Про вирус Stuxnet

[malaya_zemlya]

Выясняются все новые и новые подробности о вирусе StuxNet, обнаруженый в Июне этого года. Чем вирус необычен? Да много чем...

В первую очередь тем, что умел распространяться на флэшках (используя уязвимость в обратотке файлов lnk) Это уже само по себе экзотично в век Интернета.

Еще он примечателен тем, что использовал не одну, а четыре 0-day (т.е.

Comments

[malaya_zemlya]

Вроде бы, атаковали связку PCS 7 + WinCC + S7. S7 - это точно контроллер.

http://www.langner.com/en/index.htm:

Fact: As we have published earlier, Stuxnet is fingerprinting its target by checking data block 890. This occurs periodically every five seconds out of the WinCC environment. Based on the conditional check in code that you can see above, information in DB 890 is manipulated by Stuxnet.

Interpretation: We assume that DB 890 is part of the original attacked application. We assume that the second DWORD of 890 points to a process variable. We assume that this process variable belongs to a slow running process because it is checked by Stuxnet only every five seconds.

Fact: Another fingerprint is DB 8062. Check for the presence of DB 8062 in your project.

Fact: Stuxnet intercepts code from Simatic Manager that is loaded to the PLC. Based on a conditional check, original code for OB 35 is manipulated during the transmission. If the condition matches, Stuxnet injects Step7 code into OB 35 that is executed on the PLC every time that OB 35 is called. OB 35 is the 100 ms timer in the S7 operating environment. The Step7 code that Stuxnet injects calls FC 1874. Depending on the return code of FC 1874, original code is either called or skipped. The return code for this condition is DEADF007 (see code snipplet).

Кстати, не знаете, что такое "ключ проекта" в документации к библиотеке CEMAT? Его требуют ввести при установке, но что он значит? И почему приведено всего 9 ключей? Это какие-то модификации?

[vovkodav]

на последний вопрос точно не отвечу..
но контроллер хрен атакуешь.. чтобы поменять его программу, нужно как минимум ввести его в режим программирования.. а это механически делается - специальным нажатием..
Через WinCC можно только смотреть состояние объектов и управлять им..
В данном случае, мне кажется имело место тривиальное стечение обстоятельств.. :)
Сложилось так, что данный вирус именно таким образом влиял на WINCC.. по идее он только менял значение таймера..
код DEADF007 - - это вообще детство.. он явно несет смысловую нагрузку.. типа парни хотели потом иметь возможность легко поиском в дебагере отследить.. :)
и кстати.. насколько я помню из курса.. это вообще не возвращемаемы код.. а просто получается значение таймера, т.е похоже что вирус просто отлавливает когда таймер стал к такое состояние? - ну это вообще бред...

[vovkodav]

не совсем так.. он не только отражает, но и может управлять.. т.е. задавать определенные значения для управляющих входов, таймеров (как в данном случае и пр.. Но умные программеры наиболее критические вещи прячут от операторов внутрь и их обойти никак нельзя..

А вируса мозга добиться проще.. на оператора можно повлиять совсем другими, более дешевыми и прогнозируемыми способами.. допустим взяв в заложники члена семьи..

[vovkodav]

путь распространения вируса тоже отслеживается.. :) тем более если его приносят на флешках.. :) и непонятно сработает он или нет.. как любая программа может просто не всстать.. :)