Tärkein Antivirus Stuxnet-mato-tietokonevirus?
Antivirus

Stuxnet-mato-tietokonevirus?

Stuxnet-mato-tietokonevirus?
Anonim
  • Perusasiat
  • kirjoittanutMary Landesman

    Teknologiakirjailija, joka nimitettiin yhdeksi naisista, jotka seuraavat IT-turvallisuutta.

    Stuxnet on tietokonemato, joka kohdistuu sellaisiin teollisuuden ohjausjärjestelmiin (ICS), joita käytetään yleisesti infrastruktuurin tukipalveluissa (esim. Voimalaitokset, vedenkäsittelylaitokset, kaasulinjat jne.).

    Mahan sanotaan usein löytäneen ensimmäisen kerran vuonna 2009 tai 2010, mutta sen tosiasiallisesti todettiin hyökänneen Iranin ydinohjelmaan jo vuonna 2007. Tuolloin Stuxnetia löydettiin pääasiassa Iranista, Indonesiasta ja Intiasta, ja niiden osuus oli yli 85%. kaikista infektioista.

    Sittemmin mato on vaikuttanut tuhansiin tietokoneisiin monissa maissa, tuhonnut jopa kokonaan jotkut koneet ja pyyhkäissyt suuren osan Iranin ydinsentrifugista.

    Mitä Stuxnet tekee?

    Stuxnet on suunniteltu muuttamaan kyseisissä tiloissa käytettäviä ohjelmoitavia logiikkaohjaimia (PLC). ICS-ympäristössä PLC automatisoi teollisuuden tyyppisiä tehtäviä, kuten virtausnopeuden säätämistä paineen ja lämpötilan ohjaamiseksi.

    Se on rakennettu levittämään vain kolmeen tietokoneeseen, mutta jokainen niistä voi levitä kolmeen muuhun tietokoneeseen, ja näin se leviää.

    Yksi sen ominaisuuksista on leviäminen paikallisen verkon laitteisiin, joita ei ole kytketty Internetiin. Esimerkiksi, se saattaa siirtyä yhteen tietokoneeseen USB: n kautta, mutta leviää sitten muihin reitittimen takana oleviin yksityisiin koneisiin, joita ei ole määritetty pääsemään ulkopuolisille verkoille, aiheuttaen intranet-laitteille tosiasiallisesti tartunnan toisiinsa.

    Alun perin Stuxnet-laiteohjaimet allekirjoitettiin digitaalisesti, koska ne varastettiin laillisista sertifikaateista, jotka koskivat JMicron- ja Realtek-laitteita, minkä ansiosta se pystyi asentamaan itsensä helposti ilman käyttäjän epäilyttäviä ohjeita. Siitä lähtien VeriSign on kuitenkin peruuttanut sertifikaatit.

    Jos virus laskeutuu tietokoneelle, johon ei ole asennettuna oikeaa Siemens-ohjelmistoa, se pysyy hyödyttömänä. Tämä on yksi merkittävä ero viruksen ja muiden välillä, koska se on rakennettu erittäin erityiseen tarkoitukseen eikä se "halua" tehdä mitään turhaa muissa koneissa.

    Kuinka Stuxnet saavuttaa PLC: t?

    Turvallisuussyistä monet teollisissa ohjausjärjestelmissä käytetyistä laitteistoista eivät ole internetyhteyttä (ja usein jopa edes kytketty mihinkään paikallisiin verkkoihin). Tämän torjumiseksi Stuxnet-mato sisältää useita hienostuneita leviämistapoja tavoitteena lopulta tavoittaa ja tartuttaa STEP 7 -projektitiedostot, joita käytetään PLC-laitteiden ohjelmointiin.

    Alkuvaiheessa mato kohdistaa tietokoneisiin, joissa on Windows-käyttöjärjestelmä, ja yleensä tämä tapahtuu flash-aseman kautta. PLC itsessään ei kuitenkaan ole Windows-pohjainen järjestelmä, vaan pikemminkin patentoitu konekielinen laite. Siksi Stuxnet vain kulkee Windows-tietokoneiden päästäkseen järjestelmiin, jotka hallitsevat PLC: itä, joille se tuottaa hyötykuormansa.

    Ohjelmoidaksesi PLC: n, Stuxnet-mato etsii ja tartuttaa STEP 7 -projektitiedostot, joita käyttää Siemens SIMATIC WinCC, valvonta- ja tiedonkeruu- (SCADA) ja ihmisen ja koneen käyttöliittymä (HMI) -järjestelmä, jota käytetään PLC: ien ohjelmointiin.

    Stuxnet sisältää erilaisia ​​rutiineja tietyn PLC-mallin tunnistamiseksi. Tämä mallitarkastus on välttämätön, koska konetason ohjeet vaihtelevat erilaisissa PLC-laitteissa. Kun kohdelaite on tunnistettu ja tartunnan saanut, Stuxnet saa ohjauksen siepata kaikki tiedot, jotka virtaavat PLC: hen tai poistuvat siitä, mukaan lukien mahdollisuus peukaloida näitä tietoja.

    Nimet Stuxnet menee

    Seuraavassa on joitain tapoja, joilla virustentorjuntaohjelma voi tunnistaa Stuxnet-mato:

    • F-Secure : Trojan-Dropper: W32 / Stuxnet
    • Kaspersky : Rootkit.Win32.Stuxnet.b tai Rootkit.Win32.Stuxnet.a
    • McAfee : Stuxnet
    • Norman : W32 / Stuxnet.A
    • Sophos : Troj / Stuxnet-A tai W32 / Stuxnet-B
    • Symantec : W32.Temphid
    • Trend Micro : WORM_STUXNET.A

    Stuxnetillä voi olla myös joitain "sukulaisia", jotka käyvät nimillä kuten Duqu tai Flame.

    Kuinka poistaa Stuxnet

    Koska Siemens-ohjelmisto on vaarassa, kun tietokone on saanut tartunnan Stuxnetillä, on tärkeää ottaa heihin yhteyttä, jos epäillään tartuntaa.

    Suorita myös koko järjestelmän skannaus viruksentorjuntaohjelmalla, kuten Avast tai AVG, tai tilattavalla virustunnistimella, kuten Malwarebytes.

    On myös välttämätöntä pitää Windows ajan tasalla, minkä voit tehdä Windows Update -sovelluksella.