Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

Irongate ICS malware

A Stuxnet példáját követő, ICS rendszerekre fókuszáló malware-t fedezett fel a FireEye

2016. június 03. - icscybersec

A tegnapi napon az IT biztonsági szaksajtó és az ICS kiberbiztonsággal foglalkozó blogok sorban hozták le a hírt, hogy a FireEye Labs Advanced Reverse Engineering (FLARE) csapata még 2015-ben több verziót is felfedezett egy kifejezett ICS rendszerekre specializált malware-családból, aminek elsődleges célja különböző ipari folyamatok manipulálása lehet.

 A FLARE-nél a malware-családnak az Irongate nevet adták (úgy látszik a marketingesek az ICS biztonsági eseményeknél is megvalósítják azt az IT biztonságban már elterjedt szokást, amit néhány éve Buherátor nagyon frappánsan foglalt össze az azóta jobblétre szenderült buhera blogon: "A biztonsági cégek nagyjából a Stuxnet óta néhány havonta iszonyatos marketing csinnadrattával ünneplik egy-egy új "APT" kártevő felfedezését, elemzéseket, sajtóközleményeket adnak ki, konferenciát szerveznek, a marketing osztálynak meg kiadják, hogy a legújabb "csodafegyver" márkanevétől ihletten rajzoljanak vagány illusztrációkat - így végül saját sikerükként adják el azt, hogy éveken keresztül nem voltak képesek elvégezni azt a feladatot, amiért az ügyfeleik fizettek nekik.")

Az Irongate-tel kapcsolatban több furcsa dologra is fel lehet figyelni, az első az, hogy a malware-t nem "aktív működés" közben találták és a szakértők szerint (jelenleg) nem jelent kiemelt kockázatot a produktív ipari rendszerek számára. A Siemens ProductCERT sietve erősítette meg, hogy az Irongate malware nem életképes produktív Siemens ICS rendszerek esetén és a működéséhez nem használ fel Siemens rendszerekben lévő ismert vagy 0-day sérülékenységeket. A FLARE jelenleg nem tudja az Irongate-családot bármilyen támadáshoz vagy támadóhoz kapcsolni, a rendelkezésükre álló információk alapján az Irongate egy proof-of-concept vagy kutatási célból létrehozott malware lehet, amivel különböző ICS rendszerek elleni támadási technikákat vizsgálhattak a mindezidáig ismeretlen alkotók.

A FLARE elemzése alapján az Irongate kulcs funkciója a megtévesztéshez használt Man-in-the-middle támadás, amivel a támadók manipulálni tudják az ICS rendszer és az operátor közötti adatforgalmat (ezzel egy Stuxnet-hez hasonló, adathamisítást előidéző támadást megvalósítva). Ennek eléréséhez a malware a legitim DLL-t egy saját változatra cseréli, ami innentől kezdve ügynökként beépül a PLC és a monitoring szoftver közé majd egy 5 másodperces normál forgalmat rögzít és ismétel a monitoring rendszer felé, miközben eltérő adatokat küld vissza a PLC-nek. Ezzel a módszerrel a támadónak lehetősége van az operátor tudta nélkül megváltoztatni a folyamatok vezérlését.

Az Irongate másik figyelemre méltó funkciója a sandbox-ban történő vizsgálat elkerülését szolgálja. Az Irongate malware dropperei közül több nem indul el, ha VmWare vagy Cuckoo Sandbox környezetben próbálják vizsgálni a működését. Ez a tulajdonság arra enged következtetni a kutatók szerint, hogy a malware-t, bár tesztelési céllal készíthették, ártó szándékkal tesztelhették az alkotói.

Ugyan a komplexitás vagy a terjedési módszerek terén az Irongate nem mérhető össze minden ICS incidensek mérföldkövével, a Stuxnet-tel, számos olyan módszert és funkciót használ, amiket a Stuxnet alkotói is használtak az iráni atomprogram urándúsító centrifugáinak tönkretétele során és új funkciók is megjelentek, amik eddig nem voltak jellemzőek az ICS-fókuszú malware-ekre.

- A malware minden változata egy-egy jól meghatározott folyamatot keres;
- Mindegyik egy DLL lecserélésével éri el a keresett folyamat manipulálhatóságát;
- A Stuxnet antivírus szoftvert kereső rutinjánhoz hasonlóan az Irongate figyeli, hogy tesztkörnyezetben/sandbox-ban fut-e;
- Az Irongate aktívan rögzíti és visszajátsza a folyamatok eredeti adatait, hogy elrejtse a manipuláció jeleit, szemben azzal, hogy a Stuxnet csak felfüggesztette az S7-315-ös eszközök normál működését, így az iráni operátorok előtt statikus adat jelent meg. Ehelyett az Irongate által rögzített és visszajátszott adatok továbbra is "élőnek" tűnnek, így még nehezebb felfedezni, hogy a háttérben valaki manipulálja a folyamatot.

A FireEye elemzése további, mélyen technikai részletekkel itt érhető el: https://www.fireeye.com/blog/threat-research/2016/06/irongate_ics_malware.html

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr48776276

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása