[Warning] Special Report: Erkennung von Stuxnet
Robert Waldner
waldner at cert.at
Mon Sep 27 18:02:42 CEST 2010
27. September 2010
Anlässlich der aktuellen Berichterstattung zum Thema "Stuxnet" gibt
CERT.at diesen Special Report heraus.
Beschreibung
Aktuell kursiert Schadsoftware, die die Manipulation von
industriellen Steuerungsanlagen der Marke Siemens SIMATIC zum Ziel
hat.
Betroffene Systeme
Die aktuelle Schadsoftware ("Malware") verbreitet sich über mehrere
Schwachstellen in Microsoft Windows und infiziert, über die zur
Steuerung und Programmierung der Anlagen (SIMATIC, WinCC, PCS7)
verwendeten Windows-PCs, die industriellen Anlagen selbst.
Betroffene Betriebssysteme:
* Windows XP
* Windows Vista
* Windows 7
* Windows Server 2003
* Windows Server 2008
Betroffene Siemens-Software:
* Siemens SIMATIC Steuerungen
* WinCC
* Step7
CERT.at möchte betonen, dass sämtliche Windows-PCs, also auch jene,
die nicht mit einer Siemens SIMATIC Steuerung verbunden sind,
genauso infiziert sein können. Betroffen sind somit auch Heim-PCs
oder PCs in Unternehmen. Dort allerdings wird derzeit kein Schadcode
ausgeführt, sondern diese PCs werden nur zur Weiterverbreitung
verwendet.
Auswirkungen
Die Auswirkungen können von Industriespionage, über
sicherheitsrelevante Fehlfunktionen in den Steuerungssystemen bis zu
Systemausfällen führen. Es sind daher entsprechende Maßnahmen zur
Erkennung von Infektionen und Absicherung der Anlagen zu treffen.
Der Hersteller Siemens stellt eine Anleitung zur Kontrolle und
Bereinigung der Systeme zur Verfügung.
Der vorliegende Bericht zeigt auf, wie man lokal und mittels
Netzwerkmonitoring feststellen kann, ob potentiell eine Infektion im
eigenen Unternehmen stattgefunden hat.
Zielpublikum
Der vorliegende Bericht ist öffentlich. Er richtet sich an System-
und Netzwerkadministratoren in österreichischen Unternehmen und hat
das Ziel, Hinweise auf eine Infektion mit dem sogenannten
“Stuxnet”-Trojaner zu liefern. Der Bericht erhebt keine Ansprüche
auf Vollständigkeit oder Korrektheit. Die angeführten Informationen
sind zum aktuellen Zeitpunkt nach bestem Wissen recherchiert. Neuere
Versionen bzw. Korrekturen zu diesem Bericht werden auf der CERT.at
Homepage publiziert.
Hinweis
Weitere Details können dem CERT.at Special Report, der unter
http://www.cert.at/static/downloads/specials/stuxnet-report_public.pdf
zur Verfügung steht, entnommen werden.
Credits
Wir möchten sowohl dem Siemens CERT, BFK als auch Ikarus Software
für die freundliche Unterstützung danken.
Allgemeiner Hinweis zur Erhöhung der Computersicherheit
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, parallel Firewall-Software
aktiv und den Virenschutz aktuell zu halten.
__________________________________________________________________
Informationsquelle(n):
CERT.at Special Report zu Stuxnet:
http://www.cert.at/static/downloads/specials/stuxnet-report_public.pdf
Siemens Informationsseite zu Stuxnet (englisch):
http://support.automation.siemens.com/WW/llisapi.dll?func=cslib.csinfo&lang=en&objid=43876783&caller=view
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 198 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20100927/559cc387/attachment.sig>
More information about the Warning
mailing list