Stuxnet kan ontsmette pc's opnieuw belagen
Een onderzoeker van IT-securityfirma Symantec ontdekte de nog niet eerder blootgelegde manier waarop Stuxnet zich verspreidt. Liam O Murchu, operationeel directeur van Symantec, vertelde Computerworld dat hierdoor backups een nieuwe bron van besmetting kunnen vormen. O Murchu ontrafelt de werking van Stuxnet al sinds de malware in juli voor het eerst opdook.
Shutterstock
Shutterstock
Stuxnet is een zeer geavanceerde worm die zich indirect richt op industriële software van Siemens. De malware besmet Windows-pc’s die de Scada-systemen van Siemens besturen. Scada op zijn beurt wordt gebruikt in allerlei productie- en regelapparatuur in fabrieken en technische installaties.
Volgens O Murchu blijkt Stuxnet op een besmette pc in ieder Step 7-project een kwaadaardige Dynamic Link Libray (DLL), een onderdeel van Windows, te injecteren. Step 7 is de software van Siemens voor het programmeren en configureren van Scada-apparatuur. De kwaadaardige DLL zorgt ervoor dat de worm zich verspreidt naar andere, nog niet of niet meer geïnfecteerde pc’s zodra een besmet Step 7-bestand wordt geopend.
Door mee te liften met een DLL kan Stuxnet Windows-pc’s die al zijn schoongemaakt later opnieuw besmetten zodra de gebruiker een Project 7-project opent. O Murchu geeft als mogelijk scenario dat de gebruiker eerst een back-up heeft gemaakt voordat Stuxnet van de pc is verwijderd. Als hij daarna de back-up terugzet, wordt de pc opnieuw geïnfecteerd.
Ook is denkbaar dat de malwaremakers hoopten via de DLL systemen te kunnen infecteren op een centrale afdeling waar Scada-programmatuur wordt ontwikkeld. Van daaruit zou de worm weer kunnen overspringen naar decentrale locaties waar de Step 7-bestanden worden ingezet om installaties te besturen.
O Murchu noemt het gebruik van de DLL “een zeer opmerkelijke eigenschap” die het ontsmetten van aangetaste pc’s een stuk lastiger maakt. Volgens hem betekent het dat de makers van de worm een diepgaande kennis moeten hebben van de bedrijfssoftware van Siemens.
Van Stuxnet was al bekend dat het zich op meer dan één manier kan verspreiden, uiteenlopend van USB-geheugensticks tot diverse niet gepatchte beveiligingslekken in Windows. Het grote aantal ‘aanvalsvectoren’ maakt Stuxnet volgens de experts van onder meer Symantec en Kaspersky Labs uniek en angstaanjagend. Liam O Murchu geeft deze week een presentatie over Stuxnet op een conferentie van Virus Bulletin in Canada, net als onderzoekers van Microsoft en Kaspersky.
Gerelateerde artikelen
Gerelateerde artikelen
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee