2012-05-14 Grenoble INP Ensimag 4MMSR 4MMSR - S ´ ECURIT ´ E DES R ´ ESEAUX TELECOM 2A, 2011-2012 Fabien Duchene - Karim Hossen - Pascal Malterre Allowed time: 2 hours NOTE: Version fran¸ caise – English: since this examination wording is in french only, in case a sentence would be unclear for you, ask to teacher for translation (no guarantee, but he will do his best). – Espa˜ nol: como este enunciado esta solamente en Frances, si hay alguna phrase que usted no entiende, pregunta al ense˜ nante para una translaci´ on (sin garantia, pero se va a hacerlo mejor que puede). Vous pouvez r´ ediger en fran¸ cais ou en anglais. Documents: 1 seule page A/4 recto/verso autoris´ ee. R´ epondre directement sur le sujet d’examen except´ e pour la synth` ese de l’exercice s´ eminaire. ˆ Etre concis et pr´ ecis. R´ epondre uniquement ` a ce qui est demand´ e et par votre propre formulation. (eg: pas de copier-coller du cours) Cet ´ enonc´ e comporte une annexe. Les exercices sont ind´ ependants. 2H pour 20 points, donc consacrer environ 6 min par point. Aucun p´ eriph´ erique ´ electronique (ex: calculatrice, ordinateur ou t´ el´ ephone portable) n’est autoris´ e. Tout cas av´ er´ e de fraude sera s´ ev` erement sanctionn´ e. Lorsque les surveillant(e)s vous l’autorisent, vous pouvez tourner cette page, pas avant. https://ensiwiki.ensimag.fr/index.php/4MMSR-Network_Security-2011-2012 Table des mati` eres 1 S´ ecurit´ e R´ eseaux (2 pts) 2 2 Cryptographie (4 pts) 3 3 Vuln´ erabilit´ es Web (5 pts) 5 4 Fuzzing (1 pt) 8 5 The Onion Router et Forensics R´ eseaux (3 pts) 9 6 Seminaires (5 pts) 13 A Annexes 14 1/13 – Annexes: 14-30 CONTINUED
30
Embed
Grenoble INP Ensimag 4MMSR 4MMSR - SECURIT E DES R ESEAUX€¦ · 2012-05-14 { 2 {Grenoble INP Ensimag 4MMSR 1 S ecurit e R eseaux (2 pts) 1. Hypoth ese : WEP est utilis e pour assurer
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
NOTE: Version francaise– English: since this examination wording is in french only, in case a sentence would be unclear for you,
ask to teacher for translation (no guarantee, but he will do his best).– Espanol: como este enunciado esta solamente en Frances, si hay alguna phrase que usted no entiende,
pregunta al ensenante para una translacion (sin garantia, pero se va a hacerlo mejor que puede).Vous pouvez rediger en francais ou en anglais.Documents: 1 seule page A/4 recto/verso autorisee.Repondre directement sur le sujet d’examen excepte pour la synthese de l’exercice seminaire.Etre concis et precis. Repondre uniquement a ce qui est demande et par votre propreformulation. (eg: pas de copier-coller du cours)Cet enonce comporte une annexe.Les exercices sont independants.2H pour 20 points, donc consacrer environ 6 min par point.Aucun peripherique electronique (ex: calculatrice, ordinateur ou telephone portable) n’est autorise. Toutcas avere de fraude sera severement sanctionne.Lorsque les surveillant(e)s vous l’autorisent, vous pouvez tourner cette page, pas avant.
1. Hypothese : WEP est utilise pour assurer une(des) propriete(s) sur les donnees echangees entre un clientsans fil et un point d’acces.– Soit t le nombre des IV (Initialization Vector) possibles .– Soit Pr(Bn) la probabilite que deux paquets parmi n possedent le meme IV.– Et Pr(Bn) = 1− Pr(Bn)
(a) Quelle(s) est(sont) cette(ces) propriete(s) de securite ?
(b) (i) Quelle est la valeur possible de t ?
(ii) Exprimer Pr(B2) comme une fonction de t.
(iii) Exprimer Pr(B3) comme une fonction de t et de Pr(B2).
(iv) Exprimer Pr(Bn) comme une fonction de t de n. (Il est facile de demontrer ceci par recurrence,ne pas demontrer, uniquement fournir la formule).
(c) Sachant que :– Paul Richard Halmos (mathematicien, 1916-2006) a demontre que 1− x < e−(x)
... combien de paquets un attaquant a-t-il besoin de collecter afin d’avoir une probabilite de 73% que2 paquets captures possedent le meme IV ? (ne pas effectuer le calcul, juste mettre en equation etexpliquer quelle valeur vous choisissez parmi les possibles).
