مروري بر ويروس استاكسنت و چگونگي حذف آن!
مقدمه
” Stuxnet ” کرم اینترنتی که آرام و بی صدا در دل صنعت ایران می خزید و قلب تپنده صنايع توليدي کشورمان را نشانه رفته بود، یکدفعه با کشف ناگهانی اش آنچنان هیاهویی برپا کرد که در کمتر از چند دقیقه به عنوان اول اغلب خبرگزاری های مهم بین المللی همچون 1CNN ، 2Reuters و 3Washington Post تبدیل گردید.
محققان مراكز امنيتي هم با اظهار نظرهايي سريع، سعي در تشريح اين كرم داشته و شرکت امنیتی Symantec اعلام می کند که رایانه های ایران مورد هجوم شدید کرم خطرناکي به نام Stuxnet قرار گرفته اند که اطلاعات سیستم های کنترل صنعتي4 را سرقت كرده و بر روی اینترنت قرار مي دهد.
محمود لیالی رئیس شورای فناوری اطلاعات وزارت صنایع و معادن کشورمان نيز علاوه بر اينكه هدف گيري اين كرم را در راستاي جنگ الكترونيكي عليه ايران مي داند، از شناسايي شدن 30 هزار IP صنعتي آلوده به اين كرم در ايران خبر داده است.
Stuxnet ، نخستین کرم صنعتی جهان است که با هدف حمله سایبری به زیرساخت های حیاتی صنعت ایران، آسیب به تأسیسات هسته ای نطنز و در نهایت، تأخیر در راه اندازی نیروگاه اتمی بوشهر طراحی و منتشر شده است.
اين كرم قادر به ایجاد اخلال در تجهیزات حساس مانند تخریب سرعت چرخش روند بالا از آرایه های سانتریفیوژ و کاهش تعداد سانتریفیوژهای غنی عملیاتی، كنترل فعاليت هاي صنعتي، محدودیت دور توربین، روغن کاری و یا بستن سیستم های خنک کننده، تخریب لوله های گاز و حتی انفجار دیگ های بخار کارخانجات مختلف است.
ساير نام ها
اين كرم در شركت هاي امنيتي، به نام هاي زير شناخته مي شود:
Troj/Stuxnet-A [Sophos], W32/Stuxnet-B [Sophos], W32.Temphid [Symantec], WORM_STUXNET.A [Trend], Win32/Stuxnet.B [Computer Associates], Trojan-Dropper:W32/Stuxnet [F-Secure], Stuxnet [McAfee], W32/Stuxnet.A [Norman], Rootkit.Win32.Stuxnet.b [Kaspersky], Rootkit.Win32.Stuxnet.a [Kaspersky]
سیستم های آسیب پذیر
Microsoft Windows 2000 , Windows 95 , Windows 98 , Windows Me , Windows NT , Windows Server 2003 , Windows Vista , Windows XP on 32-bit Platforms
پراکنش جغرافيايي
Stuxnet براي حمله به نقاط جغرافیایی خاص، طراحی و منتشر شده است. علاوه بر ایران، کشورهای اندونزی و هند نیز مورد هجوم این نرم افزار مخرب قرار گرفته اند.
خبرگزاری چین هم در خبری اعلام کرده است كه: ” Stuxnet در بیش از شش میلیون رایانه چینی نفوذ کرده و مقامات پکن نگران هستند این کرم رایانه های بیشتری را در چین مورد حمله قرار دهد “.
تاریخچه کشف
بيست و دوم تیرماه سال جاری5، شرکت امنیتی VirusBlockAda بلاروس، نخستین بار Stuxnet را در رایانه یکی از مشتریان ایرانی خود مشاهده و کشف نمود.
