Forensic Investigations / Fi Blog

Fi Blog

Auch dieses Jahr werden wir wieder auf der SPS/IPC/DRIVES Messe 2011 anwesend sein, die dieses Jahr vom 22. bis 24. November wieder im Nürnberger Messezentrum stattfindet. Der Veranstalter Mesago Messemanagement war so freundlich, uns Dauerkarten zuzusenden.

Die Messe bricht dieses Jahr schon im Vorfeld mehrere Rekorde und vermeldet erstmals über 1.400 Aussteller aus fast 40 Ländern. Mit erstmals 12 Hallen wird die magische Marke von 100.000 m2 Ausstellungsfläche durchbrochen.

Vereinbaren Sie jetzt einen Termin , um mit uns über Themen wie Sicherheits-Auditierung Ihrer Produkte , Auditierung Ihres Produktionsnetzes oder SCADA/ICS-Sicherheit zu diskutieren.

Ein paar Termine sind kurzfristig noch zu vergeben. Wir freuen uns auf ein persönliches Kennenlernen.

Impressionen von der letztjährigen SPS/IPC/DRIVES Messe 2010 finden Sie hier .

UPDATE 25.11.2011: Wir bedanken uns recht herzlich für all die interessanten und konstruktiven Gespräche auf der Messe und die rege Nachfrage. Im Vergleich zum Vorjahr konnten wir ein stark ansteigendes Interesse am Thema Security verzeichnen und rannten bei einigen Herstellern offene Türen ein, während sich manche immer noch bedeckt hielten.

Die Messe selbst konnte mit über 56.000 Besuchern auch in dieser Hinsicht ebenfalls zulegen.

Nachfolgend ein paar Impressionen der SPS/IPC/DRIVES Messe 2011.

Am ersten Tag konnte die Messe mit Kaiserwetter aufwarten (Innenhof Richtung Halle 4A)

Einer der Hauptpublikumsmagneten der Messe war der Festo SmartBird

An der Software-Front bleiben noch Hausaufgaben zu erledigen...

SIEMENS will mit seinem neuen Geschäftsbereich 'Infrastructure & Cities' auch bei kommunalen Ver- und Entsorgern punkten.

Viele weitere Bilder finden Sie in der nachfolgenden Bildgallerie:


Lange schon war die Nachahmung des Stuxnet-Wurms in der Diskussion . Nun ist den Analysten von Symantec eine Duqu [dyü-kyü] getaufte Software aus dem europäischen Raum zugespielt worden. Die Malware sei Duqu getauft worden, da sie Dateien mit dem Präfix "~DQ" anlege. Symantec hat dazu ein technisches Papier , F-Secure und McAfee berichteten, das ICS-CERT hat ALERT-11-291-01 ALERT-11-291-01A ALERT-11-291-01B ALERT-11-291-01D ALERT-11-291-01E herausgegeben.

Anatomie des Rootkit-Teils von Duqu. Bild (c) Symantec

F-Secure schreibt , der Kernel Rootkit Treiber von Duqu (JMINET7.SYS) sei Stuxnet so ähnlich, dass deren Analyse-Systeme es für Stuxnet (MRXCLS.SYS) hielten.

Während Stuxnet mutmaßlich gestohlene Zertifikate der taiwanesischen Firmen RealTek und JMicron verwendete, sei die Duqu Malware mit einem Zertifikat der ebenfalls taiwanesischen Firma C-Media Electronics Incorporation signiert. Wie die beiden anderen Zertifikate sei es von VeriSign ausgestellt und am 14.10.2011 zurückgezogen worden. Dies dürfte aber nur wenig Wirkung zeigen, da ältere Systeme wie Windows XP dies nicht ausreichend überprüfen.