(d) Pendant la lecture, nous avons vu une autre attaque pour laquelle le paradoxe de l’anniversaire etaitutile. La nommer et decrire brievement l’objectif de l’attaquant.
2/13 – Annexes: 14-30 CONTINUED
2012-05-14
– 3 –
Grenoble INP Ensimag
4MMSR
2 Cryptographie (4 pts)
K. Hossen
2. (a) Donnez la definition de cryptanalyse et decrypter (1 ligne chacun).
(b) Quelles sont les principales differences entre un algorithme de substitution mono-alphabetique et poly-alphabetique ? Et citez en un de chaque.
(c) On vous propose d’ameliorer Cesar en chiffrant plusieurs fois de suite. Pour un caractere clair M, lecaractere chiffre correspondant en utilisant n fois Cesar est Cn tel que : Cn = (((M+K1)+K2)+...+Kn).Qu’en pensez vous ?
(d) Quelles sont les principales differences entre un algorithme de chiffrement symetrique et asymetrique ?Et citez en un de chaque.
(e) Une fois ingenieur, vous apprenez que votre jeu de role prefere utilise AES en mode ECB avec des clesde 256 bits pour chiffrer ses communications. Que faites vous ? (Si vous ne jouez pas a un jeux de role,que pensez vous de la securite du jeu ?)
3/13 – Annexes: 14-30 CONTINUED
2012-05-14
– 4 –
Grenoble INP Ensimag
4MMSR
3. (a) Vous etes ensuite embauche dans une entreprise qui distribue des cles RSA de 1024 bits a chacunde ses employes pour securiser les transmissions de donnees importantes. Quel est votre reaction ? Etpourquoi ?
(b) Un developpeur Web vous demande ensuite un conseil pour definir comment seront stockes les mots depasse des clients dans la base de donnees. Que repondez vous ? (plus la stategie est bonne → plus depoints)
(c) Un stagiaire vous dis qu’il a prefere utiliser un CRC256 (sur 256 bits, et tres rapide) pour verifier queles bons de commande ne sont pas modifies apres leur creation. Le CRC256 calcule est ensuite stocke,puis est accessible en lecture seule. Une fois qu’un bon va etre utilise, le CRC du bon est compare acelui sauvegarde pour etre sur qu’il n’a pas ete change. Que pouvez vous lui dire ? Justifiez.
(d) Cette fois ci c’est un ingenieur reseau qui demande un moyen rapide et securise de transferer de grosdocuments (plusieurs Go/min) entre deux site predefinis.
4/13 – Annexes: 14-30 CONTINUED
2012-05-14
– 5 –
Grenoble INP Ensimag
4MMSR
3 Vulnerabilites Web (5 pts)
3.1 XSS dans un formulaire de desinscription de mailing list (2pts)
Le mail suivant a ete envoye sur la mailing full disclosure :
4. (a) Definir le terme XSS et donner un exemple.
(b) Quelle est la difference entre un XSS type-1 (reflected) et un XSS type-2 (stored/persistent) ?
(c) Quelle(s) capacite(s) procure un XSS a un attaquant sur le navigateur d’une victime (penser auximpacts selon STRIDE) ? Si l’on dispose de ce(s) capacite(s), quelle(s) propriete(s) de securite sur lesobjets de la page en cours est un attaquant en mesure de violer (preciser les hypotheses si necessaire) ?
5/13 – Annexes: 14-30 CONTINUED
2012-05-14
– 6 –
Grenoble INP Ensimag
4MMSR
5. voici un extrait du code de la page web (simplifie et legerement modifie) :
sText=’Cher lecteur,<br><br>Votre demande de désinscription de l\’adresse e-mail
<b>##EMAIL##</b> a bien ete prise en compte.<br><br>Si vous avez des questions concernant
ce courrier ou votre adresse, vous pouvez contacter son administrateur à l\’adresse
(a) A l’aide des captures d’ecran suivantes et de l’extrait de code precedent, pour quelle(s) variable(s)d’entree avez vous l’intuition qu’il y a une potentielle injection ? (indiquer brievement pourquoi)
(b) Supposons que ∀arg1, filtreEmail(arg1) = filtreAdm(arg1) = arg1Pour chaque parametre d’entree pour lequel existe un potentiel XSS, donner un exemple(voire 2 si differents) de valeur permettant d’executer le code javascript suivant :window.location=’http://bit.ly/Iqs6OA’;
6/13 – Annexes: 14-30 CONTINUED
2012-05-14
– 7 –
Grenoble INP Ensimag
4MMSR
3.2 Attaques NoSQL : l’exemple de MongoDB (3 pts)
Une base de donnees Not Only SQL (NoSQL) n’utilise pas la syntaxe SQL. C’est le cas de MongoDB.
