Thema: Trojaner verbreitet sich über neue Windows-Lücke

[SiLæncer]

Eine der vom Stuxnet-Wurm  benutzten Lücken war offenbar nicht wirklich neu. Vielmehr beschrieb der Sicherheitsspezialist Carsten Köhler bereits in dem Artikel "Print your Shell" der April-Ausgabe 2009 der in Szenekreisen nicht gerade unbekannten polnischen Publikation hakin9 die Lücke im Printer Spooler. Köhler veröffentlichte zudem einen Demo-Exploit für die Schwachstelle.

Microsoft hatte eine Lücke om Printer Spooler am vergangenen Patchday geschlossen und erklärt, dass Stuxnet die Lücke zur Weiterverbreitung in Netzwerken missbrauchte. Microsoft hat unterdessen bestätigt, dass es sich bei der nun geschlossenen und der von Köhler beschriebenen um die gleiche Lücke handelt. Warum die Lücke so lange unbeachtet blieb, ist unbekannt. Auch Kaspersky und Symantec hatten nach Analysen den Stuxnet-Wurms erklärt, dass es sich um eine neue Lücke handelt.

Symantec hat eine sehr detaillierte Analyse veröffentlicht, wie Stuxnet den MC7-Code in bestimmten Modulen in Speicherprogrammierbaren Steuerungen (SPS) manipuliert. Aufgrund der Komplexität des Stuxnet-Wurms gehen viele Sicherheitsspezialisten davon aus, dass er das Werk staatlich kontrollierter Hacker beziehungsweise Geheimdienste ist. Welche das sind und welches Ziel der Wurm hat, wird möglicherweise für immer unbekannt bleiben. Populärste Mutmaßung war, dass es sich um einen Angriff des isrealischen Mossad auf das Kernkraftwerk Buschehr im Iran handelte. Bestimmte Zeichenketten in den Dateien des Wurms sollen zumindest auf den Urheber hindeuten – bei der Professionalität der Stuxnet-Entwickler würde es aber nicht überraschen, wenn es sich um eine falsche Fährte handelt.

Quelle : www.heise.de

[SiLæncer]

Stuxnet ist Analysen von Symantec zufolge  in der Lage, ein bereits desinfiziertes Windows-System erneut zu befallen. Dazu schreibt sich der Wurm zuvor in Projektordner der Entwicklungsumgebung für Speicherprogrammierbare Steuerungen Step 7. Dabei manipuliert Stuxnet bestimmte Dateien und legt infizierte DLLs ab, von denen einige verschlüsselte sind.

Offenbar in Analogie zu der seit August bekannten Schwachstelle von Windows hinsichtlich der Suchpfade beim Laden von DLLs wird eine der Bibliotheken beim Öffnen eines Projektes dann geladen. Diese DLL lädt, entschlüsselt und startet die eigentlichen Stuxnet-Bibliotheken. In der Folge ist das System nach einer Infektion wieder befallen. Aber auch weitergegebene Projekt-Ordner können zur Infektion eines Rechners führen.

Darüber hinaus wurde bekannt, dass Stuxnet erst seit März 2010 die LNK-Schwachstelle zur Verbreitung über USB-Sticks ausnutzte. Zuvor nutzte er präparierte autorun.inf-Dateien, die von Windows sowohl als autorun-Dateien als auch als EXE-Dateien interpretiert werden konnten. In Kombination mit weiteren Tricks sollte dies die Wahrscheinlichkeit erhöhen, je nach den AutoRun-Einstellungen ein Windows-System zu infizieren.

Unterdessen gehen die Spekulationen weiter, welche Anlage das Ziel von Stuxnet gewesen ist. Die Theorie, dass der Wurm das iranische Atomkraftwerk Bushehr im Visier gehabt haben soll, wird nun zusätzlich dadurch genährt, dass die Iraner zumindest Infektion der PCs von Mitarbeiter in Bushehr zugegeben haben. Allerdings stellt sich die Frage nach dem Sinn, das nach einhelliger Meinung nur für zivile Zwecke nutzbare AKW zu zerstören. Selbst Israel hatte in dieser Richtung keine Bedenken geäußert.