این موضوع، در تاریخ بيست و چهارم تيرماه هم توسط شرکت زیمنس6 آلمان گزارش گردید و یک ماه بعد، هنگامي که شرکت مایکروسافت7 تأیید کرد که این کرم در حال هدف قرار دادن سیستم های ویندوز در مدیریت سیستم های کنترل صنعتی بزرگ موسوم به SCADA8 است، به شهرت رسید.
اگرچه متخصصان امنيت هنوز در مورد زمان آغاز به کار Stuxnet اتفاق نظر ندارند ولی به گفته ” الیاس لووی ” مدیر ارشد فنی بخش ” پاسخگویی ایمنی سایمنتک ” با توجه به تاریخ نشانه های دیجیتالی که از این کرم رایانه ای به جا مانده، می توان گفت كه از دي ماه 1388 اين كرم میان رایانه ها در گردش بوده و ماه ها بدون شناسایی شدن به کار خود ادامه داده است.
نامگذاری
فایل ایجاد شده توسط Stuxnet از نام MYRTUS برای نفوذ در رایانه ها استفاده می کند. میرتاس کلمه ای با ریشه عبری است که اشاره به داستان ” استر ” دارد. استر، زن دوم خشایار شاه در ایران باستان است که زنی یهودی بوده و با وساطت عموی خود مردخاوی که از مشاوران پادشاه ایران بود، خشایار راضی به ازدواج با او می شود. بر این اساس، استر ملکه یهودیان شناخته می شود.
علاوه بر این، MYRTUS ممکن است به قطعات معروف به RTU9 که یکی از ویژگی های مدیریت سیستم های SCADA است اشاره داشته باشد. همچنین عدد 19790509 در درون کد این کرم، شايد بيانگر تاریخ 9 مه 1979 یعنی روز “Habib Elghanian” ، یک یهودی فارسی که در تهران اعدام شد نيز باشد.
طراحي و سازماندهي
Stuxnet که تقریباً نیم مگابایت حجم دارد به چندین زبان مختلف از جمله C، C++ و سایر زبان های شیء گرا نوشته شده است. اين كرم، چنان در استفاده از آسیب پذیری های اصلاح نشده ويندوز ماهر است كه كارشناسان امنیت معتقدند تیمی متشکل از متخصصانی با پشتوانه قوی و دارای انواع تخصص ها از Rootkit گرفته تا Database، آن را ایجاد کرده و هدایت می کنند. Symantec هم تخمین می زند که پنج تا ده نفر، شش ماه روی این پروژه کار کرده اند.
محققان Symantec و Kaspersky اعتقاد دارند با توجه به شناسایی کاملی که این کرم انجام می دهد، پیچیدگی کد و خطرناک بودن حمله آن، صرفاً نمي تواند كار یک گروه حرفه اي هک خصوصی باشد.
به نظر آن ها، منابع و هزینه های مورد نیاز برای انجام این حمله به همراه ریسک بالایی که پروژه در پی داشته است، آن را خارج از قلمرو یک گروه هک خصوصی قرار داده و تنها دولت ملی می تواند توانایی های آن را داشته باشد. همچنين، تیم ایجادکننده کرم به سخت افزار فیزیکی واقعی نيز برای تست نياز داشته اند.
متخصصان با در نظر گرفتن تمامی شرایط، محتمل ترین سناریو در مورد این كرم را یک گروه هک وابسته به سرویس جاسوسی یک کشور مي دانند. گمانه های موثق نيز حاکی از آن است که Stuxnet برای مقابله با برنامه های هسته ای نیروگاه بوشهر، توسط اسرائیل طراحی و به وسيله لپ تاپ پیمانکاران روسی در بوشهر، به تأسیسات هسته ای ایران منتقل شده است.
اگرچه این موضوع هنوز توسط دولت اسرائيل تأييد و اثبات نشده است اما اطلاع از آن می تواند اقدامات پیشگیرانه ایران برای مقابله با ساير روش هاي جاسوسي را با آگاهی بیشتری همراه کند.
عملکرد
محققان ابتدا فكر مي كردند که Stuxnet فقط از یک آسیب پذیری اصلاح نشده ویندوز سوء استفاده مي كند10 و از آن به عنوان کرم نفوذ کننده از میان برهای ویندوز نام مي بردند.
متخصصان Symantec و Kaspersky براي به دست آوردن اطلاعات بيشتر، كد اين كرم را مورد بررسی و تحلیل عمیق تر قرار دادند. نخست در مدت یک هفته تا یک هفته و نیم، حفره Print spooler11 توسط محققان Kaspersky پیدا شده، سپس حفره EoP12 (تغییر حق دسترسی) ویندوز هم توسط این شرکت امنیتی کشف و حفره دوم EoP نیز توسط كارشناسان مایکروسافت شناسایی گردید. محققان Symantec هم به طور جداگانه آسیب پذیری Print spooler و دو آسیب پذیری EoP را در مرداد ماه پیدا کرده و كدهاي مخربي كه اين سه آسيب پذيري اصلاح نشده ويندوز را هدف قرار مي دهد، شناسايي نمودند.
اما عجایب Stuxnet كه همزمان می تواند از چهار نقص امنیتی اصلاح نشده ویندوز، برای دسترسی به شبکه ها سوء استفاده کند به اینجا ختم نمی شود. این کرم همچنین از یک حفره ویندوز13 که در سال 2008 توسط به روز رسانی MS08-067 اصلاح شده بود نیز استفاده می کند. این نقص امنیتی همان آسیب پذیری مورد استفاده کرم Conficker در اواخر سال 2008 و اوائل سال 2009 بود که به میلیون ها سیستم در سراسر جهان آسیب وارد کرد.
هنگامي که Stuxnet از طریق درايو USB آلوده وارد یک شبکه می شود، با سوء استفاده از آسیب پذیری های EoP حق دسترسی Admin به سایر pcها را برای خود ایجاد كرده و سیستم هایی که برنامه های مدیریت Siemens SIMATIC WinCC وpcs 7 scada را اجرا می کنند پیدا می کند. سپس کنترل آن ها را با سوء استفاده از یکی از آسیب پذیری های Print spooler یا MS08-067 در دست گرفته و رمز عبور پیش فرض زیمنس را برای در اختیار گرفتن نرم افزار SCADA آزمایش می کند14. بعد، كد خودش را همچون يك Rootkit درون PLC15 بارگزاري و پنهان مي كند تا قابل مشاهده نباشد. آنگاه نرم افزار PLC را دوباره برنامه ریزی کرده و دستورات جدید را طبق اهداف خود صادر می نماید.
نکته قابل توجه این است كه Stuxnet براي قانوني نشان دادن كدهاي حمله خود و اعتباردهي به درايوهايش، دو گواهی معتبر دیجیتالی امضاء شده Realtek و JMicron را سرقت مي كند:
نصب
هنگامي كه يك درايو USB آلوده به كامپيوتر وصل مي شود، Stuxnet خودش را به عنوان فايل هاي زير به كامپيوتر غيرآلوده كپي مي كند:
%System%driversmrxcls.sys
%System%driversmrxnet.sys
سپس فايل mrxcls.sys را به عنوان يك سرويس با مشخصات زير ثبت مي كند:
Display Name: MRXCLS
Startup Type: Automatic
Image Path: %System%driversmrxcls.sys
آنگاه براي اين سرويس، مسير زير را در registry ايجاد مي كند:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMRxCls”ImagePath” = “%System%driversmrxcls.sys”
اين كرم، همچنين فايل mrxnet.sys را به عنوان يك سرويس با مشخصات زير ثبت مي كند:
Display Name: MRXNET
Startup Type: Automatic
Image Path: %System%driversmrxnet.sys
براي سرويس بالا نيز، مسير زير را در registry ايجاد مي كند:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMRxNet”ImagePath” = “%System%driversmrxnet.sys”
اين كرم، همچنين فايل هاي زير را كه هر كدام نسخه هاي رمز شده Stuxnet هستند، ايجاد مي كند:
- %Windir%infoem6C.PNF
- %Windir%infoem7A.PNF
- %Windir%infmdmcpq3.PNF
- %Windir%infmdmeric3.PNF
در ضمن، اگر كرم از روي سيستم آلوده پاك شود، فايل %System%driversmrxcls.sys فايل هاي بالا را براي تأثيرگذاري مجدد در كامپيوتر رمزگشايي مي كند.
