Slik slåss Microsoft mot Stuxnet

Kresne hackere lot seg imponere av arbeidet.

Stuxnet har forbløffet sikkerhetseksperter verden over siden oppdagelsen av den svært avanserte Windows-ormen i sommer.

Det tegnes et bilde av en type IT-trussel ingen tidligere har sett maken til; et første eksempel på et vellykket og høyst målrettet kybervåpen.

En serie artikler fra digi.no har presentert tilgjengelig kunnskap om Stuxnet etter hvert som ormen er analysert av ulike sikkerhetsmiljøer. Artiklene har pekt på hvorfor ormen kan tolkes som et skreddersydd angrep på anlegg for urananriking i Iran. Ifølge de siste rapportene kan viruset ha ødelagt 1000 sentrifuger og satt landets urananrikningsprogram tilbake flere år.

Microsoft holdt i romjulen et innlegg på hackersamlingen Chaos Communication Congress i Berlin.

Der avslørte selskapet hvordan de kjempet en intens kamp for å analysere Stuxnet og lappe Windows, både i samarbeid med – og i kappløp med sikkerhetsmiljøer.

Det som har blitt kalt tidenes mest sofistikerte kybervåpen utnyttet hele fem sårbarheter for å ramme flere utgaver av Windows. Fire av disse sårbarhetene var tidligere helt ukjente.

Bruce Dang, Microsofts ekspert på ondsinnet kode, fortalte at det tok ham og mellom 20-30 kolleger rundt 40 arbeidstimer å analysere ormen og lappe hullene. Gruppen av virusanalytikere var under sterkt press for å avdekke ormens egenskaper. Underveis ble de overrasket flere ganger.

- Vi visste at mange andre [sikkerhetseksperter] jobbet med det samme, og det er viktig for oss å få vite detaljene før andre selskaper, sa Dang, som ledet operasjonen.

Microsoft ble først varslet om Stuxnet i juni, da det hviterussiske sikkerhetsselskapet VirusBlokAda kontaktet dem og la frem en PDF-fil med skjermbilder som demonstrerte hvordan ormen opptrådte. Ifølge Dang skal Microsoft først ha vært fristet til å avfeie rapportene, fordi de trodde hullene var gamle og allerede fikset.

Snarvei-hull

Da de likevel kikket nærmere på koden oppdaget de raskt nye trusler. En av disse utnyttet en sårbarhet i snarvei-funksjonen og lnk-filer i Windows. Denne skal ha gitt ormen anledning til å eksekvere filer på infiserte maskiner, men bare med samme rettigheter som den innloggede brukeren.

Med denne oppdagelsen trodde gruppen at de hadde kommet til bunns i saken, men det viste seg å være feil. Nærmere etterforskning viste at nye ukjente drivere ble installert på testmaskinene deres, under Windows XP og Windows 7.

Planlagte oppgaver

Dette viste seg å skyldes en feil i håndteringen av «planlagte oppgaver» i Windows, som ga ormen ytterligere rettigheter. Her ble XML-baserte oppgavefiler opprettet og skrevet over. Sårbarheten skal ha virket i tospann med snarvei-hullet, og gjort det mulig for Stuxnet å plante rootkit-kode dypt i systemet.

Microsoft valgte å endre måten oppgavehåndtering bruker hash-verdier for å bekrefte integriteten i filene under Vista og Windows 7 for å få bukt med problemet, men heller ikke dette stoppet ormen.

Tastatur-hull

Det ble oppdaget at en DLL-systemfil ble lastet inn på mistenkelig vis. Nærmere analyse viste at ormen her opptrådte forskjellig under Windows XP og Windows 7. Microsofts analyseteam brukte lenger tid på å forstå denne angrepsvektoren, men oppdaget til slutt at sårbarheten lå i metoden som Windows XP bruker for å bytte tastaturkonfigurasjon. Også dette hullet ga Stuxnet administrative rettigheter.

Heller ikke denne oppdagelsen skulle vise seg å være den siste.

Feil i utskriftskøen

Microsoft ble varslet av sikkerhetsselskapet Kaspersky Lab om mistenkelige RPC-forespørsler (Remote Procedure Call) i nettverk infisert av Stuxnet.

I labforsøk bekreftet Microsoft at ormen spredte seg ukontrollert fra maskin til maskin. Etterforskningen avdekket en tidligere ukjent sårbarhet i utskriftskøen under Windows XP, som ga gjestekontoer full skrivetilgang.

Ukjente bakmenn

Bruce Dang ønsket ikke å spekulere i hvem som står bak Stuxnet. Han understreket at Microsoft har begrenset seg til å undersøke Windows-delen av ormens trusler.

Følgelig har de ikke konsentrert seg om hvilken skade den gjør på det industrielle styringssystemet Simatic WinCC fra Siemens, som ormen retter seg mot.

Totalt skal Stuxnet bestå av binærkode på rundt 1 megabyte. Ifølge kvalifisert gjetting av Bruce Dang kan angrepskoden mot Windows-sårbarhetene være rundt 30-40 prosent av filens størrelse.

Stabil kode

Dang gikk imidlertid langt i å antyde at koden er skrevet av flere ulike eksperter. Videre lot Microsofts analyseteam seg imponere av hvor robust ormen er laget. I de mange testforsøkene deres krasjet aldri Stuxnet.

Presentasjonen til Microsoft-eksperten ble svært godt mottatt på hackerkonferansen. Applausen stod i taket, noe som etter sigende er sjelden kost hos det kresne publikumet.

- Jeg hadde aldri ventet å sette så stor pris på et foredrag fra Microsoft, sa en i salen i spørsmål- og svarrunden etter foredraget.

Hele foredraget til Bruce Dang er lagt ut på Youtube:

Kilder:
Der Standard
Wired.com
Golem.de

    Les også:

Til toppen