Annunci
RSS

Archivio mensile:luglio 2012

Stuxnet Worm (Iranian centrifuge destroyer)

What the news says it was ??

– Iranian centrifuge destroyer

  • It’s one goal was to destroy the Iranian nuclear  program

– Developed by the United States and Israel
– ‘Mission: Impossible’-like virus
– It will kill your unborn children

  • Assuming they are born in a hospital using PLC (Programmable Logic Controllers
    ) machines

 

What it really was ??

– Malware that spread on networks to infect systems running WinCC
and PCS 7 SCADA
– Took advantage of the fact that PLCs are usually unsecured
– Once inside, had the ability to reprogram PLC controlling
machinery

  • Gave the possibility of altering how machinery being controlled will run

– Self-replicates through removable drives exploiting a vulnerability allowing auto-
execution. Microsoft Windows Shortcut ‘LNK/PIF’ Files Automatic File Execution
Vulnerability
– Spreads in a LAN through a vulnerability in the Windows Print Spooler. Microsoft
Windows Print Spooler Service Remote Code Execution Vulnerability
– Spreads through SMB by exploiting the Microsoft Windows Server Service RPC
Handling Remote Code Execution Vulnerability
– Copies and executes itself on remote computers through network shares.
– Copies and executes itself on remote computers running a WinCC database
server.
– Copies itself into Step 7 projects in such a way that it automatically executes
when the Step 7 project is loaded.
– Updates itself through a peer-to-peer mechanism within a LAN.
– Exploits a total of four unpatched Microsoft vulnerabilities, two of which are
previously mentioned vulnerabilities for self-replication and the other two are
escalation of privilege vulnerabilities
– Contacts a command and control server that allows the hacker to
download and execute code, including updated versions.
– Contains a Windows rootkit that hide its binaries.
– Attempts to bypass security products.
– Fingerprints a specific industrial control system and modifies code on the
Siemens PLCs to potentially sabotage the system.
– Hides modified code on PLCs, essentially a rootkit for PLCs

Targeted Attack !!

The goal is not to blow up the centrifuge!
It will induce problems slowly, making sure that all sites get affected
before problems surface.
It holds the aggressive DEADFOOT condition only for short periods, and
then resumes undisturbed operation for periods of many days.

Results of the Stuxnet attack

In late 2009 or early 2010, Stuxnet destroyed
about 1,000 IR-1 centrifuges out of about 9,000
deployed at Natanz FEP
It rattled the Iranians, who were unlikely to know
what caused the breakage
It delayed the expected expansion of the plant
It consumed a limited supply of centrifuges to
replace those destroyed.

 

 

 

 

Annunci
 
1 Commento

Pubblicato da su luglio 23, 2012 in Information Warfare

 

Setiri (troiani/backdoor)

Setiri ` un esempio di una categoria di troiani/backdoor per
Windows estremamente difficile da rilevare che sfrutta:
• la tecnologia Object Linking and Embedding (OLE) per interagire
con l’Internet Explorer della macchina vittima;
• la possibilit` di usare Internet Explorer in modalit` “invisibile”,
cio` senza che compaia nulla che l’utente possa rilevare.

Setiri supporta solo tre comandi:

i) caricare un file; ii) eseguire un programma; iii) scaricare un file.
• Setiri usa una finestra invisibile per “interrogare” il
connection-broker su possibili comandi da eseguire ad intervalli
periodici di tempo;

 
Lascia un commento

Pubblicato da su luglio 21, 2012 in System Analysis

 

Rootkit

 

I rootkit sono pacchetti software installati su sistemi compromessi
per coprire le tracce della violazione e mantenere il controllo,
possibilmente a distanza.

Funzionalit` di un rootkit :

1. Mantenere l’accesso
2. Attaccare altri siti
3. Eliminare le tracce

Mantenere l’accesso: le backdoor

Il mantenimento dell’accesso avviene quasi sempre installando delle
backdoor di vario tipo:
`
• shell in ascolto su una porta TCP “alta”. E una tecnica molto
semplice il cui vantaggio ` di non lasciare traccia nel log di
sistema. Una variante ` installare una versione “troiana” di un
daemon che fornisca una shell se contattato su una porta diversa
da quella di default.
Un’analisi locale con netstat e/o lsof permette di inviduare
abbastanza facilmente questo tipo di backdoor.
netstat -na
lsof -i
Un’analisi remota pu` essere effettuata con nmap.