تغييرات در سيستم
فايل(هاي) زير ممكن است در كامپيوتر آلوده ديده شود:
- %System%driversmrxcls.sys
- %System%driversmrxnet.sys
- %DriveLetter%~WTR4132.tmp
- %DriveLetter%~WTR4141.tmp
- %DriveLetter%Copy of Shortcut to.lnk
- %DriveLetter%Copy of Copy of Shortcut to.lnk
- %DriveLetter%Copy of Copy of Copy of Shortcut to.lnk
- %DriveLetter%Copy of Copy of Copy of Copy of Shortcut to.lnk
- %Windir%infoem6C.PNF
- %Windir%infoem7A.PNF
- %Windir%infmdmcpq3.PNF
- %Windir%infmdmeric3.PNF
اين كرم فايلي را از سيستم، پاك و يا اصلاح نكرده و در Registry سيستم آلوده نيز به جز ايجاد دو مسير زير، هيچ كدام از Subkeyها حذف يا تغيير ديگري صورت نمي گيرد:
- HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMRxCls”ImagePath” = “%System%driversmrxcls.sys”
- HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMRxNet”ImagePath” = “%System%driversmrxnet.sys”
دو پردازش زير در سيستم ايجاد مي شود:
- iexplorer.exe
- lsass.exe
Stuxnet يك بسته قابل اجرا در كامپيوتر را از سرور C&C خود دانلود و اجرا نموده و همچنين اطلاعاتي را از طريق HTTP به آدرس زير ارسال می كند:
http://[C&C SERVER ADDRESS]/index.php?data=[DATA]
DATA شامل اطلاعات زير است:
- نسخه سيستم عامل ويندوز
- نام كامپيوتر
- نام گروه شبكه
- نشانه براي آگاهي از نصب بودن نرم افزار SCADA
- آدرس IP همه كارت هاي شبكه موجود
اين اطلاعات با استفاده از يك كليد 31 بايتي XOR رمزگذاري و ارسال مي شود. پاسخ دريافت شده از سرور C&C هم با XOR اما توسط يك كليد 31 بايتي متفاوت رمزنگاري شده كه هر دو اين كليدها در فايل هاي .dll قرار داده شده در سیستم آلوده موجود است.
با اتصال کامپیوتر به اينترنت، كرم از طريق پورت 80 با سايت هاي زير كه سرورهاي C&C آن هستند، ارتباط برقرار مي كند:
- www.mypremierfutbol.com
- www.todaysfutbol.com
سرور C&C پس از دريافت اين اطلاعات، به دو روش مي تواند پاسخ دهد: نوع نخست پاسخ، دستورالعمل كرم براي اجراي يكي از شيوه هاي موجود در كد تهديدات آن است و نوع دوم پاسخ، يك فايل .dll به سيستم آلوده ارائه و به بارگزاري آن دستور مي دهد.
از پاسخ نوع اول به عنوان پوششي براي RPC16 ها كه مي خواهد به سيستم فرستاده شود، استفاده مي شود. RPC پس از فراخواني شدن در کامپیوتر مي تواند اقدامات زير را انجام دهد:
- خواندن فايل
- نوشتن در فايل
- حذف فايل
- ايجاد پردازش
- تزريق يك فايل .dll به lsass.exe
- بارگزاري و اجراي يك فايل .dll اضافه
- استخراج منبع 210 از فايل .dll اصلي (از اين منبع براي تزريق به پردازش هاي ديگر استفاده مي شود.)