Gegen Bushehr spricht auch, dass Stuxnet nach bisherigen Erkenntnissen nur dafür ausgelegt ist, SPS-Module der Siemens-Familien S7-400 und S7-300 zu manipulieren. Diesen fehlt aber die für den Einsatz in Atomkraftwerken erforderliche Zulassung (nach SIL 4 beziehungsweise AK7), wie Siemens gegenüber heise Security bestätigte. Möglich ist allerdings, dass die Iraner diese internationalen Standards ignorieren und der russischen Kraftwerksbauer Atomstroyexport die nicht zugelassenen Komponenten trotzdem verbaut hat – es sollen in Busher ja auch nicht lizensierte Versionen der Visualisierungssoftware WinCC laufen.

Der eigentliche Dorn im Auge westlicher Staaten ist zumindest im Iran eigentlich die unterirdische Urananreicherungsanlage in Natanz. Das CCC-Mitglied Frank Rieger hat darauf auch in einem Artikel in der FAZ hingewiesen. Seiner Meinung nach habe Stuxnet aber dort bereits Mitte 2009 sein zerstörerisches Werk verrichtet, worauf ein Wikileaks-Eintrag und geringe Produktionszahlen hindeuten sollen.

Interessanterweise hat der Leiter der US Cyber Consequences Unit Scott Borg Mitte 2009 genau solch einen Angriff durch den Mossad in einem Interview mit der israelischen News-Seite Ynetnews beschrieben: Jemand könne Malware in die Urananreicherungsanlagen einschleusen und die Systeme stören. Ein infizierter USB-Stick würde dafür ausreichen. Der Mossad versucht seit längerem ein mögliches Atomwaffenprogramm des Iran zu stören, wobei in der Vergangenheit bereits mehrere mutmaßliche Spione im Iran festgenommen und hingerichtet wurden.

Allerdings ist es auch möglich, dass Anlagen im Iran nur im Rahmen eines aus dem Ruder gelaufenen Angriffs auf Indien befallen wurden. Kaspersky hat neuere Zahlen veröffentlicht, wonach Indien das Epizentrum der Stuxnet-Aktivitäten war und ist. Der russische Kraftwerksbauer Atomstroyexport, der mit infizierten Laptops mutmaßlich den Stuxnet-Wurm in Bushehr eingeschleppt haben soll, arbeitet derzeit beispielsweise auch gerade am indischen Atomkraftwerk Kudankulam.

Das wirft die Frage auf, ob nicht möglicherweise der Urheber doch nicht im Westen zu finden ist, sondern eher im Osten. Indien und China sind beispielsweise Kontrahenten; und welche Fähigkeiten die Chinesen im sogenannten Cyberwar entfalten können, haben sie nicht nur 2003 bewiesen, als sie in Teile des US-Power-Grid eindrangen. Welche Konsequenzen Angriffe auf kritische Infrastrukturen haben können, haben die Chinesen dabei vermutlich hinreichend erfahren können und das Wissen zum Schutz der eigenen Anlagen bereits eingesetzt. Weltweit soll China laut McAfee bei der Sicherheit von SCADA-System führend sein.

Quelle und Links : http://www.heise.de/newsticker/meldung/Stuxnet-Wurm-weitere-Tricks-im-Cyberwar-1098197.html

[SiLæncer]

Der Schädling "Stuxnet", der seit 2009 zahlreiche Industrieanlagen infizierte, beschäftigt weiter die IT-Sicherheits-Experten. Auf einer kürzlich veranstalteten Fachkonferenz stellte Liam O'Murchu von der Firma Symantec nun die erste detaillierte Analyse von Stuxnet vor - und seine Vermutungen, wer die Verantwortlichen sein könnten.

Wie schon andere IT-Sicherheitsexperten beschrieb O'Murchu Stuxnet als sehr hochentwickelten, gezielt einsetzbaren Schädling. Er demonstrierte außerdem mit Hilfe eines Proof-of-Concept, wie der Trojaner infizierte Siemens-Controller außer Kontrolle geraten läßt.

