21. Yüzyılın En Tehlikeli Bilgisayar Virüsü Hala Yaşıyor

admin Haberler Leave a comment 5 Views


21. Yüzyılın En Tehlikeli Bilgisayar Virüsü, İran'ın nükleer programlısını hala canlı olarak yerle bir etti. Stuxnet'in Gerçek Hikayesinin ne olduğunu ve Kaspersky Lab'ın İran'ın nükleer yakıt zenginleştirme programını engelleyen kötü amaçlı yazılımı nasıl takip ettiğini öğrenin.

Endüstriyel yönetim sistemlerini hedef alan yeni keşfedilen kötü amaçlı yazılım, ICS topluluğundan herhangi bir şekilde çözmeyi kolaylaştırmak için merak uyandırdığını ve aç olduğunu keşfetti.

FireEye araştırmacıları bugünlerde, belirli bir özel PLC SIM parçasına bir ortadaki adam saldırısı yoluyla bir Siemens PLC simülasyonu (SIM) ortamını (operasyonel bir ortam değil) hedefleyen sözde Irongate ICS/SCADA kötü amaçlı yazılımına ilişkin bulgularını detaylandırdılar. kod. SIM ortamları, mühendislerin PLC kodlarını kontrol ettikleri her yerde ölçüm yapar; bu, FireEye ile adım adım olarak Irongate'in olduğu gibi ICS operasyonları için gerçek bir tehdit oluşturmadığını ve şu ana kadar herhangi bir saldırı veya deneme belirtisi olmadığını gösterir. Araştırmacıların bir kavram kanıtı olabileceğine inandıkları Irongate, görünüşe göre radyo algılamasının altındaydı ve birkaç kez değişiyordu. 2012 yılına kadar uzanıyor, ancak geçen yılın sonlarına kadar birkaç örneğinin VirusTotal'a yüklendiği zaman keşfedilmedi: o zaman bile, antivirüs tarayıcıları onu anlayamadı. FireEye, kod içinde bazı SCADA referanslarını fark ettiğinde örnekleri tersine mühendislik yaptı.

ICS/SCADA güvenlik topluluğu, kötü üne sahip Stuxnet saldırısının ilk kez 2010'da ortaya çıkması ve yapısökümüne uğramasından bu yana endüstriyel süreçleri manipüle etmeye veya düzeltmeye odaklanan yepyeni bir kötü amaçlı yazılım dalgasını bekliyor. Stuxnet'in geri dönülebilir tehditlerin habercisi olduğu tahminlerine rağmen halka açık bir şekilde ortaya çıktı. Irongate herhangi bir Stuxnet değildir, ancak bazı yönlerden ona benzer: Stuxnet gibi Irongate de belirli bir Siemens sistemini hedefler ve belirli bir yöntemi değiştirmek için kendi DLL'lerini kullanır. Her kötü amaçlı yazılım ailesi, tespit edilmekten kaçınmak için kendi başına çok az polis çalışması yapacaktır: Stuxnet, atlamak için bir virüsten koruma yazılım paketi ararken, Irongate, korumalı alanları ve farklı sanal ortamları ortadan kaldırarak yakalanmayacaktır.

2 kötü amaçlı yazılım ailesinin kod tabanlarıyla herhangi bir bağ yoktur ve Irongate'in solucan benzeri bir yayılma işlemi veya Stuxnet gibi ulus devlet aktörleriyle herhangi bir görünür bağı yoktur. Aslında, Irongate şu ana kadar gerçek bir saldırı bile değil. Araştırmacılar herhangi bir kurbanın kanıtına sahip değiller, ancak yaratıcının hedeflediği belirli özel simülasyon yöntemiyle ilgili ayrıntılı bir içgörü ve bilgiye sahip olması gerektiğini iddia ediyorlar. Irongate, Siemens PLC sırasındaki güvenlik açıklarından yararlanmaz ve PLC'nin kendisine saldırmaz.

“Stuxnet sonrası, herkes aynı şekilde, bu genellikle ICS kötü amaçlı yazılımını açığa çıkarmak için ilerliyor. Ancak, bunu görmeme eğilimimiz var. FireEye Mandiant'ın ICS yöneticisi Rob yazarı, bu genellikle bu teknikleri kopyalayan sistem kötü amaçlı yazılımlarının başlıca örneğidir" diyor. Irongate, Stuxnet kadar karmaşık veya rafine değil, ancak sanal alanlardan kurtulacak -Stuxnet'in yapamayacağı bir şey, diyor. Araştırmacılar, Irongate'in bir ulus devletin, bir siber suçlunun veya ICS'ye yönelik tehditleri test eden bir araştırma görevlisinin eseri olup olmadığının belirsiz olduğunu söylüyor. “ABD için soru şu ki, simüle edilmiş bir atmosfer ise, o zaman nedir? Birisi bunu bir üretim ortamına götürmeden önce simüle edilmiş bir [ortam] sırasında mı deniyor? Yoksa bir araştırma görevlisinin konuşma iletişimi mi, 'bakın ne yapacağım… Stuxnet tipi bir sorun'," diyor FireEye Mandiant ICS Consulting'in kıdemli yöneticisi Dan Scali. Güvenlik uzmanları, her iki durumda da, Irongate'in icadının, ICS/SCADA topluluğunu bir araya getiren bir uyanış olması gerektiğini söylüyor.