- به روز رساني پيكربندي اطلاعات كرم
این كرم پس از نفوذ به شبكه، فقط كامپيوترهايي كه نرم افزار SCADA شركت زيمنس براي كنترل و مديريت فعاليت ها در آن ها نصب شده است را هدف قرار مي دهد. سپس براي به دست آوردن اطلاعات مشخصی، تعداد زيادي querie در پايگاه داده نرم افزار Siemens Step 7 انجام داده و با فايل هاي .dll نرم افزار تعامل برقرار مي كند. آنگاه تلاش مي كند به فايل هاي زير كه توسط نرم افزار Step 7 ايجاد شده اند دسترسي يافته تا كد آن ها را براي طراحي پروژه ها سرقت كند:
- GracScc_tag.sav
- GracScc_alg.sav
- GracSdb_log.sav
- GracScc_tlg7.sav
- *.S7P
- *.MCP
- *.LDF
Stuxnrt همانند يك Rootkit كد خودش را به PLC در يك سيستم كنترل صنعتي كه توسط سيستم هاي SCADA نظارت مي شود، تزريق و پنهان می كند. PLC كامپيوتري است كه از ويندوز برنامه ريزي شده تشكيل شده و حاوي كد ويژه اي مي باشد كه اتوماسيون فرآيندهاي صنعتي را كنترل مي كند.
اين كرم كه با نوشتن كد در PLC ، سيستم را كنترل كرده و يا فعاليت هاي آن را به تعويق مي اندازد، براي جلوگيري از تشخيص فايل %DriveLetter%~WTR4132.tmp آن را با رابط هاي برنامه هاي كاربردي ( (APIزير از kernel32.dll و Ntdll.dll مرتبط مي كند:
از Kernel32.dll :
- FindFirstFileW
- FindNextFileW
- FindFirstFileExW
از Ntdll.dll :
- NtQueryDirectoryFile
- ZwQueryDirectoryFile
كرم كد اصلي اين توابع را هم با كدي كه براي چك كردن فايل ها با مشخصات زير است، جايگزين مي كند:
- نام فايل با پسوند “.lnk”
- آغاز نام فايل با “~WTR” و با پسوند “.tmp”
آنگاه فايل %DriveLetter%~WTR4132.tmp به فايل .dll ديگري به نام %DriveLetter%~WTR4141.tmp بارگزاري مي شود. Stuxnet براي انجام اين كار، از رويكردي متفاوت استفاده کرده و به جاي اينكه “LoadLibrary” رابط هاي برنامه هاي كاربردي را براي بارگزاري فايل .dll در حافظه اصلي فراخواني كند، توابعی را به Ntdll.dll مرتبط كرده و سپس “LoadLibrary” را با نام فايل خاصي كه ايجاد شده است، فراخواني مي كند. اين فايل درخواست شده براي بارگزاري، در disk وجود ندارد اما توابع مرتبط شده به Ntdll.dll که به بارگزاري نام خاص فايل براي درخواست ها نظارت دارد، فايل .dll را از يك ناحيه در حافظه اصلي كه قبلاً در آن رمزگشايي و ذخيره شده است، بارگزاری می کند. توابع مرتبط شده در Ntdll.dll براي اين منظور عبارتند از:
- ZwMapViewOfSection
- ZwCreateSection
- ZwOpenFile
- ZwCloseFile
- ZwQueryAttributesFile
- ZwQuerySection
سپس فايل .dll فراخواني شده و كنترل سیستم را در دست مي گيرد. این كرم كد خود را نيز به iexplorer.exe به منظور دور زدن17 فايروال ها تزريق كرده و فرآيندهاي امنيتي زير را به پايان مي رساند:
- vp.exe
- Mcshield.exe
- avguard.exe
- bdagent.exe
- UmxCfg.exe
- fsdfwd.exe
- rtvscan.exe
- ccSvcHst.exe
- ekrn.exe
- tmpproxy.exe
انتشار
Stuxnet با كپي كردن خودش در درایوهای USB، Emailهاي آلوده و يا فايل هاي به اشتراك گذاشته شده در شبکه های رایانه ای كه داراي نقاط آسيب هستند، منتشر مي شود.
