Stuxnet el virus mas sofisticado de la historia.

Ante el caudal de discusiones y especulaciones generado a raíz de la aparición del gusano informático Stuxnet, en especial sobre quién está detrás del ataque y cuáles son sus objetivos, Kaspersky Lab ha hecho públicas sus primeras reflexiones sobre este hecho.

Kaspersky Lab aún no ha podido acceder a un volumen de evidencias suficiente como para identificar a los atacantes, o el blanco objetivo, pero los expertos en seguridad en informática de la compañía coinciden en que se trata de un ataque singular y sofisticado mediante malware, perpetrado por un equipo con acceso a abundantes recursos financieros, un elevado nivel de preparación y un profundo conocimiento de tecnologías como SCADA. Los expertos de Kaspersky consideran que no es posible llevar a cabo un ataque de este tipo sin el apoyo y respaldo de un estado-nación.

Ya se refirió a este asunto Eugene Kaspersky, fundador y presidente de Kaspersky Lab: “Creo que representa un punto de inflexión, el amanecer de un nuevo mundo, porque antes sólo nos enfrentábamos a cibercriminales, pero me temo que estamos asistiendo al nacimiento de la era del ciberterrorismo, de las armas y las guerras virtuales”. En rueda de prensa celebrada recientemente en Munich con periodistas de todo el mundo, durante el Simposio de Seguridad Kaspersky, el máximo ejecutivo de Kaspersky Lab no dudó en calificar a Stuxnet como “la apertura de la Caja de Pandora”.

Según Eugene Karpersky, “este programa malicioso no ha sido diseñado para robar dinero, bombardear con spam o acceder a datos personales; ha sido diseñado para sabotear plantas y causar daños en entornos industriales. Mucho me temo que estamos asistiendo al nacimiento de un nuevo mundo. Los 90 fueron la década de los cibervándalos, la década del 2000 fue la de los cibercriminales, y tengo la sensación de que estamos entrando en la nueva era de las ciberguerras y el ciberterrorismo,” concluyó Kaspersky.

Los investigadores de Kaspersky Lab han descubierto que el gusano explota cuatro vulnerabilidades distintas de “día cero”. Los analistas de la firma informaron de tres de ellas directamente a Microsoft, y colaboraron estrechamente con esta compañía para la creación y distribución de los parches.

Además de explotar dichas vulnerabilidades de “día cero”, Stuxnet también hace uso de dos certificados válidos (de Realtek y JMicron), gracias a los que pudo permanecer sin ser descubierto durante un periodo bastante largo de tiempo.

La intención final de este gusano era acceder a sistemas de control industrial Simatic WinCC SCADA, que controlan procesos industriales, infraestructuras e instalaciones. Oleoductos, centrales eléctricas, grandes sistemas de comunicación, navegación aérea y marítima, e incluso instalaciones militares, utilizan sistemas similares.

El conocimiento exhaustivo de estas tecnologías, la sofisticación del ataque a distintos niveles, el recurso a múltiples vulnerabilidades de “día cero” y el uso de certificados legítimos hace que los ingenieros de Kaspersky Lab estén prácticamente seguros de que Stuxnet fue creado por un equipo de profesionales altamente cualificados con acceso a una enorme cantidad de recursos y fondos.

Tanto el blanco del ataque como la geografía donde se han detectado los primeros brotes (principalmente Irán), inducen a pensar que no se trata de un grupo cibercriminal normal. Es más, los expertos en seguridad de Kaspersky Lab, que han analizado el código del gusano, insisten en que el objetivo principal de Stuxnet no ha sido sólo el de espiar sistemas infectados, sino también el de llevar a cabo acciones de sabotaje. Todos estos hechos apuntan al hecho de que es muy probable que algún estado-nación, con acceso a grandes volúmenes de información de inteligencia, haya dado cobertura al desarrollo de Stuxnet.

Kaspersky Lab considera que Stuxnet es el prototipo funcional de una “ciber-arma”, que dará el pistoletazo de salida a una nueva guerra armamentística en el mundo. En esta ocasión, será una carrera “ciber-armamentística”.