Burada Yeni Stuxnet Yok

stuxnet-1024x549

Bir SANS öğretmeni ve ICS/SCADA uzmanları olan Robert M. Lee, Irongate'in kendisinin yeni nesil bir Stuxnet veya farklı bir tehdidi temsil etmediğini, ancak ICS/SCADA güvenliğinin temel bir dezavantajının altını çizeceğini söylüyor. Lee, "Bu, belirli bir [saldırı] yeteneğinin bir göstergesi değil, kalem testçileri, güvenlik firmaları ve aynı şekilde düşmanlar tarafından bu sırada gösterilen ilginin bir göstergesi" diyor. “Aslında sahip olduğum olumsuzluk… iş dünyasının çoğunluğunun buna cevap verebileceğinden emin değilim. orada ne olduğunu anlamama eğilimimiz var; antivirüs firmaları onu bulamıyor ve bulsalar bile, BM ajansı onunla [tehdit] ne yapacağını anlayacak mı?”

Lee, BM teşkilatının Irongate'in arkasında olduğunu görmenin zahmetli olduğunu söylüyor, ancak bunun gerçek bir saldırı olduğu konusunda tükenmiş değil. "Bu, bir güvenlik şirketi, bir güvenlik aracını göstermek için yerleştiriyor gibi görünüyor veya bir kalem kontrolü ve araştırma görevlisi, bir proje için birlikte yerleştiriyor" diyor. "Bu bir ruh aracı değil – ancak yine de hayati önem taşıyor." Irongate kodunun VirusTotal'a öncelikle İsrail merkezli birinden manuel olarak yüklendiğini belirtiyor.

Bu arada FireEye, Irongate'in bazı işlevlerinin gelecekteki ICS/SCADA kötü amaçlı yazılım ve saldırılarının bir parçası olabileceğini söylüyor. FireEye iSIGHT Intelligence'ın saldırı sentezi lideri Sean McBride, “Gelecekteki ICS kötü amaçlı yazılımlarının vahşi doğada konuşlandırılacağı korumalı alan kaçırma ve dosya değiştirme saldırılarını hayal ettiğimde şok olmazdım” diyor. Siemens Step yedi PLC simülasyon atmosferinde özel PLC mantık kodu yazıldığında ve test edildiğinde uygun olan Irongate, PLC kontrol koduna karşı ortadaki adam saldırısı yürütür ve Siemens sisteminde kullanılan Dinamik Bağlantı Kitaplığı'nı (DLL) ile değiştirir. kendi içinde kötü niyetli biri. FireEye, bir VMware veya Cuckoo sanal alanı gözlemlerlerse bir dizi Irongates damlatıcısının çalışmayacağını buldu.

Araştırmacılar, PLC yöntemi Irongate'in simüle ettiğini anlamadıklarını söylese de, bir dizi bilgiyi basınç ve sıcaklık simülasyonlarıyla ilişkilendirebildiler. Yazar, "Bu durumda güvenlik açığı, ICS operatörlerinin kendi kodlarını yazdıktan sonra inandıkları bir şeye ektir: imzalanmayan kod, dolayısıyla değiştirilir" diyor.

Web Bağları?

FireEye, Irongate'in PLC SIM sorunlarını kapsayan bir mühendislik günlüğünde saldırgan olduğu yöntemle aynı kod örnekleri buldu. Yazar, "Kod, internette serbestçe bulunan bazı PLC simülasyon kodu örneklerini kontrol ediyor gibi görünüyor, bu da önsezimizi bilgilendirmeye yardımcı oldu [Irongate] aynı zamanda bir kavram kanıtıdır" diyor. "Orada halka açık bazı demo kodları ile korkunç derecede aynı."

Copyright statement: Unless otherwise noted, this article is Collected from the Internet, please keep the source of the article when reprinting.

Tags

Check Also

Divi's Theme Builder ile Özel Global Başlık Nasıl Oluşturulur

Artık Tema Oluşturucu burada olduğuna göre, web sitenizi A'dan Z'ye kurmanıza yardımcı olacak yeni eğitimlere dalmak için sabırsızlanıyoruz. Buna Divi'nin yerleşik seçeneğini kullanarak özel başlıklar oluşturma da dahildir. Bu eğitimde Divi's Theme Builder'ı kullanarak global bir başlık oluşturmaya odaklanacağız. Bu sayfaya veya gönderiye farklı bir başlık atamadıysanız, web sitenizin her yerinde genel bir başlık görünecektir.

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Powered by WordPress | Designed by TieLabs
© Copyright 2026, All Rights Reserved