اين كرم خودش را به عنوان فايل هاي زير در درايوهاي قابل جابجايي كپي مي كند كه هر دو نام فايل، hardcoded و در واقع فايل هاي .dll هستند:
- %DriveLetter%~WTR4132.tmp
- %DriveLetter%~WTR4141.tmp
همچنين فايل هاي زير را به درايوهاي بالا كپي مي كند:
- %DriveLetter%Copy of Shortcut to.lnk
- %DriveLetter%Copy of Copy of Shortcut to.lnk
- %DriveLetter%Copy of Copy of Copy of Shortcut to.lnk
- %DriveLetter%Copy of Copy of Copy of Copy of Shortcut to.lnk
هنگامي كه اين درايوها با برنامه اي كه توانايي نمايش آيكون ها را دارد (مانند Windows Explorer) مورد دسترسي قرار مي گيرد، به جاي نمايش آيكون براي فايل هاي .lnk كدي را كه قابليت اجراي فايل %DriveLetter%~WTR4132.tmp را دارد، اجرا مي كند. هدف اصلي اين فايل، اجراي فايل DriveLetter%~WTR4141.tmpاست كه در درايوهاي قابل جابجايي كپي شده و سپس در حافظه اصلي سيستم بارگزاري مي شود. اين فايل است كه دو گواهي معتبر امضاء شده Realtek و JMicron را جعل مي كند.
اين كرم همچنين از يك كد مخرب RPC هم براي منتشر شدن استفاده مي كند12. علاوه بر اين، از كد مخرب ديگري11 نيز كه اجازه مي دهد يك فايل به شاخه %System% كامپيوتر آسيب پذير نوشته شود، براي كپي نمودن خودش از كامپيوتر آلوده به ساير كامپيوترها استفاده كرده و براي اجراي آن فايل از راه دور هم از يك ويژگي WBEM بهره مي برد.
Stuxnet همچنين با كپي نمودن خودش به منابع اشتراك گذاشته شده در شبكه به عنوان فايل زيركه در حقيقت يك فايل .dll است، منتشر مي شود:
%DriveLetter% “DEFRAG[RANDOM NUMBER].tmp
البته یک راه که مهاجمان با استفاده از آن ریسک شناسایی شدن و جلوگيري از گسترش بيش از اندازه اين كرم را کم کرده اند، قرار دادن یک شمارنده در درايو USB آلوده است که اجازه انتشار کرم از طریق یک داريو USB خاص به بیش از سه کامپیوتر را نداده و بعد از 21 روز نيز خودش را پاك مي كند.
نکته قابل توجه در خصوص Stuxnet آن است که درون کد پیچیده آن مشخص شده که این کرم در تاریخ 24 ژوئن 2012 انتشار خود را متوقف کرده و خودش را نیز از سیستم آلوده پاک خواهد نمود.
جلوگیری
شركت مايكروسافت در روز يازدهم مرداد ماه سال جاری، یک به روز رسانی مهم و فوری برای اصلاح نقص ابتدایی Stuxnet عرضه کرد18 .سپس شرکت های Symantec و Kaspersky نتایج تحقيقات خود را به شرکت مایکروسافت گزارش کردند که باعث شد آسیب پذیری Print spooler به سرعت اصلاح شده19 و وعده اصلاح دو آسیب پذیری کم خطرتر EoP هم در به روز رسانی امنیتی بعدی داده شود.