Nach Berichten O'Murchus gelang es den Symantec-Analysten, ein komplettes Reverse-Engineering des Codes durchzuführen. Dadurch sei ihnen die Funktionsweise des Schädlings bekannt, so der Analyst. Allerdings könne man ohne genaue Kenntnis der betroffenen Systeme nicht sagen, welcher Schaden genau angerichtet worden sei.

Auch über die möglichen politischen Hintergründe des Schädlings, den viele Experten als den Beginn der Cyber-Kriegführung bezeichnen, gab O'Murchu seine Einschätzung zu Besten. Er bestätigte die verbreitete Meinung, dass der Iran höchstwahrscheinlich das Ziel gewesen sei. Auch einen wahrscheinlichen Verantwortlichen nannte er: Israel. Als Indiz dafür nannte er das Vorkommen eines weitgehend unbekannten Datums, des 9. Mai 1979, im Quellcode. Dies ist das Todesdatum des populären iranischen Juden Habib Elghanian, der kurz nach dem Umsturz von der neuen islamistischen Regierung ermordet wurde. Andere Analysten hatten bereits einen Bezug auf den alttestamentarischen Charakter Mirjam entdeckt, den sie als Hinweis auf eine Urheberschaft Israels werten.

Quelle : www.gulli.com

[SiLæncer]

Das SIMATIC Security Update von Siemens zum Schutz von WinCC-Systemen vor Infektionen mit dem Stuxnet-Wurm schließt die eigentliche Lücke in der Konfiguration des SQL-Servers nicht. Vielmehr behindert es nur die Arbeit der bekannten Stuxnet-Varianten. Mit wenigen Schritten lässt sich der Schutz aushebeln, um über das Netz wieder den vollen Zugriff auf ein WinCC-System zu erhalten, wie der IT-Forensikexperte Oliver Sucker in einem Video demonstriert.

Kern des Problems sind die festcodierten Zugangsdaten für die vom WinCC-System benutzte Micrcosoft-SQL-Datenbank. Dies missbraucht der Stuxnet-Wurm, um sich von einem anderen infizierten System in weitere Systeme einzuloggen. Dort nutzt er die integrierte Commandshell xp_cmdshell, um von der Datenbank aus auf das zugrunde liegende Windows-Betriebssystem mit Systemrechten zuzugreifen.

Das SIMATIC-Update verhindert, dass die Datenbank Befehle via xp_cmdshell ausführen kann, indem es die dazugehörige Konfigurationsoption von 1 auf 0 setzt. Leider verfügt laut Sucker der angelegte Datenbanknutzer WinCCAdmin jedoch über zu hohe Rechte, sodass sich nach dem Login die Option mit wenigen trivialen SQL-Befehlen von 0 auf 1 zurücksetzen lässt. Anschließend lassen sich Befehl über die Commandshell wieder ausführen. Welche SQL-Befehle dafür genau erforderlich sind, verrät Sucker vorerst nicht.

Auf Anfrage von heise Security wollte Siemens den Sachverhalt nicht kommentieren. "Es bleibt weiterhin bei der (bisherigen) offiziellen Stellungnahme, dass wir eine Verschärfung der Authentifizierung prüfen", so Siemensprecher Gerhard Stauss in einer Mail. Bis Siemens sich zur Verbesserung der Authentifizierung entschließt, also die Definition eigener Zugangsdaten ermöglicht, können Anwender nur hoffen, dass es keine neue Stuxnet-Variante oder einen Hackerangriff gibt.

Ein weiteres, interessantes Ergebnis förderte Sucker bei seinen Analysen zutage: Man kann ein System gegen Stuxnet impfen. Dazu ist laut Sucker nur das Anlegen eines bestimmten Registry-Schlüssels notwendig. Stuxnet überprüft beim Start, ob dieser Schlüssel vorhanden und ein bestimmer Wert gesetzt ist. Ist dies der Fall, beendet sich der Wurm ohne weitere Aktionen. Sucker stellt WinCC-Anwendern die Informationen auf Anfrage zur Verfügung.

