پرداخت حق عضویت سالیانه سایت
تبلیغات
کانال تلگرام مجستیک
ویروس استاکس نت و سیستم های کنترلی زیمنس Wincc، PCS7 و Supervisory Control And Data Acquisition SCAD
ویروس استاکس نت و سیستم های کنترلی زیمنس Wincc، PCS7 و Supervisory Control And Data Acquisition SCAD
طریقه آلوده شدن
این کرم در وهله اول از طریق فلش مموری های قابل حمل سیستم ها را آلوده می نماید سپس از طریق شبکه و نرم افزار مونیتورینگ Wincc به آلوده کردن سیستم های دیگر می پردازد. در این روش، ویروس دارای یک شمارشگر است و تعداد دفعاتی که یک حافظه می تواند باعث آلودگی شود، به سه دفعه محدود شده است. این محدودیت نشان می دهد که ویروس نویسان نمی خواستند که دامنه آلودگی گسترش یابد و تاکید داشته اند که انتشار آلودگی فقط محدود به چند کامپیوتر اطراف آلودگی اولیه باشد. همچنین در روش انتشار از طریق شبکه محلی، یک آلودگی فقط در سه هفته اول به دیگر ماشین های داخل شبکه، انتشار می یابد و پس از آن، هیچگونه فعالیتی برای شیوع و انتشار خود انجام نمی دهد. اما عجایب Stuxnet به اینجا ختم نمی شود. این کرم همچنین از یک حفره ویندوز که در سال ۲۰۰۸ توسط به روز رسانی MS08-067 اصلاح شده بود نیز استفاده می کند. این نقص امنیتی همان آسیب پذیری مورد استفاده کرم Conficker در اواخر سال ۲۰۰۸ و اوائل سال ۲۰۰۹ بود که به میلیون ها سیستم در سراسر جهان آسیب وارد کرد. زمانی که Stuxnet از طریق USB وارد یک شبکه می شود، با استفاده از آسیب پذیری های EoP حق دسترسی admin به سایر PC ها را برای خود ایجاد می کند، سیستم هایی را که برنامه های مدیریت WinCC، PCS 7و SCADA اجرا می کنند پیدا می کند، کنترل آنها را با سوء استفاده از یکی از آسیب پذیری های print spooler یا MS08-067 در اختیار می گیرد، و سپس کلمه عبور پیش فرض زیمنس را برای در اختیار گرفتن نرم افزار SCADA آزمایش می کند. سپس مهاجمان می توانند نرم افزار (Programmable Logic Control) PLC را مجددا برنامه ریزی کنند تا دستورات جدید را مطابق میل خود صادر نمایند. این بد افزار به عنوان یک Malware بسیار غیر معمول به نظر می رسد. اینگونه طراحی به علم کاملی از پروسه های صنعتی نیاز دارد. ضمن آنکه این کرم به طرز غیر معمولی در اندازه بزرگ می باشد و حدود۵/۰ مگابایت است. همچنین به زبان های برنامه نویسی متفاوتی از جمله C و ++C نوشته شده است که برای یکMalware عادی نمی باشد. این کرم دارای دو Certificate دزدیده شده از JMicron و Realtek می باشدکه به آن اجازه می دهد برای مدت طولانی نا شناخته و پنهان باقی بماند. از قابلیت های دیگر آن این است که از طریق روش Peer to Peer قابل ارتقاء یافتن است. این بدافزار، هم زمان چهار نقص امنیتی اصلاح نشده ویندوز را مورد سوء استفاده قرار می دهد که سوء استفاده از این تعداد آسیب پذیری برای یک بدافزار بسیار زیاد است. بنا بر اطلاعات ارائه شده توسط مایکروسافت، این ویروس همچنین می تواند در یک وب سایت، اشتراک های شبکه از راه دور یا در فایل های Word نیز مخفی شده و از این طریق به گسترش آلودگی بپردازد.
ادامه مطلب