اگر چه هم اكنون تمامي آنتي ويروس ها قادر به شناسايي و پاك كردن اين كرم هستند اما انجام فعاليت هاي زير توسط همه مديران و كاربران سيستم مي تواند باعث جلوگيري و يا كاهش خطر اين كرم شود:
- غير فعال كردن ويژگي AutoRun يا AutoPlay سيستم براي جلوگيري از اجراي خودكار فايل هاي قابل اجرا در درايوهاي قابل جابجايي.
- · غیر فعال کردن درايوهاي قابل جابجایی از طریق Setup سیستم. در صورت نیاز، فقط حالت read-only را فعال كرده و حتماً يك رمز عبور هم براي setup در نظر گرفت.
- اصلاح نقاط آسيب پذير سيستم عامل و نرم افزارهاي نصب شده.
- · به روز رسانی نرم افزار آنتي ويروس در فاصله هاي زماني كوتاه مدت و فعال کردن گزينه automatic updates براي دريافت خودكار آخرين updateها.
- · Stuxnet با سوء استفاده از نقاط آسيب پذير مشخصي انتشار پيدا مي كند. نصب patcheهاي زير مي تواند باعث كاهش خطر این کرم شود:
- Microsoft Security Bulletin MS10-046
- Microsoft Security Bulletin MS08-067
- Microsoft Security Bulletin MS10-061
- دسترسي به آدرس هاي زير كه سرورهاي C&C كرم هستند با استفاده از فايروال و Router بايد مسدود شده و با اضافه كردن به فايل local hosts به آدرس 127.0.0.1 تغيير مسير داده شود:
- www.mypremierfutbol.com
- www.todaysfutbol.com
- استفاده از رمز عبور پيچيده كه تركيبي از عدد، حروف بزرگ و كوچك و نمادها20 مي باشد براي كلمه عبور كاربران، به نحوي كه اين رمزها توسط dictionary attackها به راحتي قابل شناسايي و كشف نبوده و در عين حال، براي كاربران هم به ياد ماندني باشد.
- · همه ارتباطات ورودی از اينترنت به سرويس هاي سازمان كه نبايد در دسترس عموم باشد را با استفاده از فایروال deny كرده و تنها به سرويس هايي اجازه دهيد كه به مردم خدمات ارائه می دهند.
- · هرگز نبايد با يوزر administrator يا root به سيستم login كرد. كاربران و برنامه ها هم بايد پايين ترين سطح دسترسي لازم را داشته باشند.
- · غيرفعال كردن اشتراك گذاري منابع و فايل ها در شبكه اگر به اشتراك گذاري آن ها نيازي نيست. در صورت نياز، از ACL ها استفاده كرده و مشخص نماييد كه چه افراد يا كامپيوترهايي اجازه دسترسي به آن ها را دارند.
- · غيرفعال كردن و حذف سرويس هاي غيرضروري فعال در سيستم. اگر هم كد مخربي عليه يكي از سرويس ها پيدا شد، تا زمانيكه patch آن سرويس در سيستم نصب نشده است، آن سرويس را غير فعال كرده و يا دسترسي به آن را محدود نماييد.
- · سرويس هايي همچون HTTP، FTP، Mail و DNS مهمترين سرويس هاي يك شبكه متصل به اينترنت هستند. بنابراين، هميشه patchهاي اين سرويس ها را مهم درنظر گرفته و به روز نگهداريد. همچنين توسط فايروال، دسترسي به آن ها را كنترل نماييد.
- · پیکربندی email سرور در جهت حذف نامه هاي الكترونيكي كه حاوي فايل ضميمه است. از این فایل ها برای گسترش تهديداتي همچون .vbs، .bat ، .exe ، .pif و .scr استفاده مي شود.
- · كامپيوترهاي آلوده را به سرعت براي جلوگيري از گسترش بيشتر آلودگي در شبكه ايزوله كنيد و تا زمانيكه از برطرف شدن آلودگي مطمئن نشده ايد، آن ها را وارد شبكه نكنيد.