Desinfección

Eliminación manual Uso de IS2010 

Haga clic derecho en Mi PC> Propiedades> Hardware> Administrador de dispositivos:- Ir a Ver> Mostrar dispositivos ocultos
– Ir a los controladores que no son Plug and Play 

• Desactivar tanto MRXNET y MRXCLS:stuxnet_disable_device_1 

stuxnet_disable_device_2

Una vez hecho esto, el sistema le pedirá para reiniciar el sistema.
Después de reiniciar, abra el antivirus , en el ejemplo F-Secure Internet Security 2010 y ejecutar un análisis completo del sistema:stuxnet_is2010_full_rescan 

Todos los drivers , los instaladores, archivos LNK deben eliminarse en este punto.


Manual de Instrucciones para la remoción

Elimine las siguientes claves del registro:- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxCls
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxNet – 

Eliminar los siguientes archivos:1. 1. %windir%\inf\mdmcpq3.PNF % Windir% \ inf \ mdmcpq3.PNF
2. 2. %windir%\inf\mdmeric3.PNF % Windir% \ inf \ mdmeric3.PNF
3. 3. %windir%\inf\oem6C.PNF % Windir% \ inf \ oem6C.PNF
4. 4. %windir%\inf\oem7A.PNF % Windir% \ inf \ oem7A.PNF
5. 5. %windir%\system32\drivers\mrxcls.sys mrxcls.sys% windir% \system32 \ drivers\
6. 6. %windir%\system32\drivers\mrxnet.sys mrxnet.sys% windir% \system32 \drivers\ 

Desactivar la reproducción automática en todas las unidades (para más detalles, consulte http://support.microsoft.com/kb/967715 ).
Reinicie el sistema.
Limpie los componentes de software malicioso de la unidad flash USB infectada:1. 1. Abra Símbolo del sistema Inicio –>ejecutar –> cmd
2. 2. Cambiar a la unidad de disco USB
3. 3. Ejecutar “del *. lnk”
4. 4. Ejecutar “del *. tmp” 

Detalles adicionales

W32/Stuxnet ejecuta automáticamente archivos de sí mismo y entra en el sistema mediante la explotación de una vulnerabilidad en diversas versiones de Windows (CVE-2010-2568) que permite ejecución de código malintencionado en un icono de acceso directo se muestra especialmente diseñado.Este programa malicioso que parece estar dirigida a las empresas que utilizan aplicaciones de base de datos de Siemens SIMATIC WinCC, ya que su carga útil incluye el robo de datos de estos recursos. 

Este malware se trata más detalladamente en los laboratorios de las siguientes entradas del blog:

Para obtener más información, por favor, también se refieren a seguridad de Microsoft 2286198 .

Explotar

Stuxnet comparte  similitudes con la ejecución automática del gusano Conficker, ya que por lo general llega a través de una unidad USB infectada u otros medios extraíbles, y una vez en un equipo infectado, se guardan copias de sí mismo en otros medios extraíbles para la propagación a las máquinas de nueva víctima.

Sin embargo, en lugar de explotar una vulnerabilidad para ejecutar forzosamente un archivo autorun.inf, Stuxnet se aprovecha de una vulnerabilidad en el análisis contextual (. LNK) archivos con el fin de ejecutar un maliciosos Módulo de control del Grupo Especial.

Un atacante puede subvertir esta operación con un archivo. Lnk, que apunta a un módulo especialmente diseñado en Panel de control (en realidad, el malware). . Cuando el sistema intenta resolver el icono del archivo de acceso directo, la vulnerabilidad se activa y el módulo Panel de control se ejecuta automáticamente.  El usuario no tiene que hacer clic en el icono para que el malware se ejecute.

Para lograr esta hazaña, el archivo de acceso directo maliciosos tiene que estar formateada como de acceso directo válido del panel de control.

El exploit puede ser embebido en archivos de documentos que apoyan incorporado accesos directos (véase LNK vulnerabilidad: Atajos incrustado en documentos ).