Siemens hat unterdessen die Zahlen zu weltweiten Infektionen von Industrieanlagen aktualisiert. "Insgesamt 19 Siemens-Kunden weltweit aus dem industriellen Umfeld haben in den ersten drei Monaten seit dem ersten Auftreten von Stuxnet von einer Infektion mit dem Trojaner berichtet", schreibt der Hersteller auf seiner Webseite. In keinem der Fälle soll Stuxnet versucht haben, Steuerungssoftware zu beeinflussen.

Quelle : www.heise.de

[SiLæncer]

Das Sicherheitsunternehmen Symantec will herausgefunden haben, dass der Stuxnet-Wurm auf bestimmte Motoren angesetzt war, die etwa zur Urananreicherung verwendet werden könnten. Dank der Unterstützung durch einen niederländischen Profibus-Experten sei es mittlerweile gelungen, den Zweck des gesamten Stuxnet-Codes zu interpretieren, teilt die Firma auf ihrer Website mit. Stuxnet sei darauf ausgerichtet, die Steuerung der Frequenzumrichter zu manipulieren, die die Motordrehzahl vorgeben.

Den Erkenntnissen zufolge zielt Stuxnet auf Anlagen mit einer besonderen Kombination von Komponenten und Merkmalen: Der Rechner muss vom Typ S7-300 CPU sein. Er steuert bis zu sechs Profibus-Module vom Typ CP-342-5, an die jeweils bis zu 31 Frequenzumrichter angeschlossen sein können. Stuxnet greift nur auf Umrichter zweier bestimmter Hersteller zu, von denen einer in Finnland und der andere in der iranischen Hauptstadt Teheran ansässig ist, so Symantec. Die Manipulation erfolgt nur dann, wenn die Umrichter mit einer Frequenz zwischen 807 und 1210 Hz arbeiten. Stuxnet ändert die Ausgangsfrequenz und damit die Arbeitsdrehzahl der Motoren für kurze Intervalle über einen Zeitraum von Monaten. Damit wird der industrielle Prozess sabotiert, für den die Motoren eingesetzt werden.

Das Ergebnis der Analyse reduziert laut Symantec die Anzahl der möglichen Stuxnet-Ziele auf wenige. Die Fokussierung auf Umrichtermodelle zweier Hersteller und die für solche Komponenten sehr hohe Ausgangsfrequenz hält das Sicherheitsunternehmen für bezeichnend. Es weist darauf hin, dass derartige Produkte, die mehr als 600 Hz ausgeben können, in den USA einer Exportbeschränkung durch die Atomaufsicht unterliegen, weil sie für die Urananreicherung genutzt werden könnten. "Wir sind keine Experten für industrielle Steuerungen", schreibt Symantec, "aber ein Förderband in einer Verpackungsanlage beispielsweise ist kein wahrscheinliches Ziel." Man sei sehr interessiert zu erfahren, welche anderen Anwendungen es für Wechselrichter mit solchen Frequenzen gebe.

Quelle : www.heise.de

[SiLæncer]

Drei der vier von Stuxnet genutzten Sicherheitslücken hat Microsoft bereits gepatcht, doch für die vierte steht nach wie vor kein Update bereit. Nun kursiert ein Exploit im Netz, der die verbliebene Lücke im Windows Taskplaner ausnutzt, um auf geschützte Systemverzeichnisse zuzugreifen – selbst, wenn der Anwender nur mit eingeschränkten Rechten angemeldet ist. Experten sprechen dabei von Privilege Escalation.

Der Stuxnet-Wurm setzte neue Maßstäbe, indem er gleich vier ungepatchte Sicherheitslücken in Windows bei seinem Versuch ausnutzte, bestimmte industrielle Steuerungsanlagen, die vermutlich in Zusammenhang mit der Urananreichung eingesetzt werden, zu sabotieren. Laut webDEViL, dem Entwickler des Exploits, verrichtet der Demo-Schädling unter Windows Vista, 7 und Server 2008 seinen Dienst, sowohl in den 32- als auch in den 64-Bit-Ausgaben.

