Forensic Investigations / Fi Blog / BlackHat DC 2011 (1) - Stuxnet ist KEIN Meisterwerk


BlackHat DC 2011 (1) - Stuxnet ist KEIN Meisterwerk

BlackHat DC 2011 - "Master Offense"

Obwohl ich mit der Berichterstattung sehr hinterher hinke, und noch nicht einmal alle Artikel zum 27. Chaos Communication Congress fertiggestellt habe, hier dennoch vorab der erste Kommentar zur gestern zu Ende gegangenen BlackHat DC 2011 Sicherheitskonferenz.

Wirklich ein 'Meisterwerk'?

Tom Parker erläuterte kürzlich , dass der Code von Stuxnet keinesfalls so ausgeklügelt sei, wie vielfach in den Medien berichtet. Für die aufmerksamen Leser dieses Blogs ist das nichts wirklich Neues; bereits im Oktober hatte ich beispielsweise berichtet , dass der Wurm über keine besonders ausgeklügelte Rootkit -Technologie verfügt und sich sehr leicht entfernen lässt.

Der Embedded Systems Security-Spezialist Nate Lawson kommentierte deshalb m.E. zu Recht, dass er entsprechende Techniken schon in den 90er Jahren von "bulgarischen Teenagern" gesehen hätte.

Anti-Forensische Maßnahmen nicht einmal durschnittlich

Wie Parker wiederum richtig ausführt, enthält Stuxnet zwar Code, um AntiVirus-Software auszutricksen, aber keine fortgeschrittenen Anti-Debugging-Routinen oder Tricks zur Code-Obfuscation , wie Sie heutzutage in fast jeder Malware gängig sind. Diese Tricks können eine Analyse des Programmcodes wesentlich erschweren und verzögern.

Lawson merkt weiterhin zu Recht an, dass Stuxnet keine fortgeschrittenen Design-Patterns wie 'Hash-and-Decrypt' verwendet, bei dem der Schlüssel zum Entpacken der 'Nutzlast' aus Umgebungsparametern zusammengesetzt wird, was eine Entschlüsselung somit nur auf dem tatsächlichen Zielsystem erlaubt hätte. Durch diesen 'Mangel' war es für jedermann leicht möglich, den enthaltenen SPS-Schadcode zu analysieren.

Ich ergänze dazu mal noch Folgendes:

  • Stuxnet installiert sich direkt nach dem Exploit des 'LNK'-Bugs, statt eine gewisse 'Inkubationszeit' einzuhalten, um den Infektionsweg zu verschleiern
  • bei der Installation werden ganz unverhohlen Registry-Keys wie "SOFTWARE\SIEMENS\WinCC\Setup" oder "SOFTWARE\SIEMENS\STEP7" abgefragt, womit die SIEMENS-Software sofort als Ziel ausgemacht werden kann. Ein ausgeklügelter Virus würde beispielsweise das 'Programme'-Verzeichnis listen, Hashes von den Namen der Verzeichniseinträge erstellen, und diese dann mit dem Hash der Zeichenkette 'Siemens' vergleichen. Letzteres Verfahren würde nicht in den ersten fünf Minuten der Analyse auffliegen.

Netzwerkkommunikation unterentwickelt

Parker führte auch aus, dass Stuxnet nur über eine vergleichsweise rudimentäre "Command & Control " Struktur verfüge und die Netzwerkkommunikation unverschlüsselt abliefe. Zumindest Ersteres kann ich so bestätigen.

Schlussfolgerung

Sowohl Parker als auch Lawson ziehen den Schluss, dass es eher unwahrscheinlich sei, dass ein westlicher Geheimdienst so dilettantisch seien würde. Es darf auch als unwahrscheinlich gelten, dass die Urheber eine Entdeckung des Wurms billigend in Kauf genommen hätten.

Entgegen dem viel diskutierten, aber wenig substanziierten Bericht der New York Times, die USA und Israel würden hinter Stuxnet stecken und SIEMENS habe unfreiwillig Schützenhilfe geleistet , und den ebensolchen Vermutungen Irans selbst , halte ich diese Theorie zumindest für wesentlich schlüssiger begründet, die der Autor Jeffrey Carr auch nochmals verteidigt hat .

Zumindest das Ziel des Angriffs dürfte in der Fachwelt mittlerweile weitgehend unstreitig sein.

Kommentare

Bitte melden Sie sich Logan oder registrieren Sie sich um kommentieren zu können.



Hier finden Sie aktuelle Themen und Hintergründe rund um Sicherheit, Internet und Recht, das Sachverständigenwesen und die Computer-Forensik.

Mon Di Mi Do Fr Sa So
        1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 31