Se detecta el exploit como Exploit: W32/WormLink.

Infección

En la ejecución, el malware descarga los siguientes archivos en el sistema:

  1. 2 archivos (mrxcls.sys y mrxnet.sys) – Eliminado en C: \ Windows \ System32 \ Drivers
  2. C: \ Windows \ inf \ oem7a.PNF – Un archivo cifrado DLL, componente principal del troyano.
  3. C: \ Windows \ inf \ mdmcpq3.PNF  Un archivo de datos encriptados
  4. C: \ Windows \ inf \ mdmeric3.PNF
  5. C: \ Windows \ inf \ oem6c.PNF

Un usuario  puede reconocer la presencia de una infección Stuxnet si los siguientes elementos están presentes (lo cual es útil si la máquina infectada no tiene antivirus instalado):

  1. Los 2 archivos , mrxcls.sys y mrxnet.sys, se encuentran en C: \ Windows \ System32 \ Drivers•
  2. Son visibles las claves del Registro siguientes:
  • HKLM\System\CurrentControlSet\Services\Services\MRxNet
  • HKLM\System\CurrentControlSet\Services\Services\MRxCls

Ejecución

El cifrado de archivos DLL que figuran en el archivo soltado oem7a.PNF se inyecta en un proceso, utilizando la estructura siguiente nombre:

  • [normaldll.]] – ASLR. [Al azar, por ejemplo, Kernel32.dll.aslr.21af34

La inyección se realiza por el archivo mrxcls.sys, que es responsable de la colocación y copiar el archivo DLL en el proceso de destino. El resto de la rutina de la inyección se realiza por dos componentes adicionales incorporados en el archivo mrxcls.sys, que también se cargan en el mismo espacio de proceso.

mrxcls.sys también inyecta código para estos procesos:

  • services.exe
  • svchost.exe
  • lsass.exe

Carga útil

The file mrxnet.sys checks for files on the system with the following extensions: El archivo mrxnet.sys controla los archivos con las siguientes extensiones en el sistema :

  • TMP
  • ~ WTR
  • . LNK

Si se encuentra una coincidencia, los archivos están ocultos al modificar la estructura de FileInfo.

Mientras tanto, el archivo DLL intenta conectarse a cualquier disposición SIMATIC WinCC de Siemens utilizando aplicaciones en el código nombre de usuario administrativos y credenciales de la contraseña.

Si ha conectado correctamente, intenta localizar el archivo \ GraCS \ cc_tlg7.sav en todos los nombres de base de datos que se inicia con CC.  Si se encuentra el archivo, el archivo DLL a continuación, extrae como cc_tlg7.savx.

El archivo DLL también se conecta a los dominios que se enumeran en el archivo mdmcpq3.PNF cifrado.

Si los archivos de destino no se encuentran en el sistema infectado, Stuxnet guardará copias de sí mismo como archivos TMP a una unidad extraíble disponible, utilizando los siguientes nombres:

~ WTR4132.tmp – instalación principal desde la unidad USB
~ WTR4141.tmp – gestor de primer controlador en la unidad USB

Los archivos siguientes también se meten en la unidad extraíble:

  • Copia del acceso directo de to.lnk
  • Copia de Copia de acceso directo to.lnk
  • Copia de Copia de Copia de acceso directo to.lnk
  • Copia de Copia de Copia de Copia de acceso directo to.lnk

Estos accesos directos son los responsables de cargar el archivo ~ WTR4141.tmp siempre que la unidad extraíble infectado es introducida en un sistema nuevo, el archivo ~ WTR4141.tmp a su vez carga el archivo ~ WTR4132.tmp.

Sigilo

El archivo ~ WTR4141.tmp emplea las siguientes API para ocultar los archivos de malware en la unidad extraíble:

  • FindFirstFileW
  • FindNextFileW
  • FindFirstFileExW
  • NtQueryDirectoryFile
  • ZwQueryDirectoryFile
Esta entrada fue publicada en Internet, Sistemas Operativos, Windows 7, Windows Vista. Guarda el enlace permanente.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s