In che modo è possibile rilevare malware come Stuxnet?

Posso pensare ad alcuni modi:

1. I malware si connettono al server C & C. se controlli il tuo traffico (dal momento che il sistema sensibile deve essere monitorato), allora trovi un traffico insolito che può essere segnalato (e dovrebbe essere esaminato)

2. Se il malware utilizza le unità flash USB per diffondersi e hai diverse piattaforme di computer nel tuo ambiente (e, g: windows, mac, linux e BSD), allora vedrai altri eseguibili di piattaforme sul unità flash. In questo modo hai un vero "campione" di malware da analizzare. (la maggior parte dei malware sono specifici della piattaforma), quindi puoi vedere i file malware se colleghi l'unità flash a una macchina non Windows senza il rischio di essere infetti)

3. Honeypot - Hai detto che stuxnet è troppo intelligente per cadere in honeypot, ma penso che sia tutto su chi è più intelligente - l'honeypot o il malware. Se si utilizza un honeypot comune, il malware lo ignorerà di sicuro, ma se l'honeypot utilizza nuove tecniche, non verrà rilevato come uno da malware. tieni presente che alcuni malware molto sofisticati, come Duqu e Flame, si diffondono solo se istruiti dai server C & C, che li rende molto meno vulnerabili alla ricerca di honeypot.

Dopo averlo scritto, sono andato a vedere come è stato trovato Stuxnet, Stuxnet è stato rilevato a causa di un bug che ha creato BSOD (Blu Screen of Death) sui computer infetti ( fonte ). Fiamma è stata trovata mentre i ricercatori cercavano un altro malware. Non riuscivo a trovare il modo in cui Duqu era trovato.

Quindi possiamo essere tutti molto intelligenti, ma ciò di cui abbiamo davvero bisogno per trovare virus così sofisticati è la fortuna ...

La tua domanda può essere vista in un contesto più ampio: come difendersi da un attacco in stile APT (avanzata minaccia persistente) (noto anche come attacco mirato).

Riepilogo di Qucik sulle principali caratteristiche degli attacchi APT:

Vettore di attacco

Come visto finora, la maggior parte di questi attacchi utilizza uno dei tre vettori di attacco (con alcuni esempi):

1. spear phising:
   • GhostNet
   • Sicuro: una minaccia mirata
   • Cyberespionage in Corea del Sud
2. USB infetto:
   • Stuxnet
   • Il peggior attacco informatico ai militari statunitensi è arrivato tramite flash drive
3. compromessi web strategici

In pratica, tutti questi 3 vettori di attacco predominanti non possono essere prevenuti al 100% in qualsiasi azienda più grande con una rete abbastanza grande e un numero elevato di dipendenti. Quindi, poiché la prevenzione fallisce, dobbiamo costruire la nostra difesa sulle capacità di rilevamento. Ma come tutti sappiamo, rilevare gli attacchi mirati è difficile e tali attacchi possono passare inosservati per anni come ci ha mostrato Rapporto APT1 Mandinat . È difficile soprattutto a causa della furtività del malware usato in questi attacchi.

stealthiness

La furtività degli attacchi mirati si basa sul fatto che il malware utilizzato nell'esecuzione di questo tipo di attacco è un malware personalizzato - non è mai stato visto prima dal software AV, i sistemi IDS non hanno firme per esso, ecc.

Approcci della difesa

I concetti di difesa contro tali attacchi emergono e si evolvono, alcuni esempi degni di nota:

L'approccio di Lockheed Martin basato su Intelligence delle minacce & Kill Chains ( link1 link2 )

o

L'approccio di RSA e Center for Internet Security per il cyber-risk intelligence ( link1 link2 )

Si ritiene che Stuxnet sia stato creato da una grande entità (come il governo) il che significa che è stato creato da esperti che sapevano molto bene cosa stavano facendo e lo rendevano estremamente difficile da rilevare. In realtà avrebbero potuto lavorare con diverse aziende che possiedono le conoscenze, i prodotti o le tecnologie che stavano attaccando in modo specifico. Detto questo, credo che il modo migliore per rilevare questo tipo di malware sia utilizzare una sicurezza basata su criteri (ad esempio la protezione di Symantec Critical System) che è più proattiva che reattiva. Con questo tipo di tecnologia basata su criteri è possibile limitare il sistema a eseguire solo solo attività che ci si aspettava da esso. Ad esempio, la politica di sicurezza può essere impostata in modo che blocchi qualsiasi comunicazione RPC . Se si verifica una comunicazione RPC, si attivano i log dei messaggi di avviso. Questi messaggi di avviso possono essere correlati utilizzando la console di reporting centrale dello strumento per rilevare una disparità su ciò che il sistema sta facendo e su come si sta allontanando dal suo normale funzionamento.

Altri potrebbero correggermi, ma ricordo che qualcosa di unico riguardo all'attacco Stuxnet è che Stuxnet è stato firmato digitalmente ... come software Siemens. Poiché si rivolgeva ai sistemi di controllo Siemens, era probabile che le applicazioni firmate da Siemens fossero già affidabili, e quindi uno strato di difesa era reso inutile. Ovviamente, è stato necessario che qualcuno riuscisse a decodificare il certificato di firma delle applicazioni Siemens, a hackerare Siemens e ottenere una copia della chiave privata, o obbligare la Siemens a collaborare con loro ...

Non so di ID intelligent , ma un IDS (controller di integrità dei file) basato su un dumb host che non ignora i binari solo perché sono firmati avrebbe rilevato il problema - sia su MS- Windows e SCADA.

Per misure più sofisticate ... il monitoraggio attivo del traffico DNS (insieme a un'adeguata segregazione degli ambienti) avrebbe rilevato i tentativi di contatto al C & C. Monitoraggio / rilevamento di traffico di rete anormale può aver rilevato l'attività di scansione e RPC.

Tutte e tre le tecniche sono ancora valide e applicabili ad altri malware oggi, ma se hai un requisito molto reale di protezione contro uno stato nazione determinato, allora dovrai fare molto più di questo.

Questo particolare scenario riguarda il caso peggiore da pianificare.

Sappiamo che l'attacco Stuxnet è un virus persistente molto sintonizzato che si diffonde attraverso due vulnerabilità di sicurezza precedentemente sconosciute. Tuttavia, lo scenario reale è peggiore di quello.

Vi erano precedenti attacchi effettuati sullo stesso sito da virus di proto-stuxnet il cui compito era studiare le difese. Questi sono stati rilevati e puliti, ma hanno avuto successo nel loro obiettivo di determinare quali difese erano in atto.

Nella storia alternativa che l'Iran aveva difese specifiche contro lo Stuxnet sappiamo, Stuxnet sarebbe stato diverso e le difese sarebbero state ancora inadeguate. Questo è il problema più difficile che la sicurezza delle informazioni avrebbe mai dovuto affrontare. Un virus specificamente mirato a te da parte di un'entità che ha studiato i tuoi punti deboli non è neutralizzabile. Non c'è soluzione a questo problema.

In genere conosco un insieme di difese che potrebbero aver funzionato, ma funzionano o non funzionano a un livello molto basso causando l'attivazione o il rilevamento del virus e non si sa nemmeno se l'attacco è stato tentato, che non è quello che vuoi dato che l'attaccante osserverà l'errore silenzioso e riproverà con un diverso percorso di attacco.