Symantec berichtet , Duqu sei nicht darauf ausgelegt, Automatisierungssysteme direkt zu sabotieren, sondern vielmehr sehr spezifische Dokumente wie Anlagen- und Gerätedesigns zur Vorbereitung zukünftiger Attacken zu stehlen. Der informationsstehlende Trojaner verfüge über eine Command & Control Infrastruktur, mit der er per HTTP oder HTTPS kommuniziere. Der C&C Server, über den die Steuerung des so gebildeten Botnets erfolgt, stünde in Indien und sei noch aktiv.

Das zurückgezogene Zertifikat der Rootkit-Komponente von Duqu (cmi4432.sys)

Der Verbreitungsweg sei noch unbekannt, die Malware würde sich im Gegensatz zu Stuxnet nicht selbst replizieren, sei also kein Wurm. Die Zahl der Organisationen, auf die die Malware abziele, sei sehr klein (<=2), darunter befänden sich Hersteller von Industrieautomatisierungssystemen. Als wahrscheinlichsten Verbreitungsweg kann man deshalb Social Engineering mittels Email- Scams mutmaßen. Die Schadsoftware würde sich zudem nach 36 Tagen selbst zerstören.

Zu den Fähigkeiten der Schadsoftware gehörten das Sammeln von Systeminformationen, Auswerten der Netzwerktopologie und das Aufzeichnen von Tastatureingaben ("Keylogging"). Es seien bereits mehrere Varianten aufgetaucht.

McAfee's Blogeintrag kann derzeit keine neuen Erkenntnisse beisteuern.

In den Medien wird hier vom "Vorgänger vom Nachfolger", "Sohn" oder "Bruder" von Stuxnet gesprochen. Bruder trifft es wohl am ehesten, da beide "genetisch" ähnlich sind. Ob es tatsächlich der "Vorgänger vom Nachfolger" ist, erscheint aus meiner Sicht spekulativ und unlogisch. Warum man erst von bestimmten Herstellern Informationen stehlen sollte erscheint schleierhaft, da ein weiterer Angriff nach diesem Schema auch so leicht möglich wäre.

UPDATE 21.10.2011: Das ICS-CERT hat einen aktualisierten Alert Alert , der die unzensierte IP-Adresse des Command&Control Servers benennt. Der Server wurde mittlerweile abgeschaltet.

Das Symantec-Papier zeigt keine wirklichen Besonderheiten des Trojaners. Interessant ist aber, dass Duqu die schon von Stuxnet bekannte Liste der zu umgehenden Virenscanner um die zwei chinesischen Hersteller Rising International und 360 erweitert hat. Auch interessant: Symantec hat laut Paper keine Ahnung, wie der Trojaner genau mit dem C&C Server kommuniziert(e), und wo im Code sich ein Selbstzerstörungsmechanismus befinden soll, weiß aber gleichzeitig, dass es genau nach 36 Tagen ist, und der Trojaner es selbst tut, und nicht ferngesteuert. Na dann.

Die Hashsummen der bisher bekannten vier Varianten des Duqu-Rootkits.

UPDATE 22.10.2011: Jetzt ist es offiziell: Duqu zielt NICHT auf Betreiber oder Hersteller von Automatisierungssystemen ab, vermeldet das ICS-CERT in Koordination mit Symantec und CrySyS , den Entdeckern von Duqu. Ich wollte es nicht so direkt schreiben, wie aber schon vermutet handelt es sich wohl um eine PR-Ente von Symantec. Ob die Geschichte mit dem Diebstahl sensitiver Dokumente von Automatisierungsherstellern gänzlich frei erfunden oder eine bloße Vermutung war, die als Faktum verkauft wurde, werden wir wohl nie erfahren. Der ICS-Security-Community wurde damit ein echter Bärendienst erwiesen.

Nebenbei hat das ICS-CERT im aktualisierten Duqu-Papier versäumt zu melden, dass neben den zwei bekannten Varianten noch zwei weitere gefunden wurden, weswegen ich das mit dem "ganz gezielten Angriff" auch nicht glauben konnte.
Die Rootkit-Treiber der vier bisher bekannten Varianten heißen "cmi4432.sys ", "jminet7.sys ", "adpu321.sys " und "nfrd965.sys ". Lediglich "cmi4432.sys" trägt eine vormals gültige digitale Signatur. Das zum Signieren benutzte Zertifikat wurde aber mittlerweile zurückgezogen.