• Un semplice “miglioramento” della tecnica precedente si ottiene
usando ssh su una porta diversa da quella di default (22).
In questo modo il traffico ` criptato rendendo pi` complessa la
rilevazione da parte di un Intrusion Detection System.
La tecnica di rilevazione ` simile alla precedente.

• UDP listener: i servizi UDP sono molto pi` complessi da
rilevare. Non esistono protocolli standard per l’accesso remoto
basati su UDP ma ` possibile implementare un supporto
minimale con un sforzo molto ridotto.
• ICMP ‘‘telnet’’: ` possibile “incapsulare” i comandi e le
risposte di una sessione telnet nel payload di pacchetti ICMP
(vedi il tool Loki). Questo tipo di backdoor non ` visibile con
netstat o nmap. Il traffico ICMP, inoltre, ` in genere consentito
dalla maggior parte dei firewall.
Una possibilit` di rilevazione ` l’analisi del payload dei pacchetti ICMP

• CGI shell: permettono l’esecuzione di comandi con i privilegi
dell’utente nobody o httpd.
L’output compare nel browser dell’attaccante.
• Reverse shell/telnet: Una backdoor che apre una connessione
DA una macchina vittima AD una macchina dell’attaccante,
non richiede nessuna porta in ascolto e normalmente un firewall `
piu` “permissivo” in uscita.
La connessione pu` essere cifrata in vari modi (cryptcat,stunnel,…).
• Un ulteriore raffinamento ` possibile con una reverse http shell.
In questo caso l’http shell “imita” una connessione da un browser
verso un web server esterno. La connessione appare
perfettamente legale anche ai proxy server. La backdoor puo essereattivata o con speciali pacchetti o, in maniera ancora piuinvisibile, da un timer.

• No-listener backdoor (basate su sniffer). La backdoor non apre
una porta, ma inizia ad intercettare il traffico di rete. Quando
riceve uno specifico pacchetto (non indirizzato alla macchina con
la backdoor), esegue un’azione ed invia una risposta. La risposta
` inviata usando un indirizzo sorgente IP “fasullo” in modo che
la comunicazione non possa essere tracciata all’indietro
(a meno di non analizzare il traffico a livello 2).
Questo tipo di backdoor ` estremamente difficile da individuare
ed inizia a comparire nei rootkit pi` recenti.

`
E interessante notare come i rootkit pi` avanzati cerchino spesso di
coprire le “falle di sicurezza” trovate in un sistema per impedire ad
altri attaccanti di prendere a loro volta il controllo.

 
Lascia un commento

Pubblicato da su luglio 21, 2012 in System Analysis

 

FILES UNIX/LINUX

Tre tipi di files:
• Files ordinari
• Directories (Cartelle)
• Files speciali (device, socket, etc.)
Il sistema assegna a ciascun file un identificatore numerico, detto i-
number (“inode-number”), che permette di rintracciarlo nel file system.
L’inode stesso è una struttura dati che contiene informazioni sul file

Informazioni nell’i-node :

Permessi di accesso ai file :

ls –la
-rwxrw-r-x     user group    filename
drwxrwxr-x   user group    dirname
(u) (g) (o)
r=read, w=write, x=execute (per i file ordinari)
r=leggi, w=crea/cancella, x=ricerca (per le directory)
r=leggi, w=scrivi, x=n/a (per i file speciali, quali i device)
chmod a+w filename (a sta per all=user+group+other)
chmod g-xw filename
chown, chgrp: cambiano rispettivamente proprietario/gruppo

 
Lascia un commento

Pubblicato da su luglio 21, 2012 in System Analysis

 

File e file system !!

File e file system !!.

 
Lascia un commento

Pubblicato da su luglio 21, 2012 in System Analysis