- · استفاده نکردن از Bluetooth در شبکه. در صورت نياز، ديد دستگاه را در حالت Hidden تنظيم کنید تا توسط دستگاه هاي ديگر پيدا نشده و حتماً از رمز عبور نيز براي برقراري ارتباط بین دستگاه ها استفاده كنيد.
پیشگیری
پیشگیری از حوادث و کنترل امنیت سیستم نیاز به یک رویکرد چند لایه دارد که از آن با عنوان ” دفاع در عمق ” یاد می شود. این لایه، شامل سیاست ها و رویه ها، آگاهی و آموزش، تقسیم بندی شبکه، کنترل دسترسی ها، اقدامات امنیتی فیزیکی، سیستم های نظارتی همچون فایروال و آنتی ویروس، سیستم های تشخیص نفوذ (IDS)، رمز کاربری و … است.
بهترین روش برای پیشگیری هم معمولاً تجزیه و تحلیل خطر، شناسایی نقاط آسیب پذیر سیستم ها و شبکه، کنترل سیستم ارزیابی امنیتی و همچنین توسعه برنامه های اولویت بندی برای از بین بردن یا به حداقل رساندن ریسک خطر است.
پانوشت ها:
1- September 24,2010 title: Cyberworm “targets Iran”
– October 5,2010 title: Stuxnet : Fact vs.Theory
2- September 24,2010 title: Cyber attack appears to target Iran-US tech firm
3- October 1,2010 title: U.S. power plants at risk of attack by computer worm like Stuxnet
4- Industrial Control Systems
5- July 13,2010
6- Siemens
7- Microsoft
8- Supervisory Control And Data Acquisition
9- Remote Terminal Units
10- Microsoft Windows Shortcut ‘LNK/PIF’ Files Automatic File Execution Vulnerability (BID 41732)
11- Microsoft Windows Print Spooler Service Remote Code Execution Vulnerability (BID 43073)
12- Microsoft Windows Server Service RPC Handling Remote Code Execution Vulnerability (BID 31874)
13- W32.Downadup (a.k.a Confiker)
14- Server = .wincc — vid = winccconect — pwd = 2wsxcder
15- Programmable Logic Control
16- Remote Procedure Call
17- Bypass
18- Microsoft Security Bulletin MS10-046
19- Microsoft Security Bulletin MS10-061 (September 14,2010)
20- symbols
ارسال شده توسط:
محمد مهدی واعظی نژاد
متخصص امنیت شبکه (مورد تأیید FBI)
همراه: 09123963127
Mahdivaezi61@yahoo.com
استفاده از مطالب این مقاله به هر نحو ممکن ، بدون ذکر نام نویسنده شرعاً حرام است.
ممنون
خیلی عالی بود
عجب جونوری بوده اینه!
این اصلا شبیه ویروس نیست.یه چیز تو مایه هایه روبات هوشمند هستش.
ممنون.خیلی خیلی عالی بود.
با سلام
آقا دستت درد نکنه واقعاً گل کاشتی
آیرانی هایی مثل آقای محمد مهدی واعظی نژاد باعث سرافرازی و غرور ما میشن
با تشکر
عالی بود . درود بر شما
سلام.خیلی عالی توضیح دادین.متاسفانه این ویروس در سیستم من هستش.با عوض کردن ویندوز پاک نمیشه حتی با Fdisk کردن هم با یه فلش خیلی راحت آلوده میشه.یه راه که بتونم از ورودش جلوگیری کنم.
سلام.سیستم من آلوده به این ویروس یا کرم شده ولی فک میکنم این کرم توسط نورتون یا آنتی ویروسای معمولی غیر قابل پاک شدنه!راهی هست که بتونم از شر این مهمونه ناخونده خلاص شم؟