¿Cómo se puede detectar malware como Stuxnet?

Puedo pensar en algunas maneras:

1. El malware se conecta al servidor C & C. Si supervisa su tráfico (ya que se debe monitorear un sistema sensible), entonces encontrará un tráfico inusual que puede ser firmado (y debería ser investigado)

2. Si el malware usa unidades flash USB para propagarse, y tiene diferentes plataformas de computadora en su entorno (e, g: windows, mac, linux y sistemas BSD), verá otras plataformas ejecutables en el unidades flash. De esta manera usted tiene una verdadera "muestra" del malware para analizar. (la mayoría de los programas maliciosos son específicos de la plataforma), por lo que puede ver los archivos de programas maliciosos si conecta la unidad flash a una máquina que no sea Windows sin el riesgo de infectarse)

3. Honeypots: dijiste que stuxnet es demasiado inteligente para caer en honeypots, pero creo que todo se trata de quién es más inteligente: el honeypot o el malware. Si utiliza un honeypot común, el malware lo ignorará con seguridad, pero si el honeypot está utilizando nuevas técnicas, no será detectado por Malwares. tenga en cuenta que algunos malware altamente sofisticados, como Duqu y Flame, se propagan solo cuando los servidores C & C lo indican, lo que los hace mucho menos vulnerables a ser encontrados por honeypots.

Después de que escribí esto, fui a ver cómo se encontró Stuxnet, Stuxnet mismo fue detectado debido a un error que hizo BSOD (Azul Screen of Death) en las computadoras infectadas ( source ). Flame fue encontrada mientras los investigadores estaban buscando otro malware. No pude encontrar cómo estaba Duqu encontrado.

Todos podemos ser muy inteligentes, pero lo que realmente necesitamos para encontrar virus tan sofisticados es la suerte ...

Su pregunta se puede ver en un contexto más amplio: cómo defenderse contra un ataque de estilo APT (amenaza persistente avanzada) (también conocido como ataque dirigido).

Resumen de Qucik sobre las principales características de los ataques APT:

Vector de ataque

Como se ha visto hasta ahora, la mayoría de los ataques de este tipo utilizan uno de los tres vectores de ataque (con algunos ejemplos):

1. fising spear:
   • GhostNet
   • Safe: A Theded Amenaza
   • Ciberespionaje en Corea del Sur
2. USB infectado:
   • Stuxnet
   • El peor ataque cibernético al ejército de EE. UU. se produjo mediante una unidad flash
3. compromisos web estratégicos

En la práctica, todos estos 3 vectores de ataque predominantes no se pueden prevenir al 100% en una empresa más grande con una red lo suficientemente grande y una gran cantidad de empleados. Entonces, debido a que la prevención fracasa, tenemos que construir nuestra defensa en las capacidades de detección. Pero como todos sabemos, la detección de ataques dirigidos es difícil y tales ataques pueden pasar desapercibidos durante años, como lo demostró el APT1 Mandinat Report . Es difícil principalmente debido al sigilo del malware que se usa en estos ataques.

Stealthiness

El sigilo de los ataques dirigidos se basa en el hecho de que el software malicioso utilizado para ejecutar este tipo de ataques es software malicioso personalizado. El software AV no lo ha visto nunca antes, los sistemas IDS no tienen firmas para ello, etc.

Enfoques de defensa

Los conceptos de defensa contra tales ataques aún emergen y evolucionan, algunos ejemplos notables:

El enfoque de Lockheed Martin basado en Threat Intelligence & Kill Chains ( link1 link2 )

O

RSA y el centro de inteligencia de riesgo cibernético de Internet Security ( link1 link2 )

Se cree que Stuxnet fue creado por una entidad importante (como el gobierno), lo que significa que fue creado por expertos que sabían muy bien lo que estaban haciendo y lo hicieron extremadamente difícil de detectar. De hecho, podrían haber trabajado con diferentes compañías que poseen el conocimiento, los productos o las tecnologías que estaban atacando específicamente. Dicho esto, creo que la mejor manera de detectar este tipo de malware es utilizar una seguridad basada en políticas (es decir, protección del sistema crítico de Symantec) que sea más proactiva que reactiva. Con este tipo de tecnología basada en políticas, puede limitar el sistema para que realice solo ciertas actividades que se esperan de él. Por ejemplo, la política de seguridad se puede configurar para que bloquee cualquier comunicación RPC . Si se produce la comunicación RPC, se activarán los registros de mensajes de advertencia. Estos mensajes de advertencia se pueden correlacionar utilizando la consola de informes central de la herramienta para detectar una disparidad sobre lo que está haciendo el sistema y cómo se está alejando de su funcionamiento normal.

Otros pueden corregirme, pero recuerdo que algo que fue único acerca del ataque de Stuxnet es que Stuxnet fue firmado digitalmente ... como software de Siemens. Como apuntaba a los sistemas de control de Siemens, era probable que las aplicaciones firmadas por Siemens ya fueran confiables, por lo que una capa de defensa se volvió inútil. Para hacerlo, por supuesto, se requería que alguien lograra aplicar ingeniería inversa al certificado de firma de aplicaciones de Siemens, pirateara a Siemens y obtuviera una copia de su clave privada, o obligó a Siemens a cooperar con ellos ...     

No sé acerca de los IDS de inteligente , pero un IDS (verificador de integridad de archivos) basado en un host simple que no ignora los archivos binarios solo porque están firmados habría detectado el problema, ambos en MS- Windows y SCADA.

Para medidas más sofisticadas ... la supervisión activa del tráfico DNS (junto con la segregación adecuada de entornos) habría detectado los intentos de contacto con C & C. La supervisión / detección de tráfico de red anormal puede haber detectado la exploración y la actividad RPC.

Las tres técnicas siguen siendo válidas y aplicables a otros programas maliciosos hoy en día, pero si tiene un requisito muy real para protegerse contra un estado determinado, entonces tendrá que hacer mucho más que esto.

Este escenario en particular es el peor de los casos para planificar.

Sabemos que el ataque de Stuxnet es un virus persistente muy en sintonía que se propaga a través de dos vulnerabilidades de seguridad previamente desconocidas. Sin embargo, el escenario real es peor que eso.

Hubo ataques previos hechos en el mismo sitio por virus de la prototouxux que tenían como objetivo estudiar las defensas. Estos fueron detectados y limpiados, pero tuvieron éxito en su objetivo de determinar qué defensas estaban en su lugar.

En la historia alternativa de que Irán tenía defensas específicas contra la Stuxnet que conocemos, Stuxnet habría sido diferente y las defensas aún serían inadecuadas. Este es el problema más difícil que la seguridad de la información tendría que enfrentar. Un virus específicamente dirigido a usted por una entidad que estudió sus debilidades no es vencible. No hay solución a este problema.

Conozco un conjunto de defensas que podrían haber funcionado, pero funcionan o no funcionan a un nivel muy bajo, lo que hace que el virus no se active ni se detecte y ni siquiera sabes que se intentó el ataque. que no es lo que desea, ya que el atacante observará el fallo silencioso e intentará nuevamente con una ruta de ataque diferente.