.thesecurityblog.com/2010/07/w32-stuxnet-%E2%80%94-network-information/ http://en.securitylab.ru/viruses/395907.php http://www.uninstall-spyware.com/uninstallW32Stuxnetlnk.html http://www.secuobs.com/revue/news/242325.shtml
http://www.businessweek.com/idg/2010-07-23/iran-was-prime-target-of-scada-worm.html