UPDATE 27.10.2011: Aktualisierter Alert des ICS-CERT. Ergänzt werden Informationen aus einem Blog-Artikel von Kaspersky Labs. Berichtet wird dort von einem Infektionsfall im Sudan und drei Fällen im Iran. Dabei seien weitere, jeweils unterschiedliche, Dateinamen des Rootkit-Treibers festgestellt worden, namentlich "adp55xx.sys", "iraid18.sys", "igdkmd16b.sys", "bpmgs.sys" und "noname.sys". Ein Zusammenhang mit industriellen Automatisierungssystemen oder zwischen den Opfern bestünde nicht.

UPDATE 02.11.2011: Aktualisiertes Symantec-Papier zu Duqu. Symantec spricht von mittlerweile 14 Varianten.

Das "Verfallsdatum" des Trojaners lässt sich laut einem Blogeintrag von ESET in dessen Konfigurationsdatei angeben, analog zu Stuxnet. Dieses Verfallsdatum kann offenbar entsprechend verlängert werden.

Der Dropper (Duqu-"Installationsprogramm") wurde mittlerweile ebenfalls entdeckt. Er soll in einem Word-Dokument enthalten sein und nutzt eine bisher unbekannte Sicherheitslücke ("0day") in Microsoft-Betriebssystemen aus. Microsoft hat die Lücke bestätigt und arbeitet an der Behebung .

Command and Control Weiterleitung an das interne Netz mittels RPC-over-SMB. Bild (c) Symantec

Ein weiterer Server zur Fernsteurung ("Command & Control") in Belgien wurde entdeckt und vom Netz genommen.

Symantec und ESET berichten übereinstimmend, Duqu besitze einen zu Stuxnet analogen Kommunikationsmechanismus . Dieser könne Kommandos von einem infizierten Rechner mit Internetverbindung an einen internen Rechner ohne Internetverbindung weiterreichen. Dabei verwende Duqu RPC über SMB ("Named Pipes "), was von keiner Firewall blockiert werden wird.

Insgesamt also viele Parallelen, neben den völlig verschiedenen Payloads und Angriffszielen. Symantec spricht von mittlerweile 3 verschiedenen Payloads, die alle Informationen zu eingesetzten Systemen und/oder der Netztopologie entwenden.

UPDATE 04.11.2011: (!!!WICHTIG!!!) Microsoft hat ein Advisory und ein Fix-It herausgegeben, das die Ausnutzung der Sicherheitslücke (CVE-2011-3402 ) durch den Duqu-Installer verhindern soll. Die Sicherheitslücke betrifft alle Windows-Versionen und ermöglicht Privilegieneskalation. Der Fehler steckt im Windows-Kernel, genauer gesagt dem Parsen von TrueType Fonts. Voraussichtlich wird Microsoft diese Lücke mit dem November-Patchday am nächsten Dienstag (08.11.2011) noch nicht endgültig schließen. Es empfiehlt sich deshalb die Benutzung des Fix-Its, um kein zu großes Zeitfenster für eine Infektion entstehen zu lassen.

UPDATE 05.11.2011: Die im Advisory 2639658 beschriebenen manuellen Workarounds funktionieren unter Windows XP und Server 2003 nur für englischsprachige Windows-Versionen. In nicht-englischen Windows-Versionen ist der Benutzergruppenname "everyone" durch das jeweilige lokalisierte Äquivalent zu ersetzen (z.B. Deutsch: "Jeder"). Das Fix-It funktioniert auch auf nicht-englischen Sprachversionen. Sowohl die manuelle als auch die automatische Methode verhindern den Zugriff auf die Datei "t2embed.dll". Unter Windows XP und Server 2003 führt das zu der unerwünschten Nebenwirkung, dass die Updates KB972270 (MS10-001) und KB982132 (MS10-076) ständig erneut angeboten werden, auch wenn diese schon installiert sind oder nochmals installiert werden. Es empfiehlt sich deshalb, diese Updates entweder zu ignorieren oder auszublenden.