Damit ein Angreifer über die Lücke an die höheren Rechte gelangen kann, muss er zunächst Code in das System seines Opfers einschleusen und ausführen können. In diesem Fall hat er ohnehin längst zahlreiche Möglichkeiten, sich dauerhaft in dem fremden System einzunisten und etwa angesurfte Webseiten wie Online Banking zu belauschen. Adminrechte, die sich ein Programm unter Windows 7 und Vista über den UAC-Dialog einfordert, sind vor allem noch für systemnahe Aktionen wie die Installation eines Rootkits notwendig.

Bislang ist unklar, wann und ob Microsoft die Sicherheitslücke mit einem Patch schließen wird. Der nächste planmäßige Patchday ist für den 14. Dezember dieses Jahres angesetzt.

Quelle : www.heise.de

[ritschibie]

Beschlagnahme der Kommando- und Kontroll-
server eines Zeus-Botnetzes (Bild: Microsoft)

Zusammen mit Partnern aus der Finanzindustrie und dem IT-Sicherheitsspezialisten Kyrus Tech ist es Microsoft gelungen, zwei der größten und gefährlichsten Zeus-Botnetze unter seine Kontrolle zu bringen. Die Systeme wurden genutzt, um Identitäten zu stehlen und so an Geld der Opfer zu gelangen.

Mit dem Zeus-Trojaner ist es möglich, über Man-in-the-Middle-Angriffe Zugangsdaten zu Bankkonten zu stehlen. Einmal installiert, überwacht der Trojaner die Onlineaktivitäten der Opfer und startet beim Besuch bestimmter Bank- oder E-Commerce-Webseiten einen Keylogger, um jeden Tastenanschlag aufzuzeichnen. So können Angreifer die Zugangsdaten für Bankkonten und Onlineshops ausspähen. Verteilt wird die Software vor allem über Drive-by-Download und Phishing.

Microsoft hat seit 2007 rund 13 Millionen mutmaßliche Infektionen mit Zeus gezählt, allein 3 Millionen in den USA. Weltweit werden mehrere Botnetze mit Millionen von Rechnern auf Basis von Zeus betrieben.

Zusammen mit Finanzdienstleistern, dem Information Sharing and Analysis Center (FS-ISAC), der Electronic Payments Association (NACHA) und dem IT-Security-Spezialisten Kyrus, der eine detaillierte Analyse des Trojaners Zeus vorgenommen hat, gelang Microsoft jetzt ein Schlag gegen zwei der schädlichsten Zeus-Botnetze. Diese nutzten Zeus sowie dessen Varianten Spyeye und Ice-IX.

Video: Microsoft schaltet Zeus-Botnetze aus (3:43)

Gemeinsam zogen die Partner vor ein US-Bezirksgericht in New York und organisierten eine koordinierte Beschlagnahmung der Kommando- und Kontrollserver für zwei große Zeus-Botnetze, die am 23. März 2012 von US-Marshals durchgeführt wurde. Dabei wurden Server in zwei Rechenzentren in Scranton im US-Bundesstaat Pennsylvania und Lombard in Illinois samt der darauf gespeicherten Daten beschlagnahmt.

Die IP-Adressen der Server wurden abgeschaltet und Microsoft überwacht derzeit 800 Domains, die bei dem Vorgehen gesichert wurden mit dem Ziel, Tausende mit Zeus infizierte Rechner ausfindig zu machen.

Aufgrund der hohen Komplexität der Zeus-Botnetze ging es bei der "Operation b71" genannten Aktion nicht darum, mit einem Schlag alle Zeus-Botnetze dauerhaft abzuschalten, sondern der Infrastruktur der kriminellen Betreiber zu schaden und Opfern mit infizierten Rechnern zu helfen, so Microsoft. Zudem sollen die dabei gewonnenen Informationen genutzt werden, um zusammen mit Internetprovidern weiteren Opfern zu helfen.

Gegen die unbekannten Betreiber der Botnetze wurde Klage eingereicht. Die Klage ist unter zeuslegalnotice.com einsehbar.

Quelle: www.golem.de