UPDATE 09.11.2011: Neues gemeinsames Papier des US-CERT und des ICS-CERT ("Joint Security Awareness Report"). Keine neuen Erkenntnisse, lediglich Zusammenfassung.

UPDATE 13.12.2011: Microsoft schließt die Duqu-Lücken im Windows-Kernel-Treiber win32k.sys (MS11-087 /CVE-2011-3402 ) wie erwartet im Zuge des Dezember-Patchdays . Das oben beschriebene Fix-It wird damit obsolet. Diese (Symantec PR- und FUD-)Story ist damit beendet.


it-sa - Die IT-Security-Messe

Auch dieses Jahr besuchten wir wieder die it-sa IT-Security-Messe in Nürnberg. Die Messe ist im Vergleich zu den Vorjahren enorm gewachsen und entsprechend in die wesentlich größere Halle 12 umgezogen. Sowohl bei Ausstellern als auch Besuchern hat die Internationalität im Vergleich zu den Vorjahren stark zugenommen. Die it-sa wurde vom SecuMedia Verlag ins Leben gerufen und in Ihrem nunmehr dritten Jahr von der Nürnberg Messe übernommen.

Nürnberg Messe

Parallel zur it-sa fanden noch die Messen POWTECH (Internationale Fachmesse für Mechanische Verfahrenstechnik), TechnoPharm (Internationale Fachmesse für Life Science Prozesstechnologien) sowie der INDEX Safety Congress und der CleanRoomCongress statt.

Freundlicherweise hat mich der SecuMedia Verlag auf die it-sa eingeladen, der dort seine neue Publikation "Informationsdienst SCADA-Sicherheit - IT-Security für Systeme der Automatisierungs-, Leit- und Steuertechnik " erstmals präsentierte, für die ich auch einen Beitrag verfasst habe .

Gleich zu Beginn besuchte ich den Workshop "IT-Security industrieller Netzwerke", der Insidern jedoch nichts wirklich Neues bieten konnte.

Neben diversen Terminen und Standbesuchen habe ich mir einige der Vorträge in den Foren angesehen. Neben Forum "Blau" (Technik) und Forum "Rot" (Management) gab es dieses Jahr erstmals zusätzlich ein Auditorium mit Sonderveranstaltungen, die aber teilweise nur mäßig besucht waren. Konzeptionell ermöglichte das Auditorium mit variablen Vortragslängen jedoch detailiertere Eröterung eines Themas als die Foren, bei denen die Beiträge fast ausnahmslos auf nur 15 Minuten beschränkt waren. Dementsprechend hatten die Referenten wenig Möglichkeiten, in die Tiefe zu gehen, was sich der eine oder andere fachkundige Besucher sicher gewünscht hätte.

Zu den Keyspeakern zählte Dr. Taher Elgamal, Bundesinnenminister Dr. Hans-Peter Friedrich hielt beim MesseCampus die Keynote.

Hier geht's entlang

Dr. Hans-Peter Friedrich bei seiner Keynote (c) Messe Nürnberg/Thomas Geiger

Das BSI präsentierte sich mit einem großzügigen Stand

Ari Takanen von Codenomicon: "Security for the Internet of Things"

Weitere Impressionen von der Messe finden Sie in der nachfolgenden Bildergallerie.

Weitere Bilder finden Sie auch beim Presse-Service der it-sa .



Hier finden Sie aktuelle Themen und Hintergründe rund um Sicherheit, Internet und Recht, das Sachverständigenwesen und die Computer-Forensik.

Mon Di Mi Do Fr Sa So
          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31