“...with MongoDB we are not building queries from strings, so traditional SQL injection attacks are not aproblem.” -MongoDB Developer FAQ
Ce code est extrait de l’article de Nicolas Viot sur les attaques NoSQL publie dans le magazine MISC 60http://bit.ly/HCsIMu :
1 <?php2 // . . .3 $m = new Mongo ( ) ;4 $db = $m−>database name ;5
6 $ r e s = $db−>user−>f indOne ( ’ $where ’ => ”7 t h i s . l o g i n == ’ ” . $ POST [ ’ l o g i n a ’ ] . ” ’8 &&9 t h i s . password == ’ ” . $ POST [ ’ passworda ’ ] . ” ’
10 ” ) ;11
12 i f ( ! $ r e s ) {13 print ( ” au then t i c a t i on f a i l e d ” ) ;14 exit ( 1 ) ;15 }16 // au t h en t i c a t e d17 // . . .18 ?>
A la ligne 5, on fait une recherche dans la table user, et on cherche un enregistrement pour lequel le champlogin vaut la valeur du parametre d’entree login envoyee par methode POST ($ POST[’logina’]) ET lavaleur de password vaut $ POST[’passworda’].
Pour acceder au champ eye color d’une table head, on utilise : head.eye color (this est la table courante)Quelques operateurs :– ‖ signifie OR– && signifie AND
6. Hypotheses :– vous connaissez un couple valide de login + mot de passe (eg : megamo et rano.com)– on accede a l’application via http://vulnerab.le/
Ecrire en pseudo-code un programme qui recupere la valeur du champ cellphone de l’enregistrement pourlequel email=’[email protected]’ dans la table customers par une attaque Blind NoSQLInjection.
Questionnaire a Choix Multiples avec degre de certitude :– Toute reponse correcte (resp. erronee) vous fait gagner (resp. perdre) des points.– Cocher les reponses que vous estimez correctes– Indiquer a cote de chaque reponse possible (que vous l’estimiez vrai ou fausse) votre degre de confiance
(20, 40, 60, 80 ou 100%)
Questions Reponses
1. Pour donner des resultatsexploitables, une methode defuzzing doit etre :
� .....% Reproductible
� .....% Monitore
� .....% Automatise
� .....% Exhaustif
� .....% Intelligent
2. Parmi les suivantes, quelles sontdes metriques de couvertureappropriees dans le cadre d’un testen blackbox d’un serveurprotocolaire FTP ?
� .....% Nombre d’etats traverses
� .....% Nombre de primitives de fuzz appliquees par transition
� .....% Nombre de lignes du code source executees
� .....% Nombre d’instructions assembleur executees
� .....% Nombre de blocs d’instructions assembleur executes
8/13 – Annexes: 14-30 CONTINUED
2012-05-14
– 9 –
Grenoble INP Ensimag
4MMSR
5 The Onion Router et Forensics Reseaux (3 pts)
P. Malterre
5.1 TOR
7. (a) Rappeler brievement le principe d’un echange Diffie-Hellman.
(b) Quelle est la principale attaque contre ce protocole ?
8. Le schema ci-dessous represente une session dans laquelle un client effectue, au tra-vers du reseau Tor, une simple requete en HTTP vers la page d’accueil d’un site web.
(a) en supposant qu’aucun circuit n’a ete etabli au prealable, combien d’echanges Diffie-Hellman sontnecessaires avant que le client puisse recuperer le resultat de sa requete ?
(b) pour ces differents echanges, indiquer quels sont les moyens eventuels permettant de prendre en comptel’attaque mentionnee precedemment.
9/13 – Annexes: 14-30 CONTINUED
2012-05-14
– 10 –
Grenoble INP Ensimag
4MMSR
9. L’ecoute passive de trafic entre deux noeuds Tor permet de mettre en evidence l’utilisation du certificatci-dessous.
(a) quel est l’usage de la cle publique encodee dans ce certificat ?
(b) la duree de validite est-elle correcte ? pourquoi ?
10/13 – Annexes: 14-30 CONTINUED
2012-05-14
– 11 –
Grenoble INP Ensimag
4MMSR
5.2 Detection d’intrusions
Prendre connaissance du schema reseau ci-dessus. On peut distinguer differentes zones :– une zone WiFi de type hotspot, il n’y a aucun filtrage et l’acces a Internet est direct ;– une zone reservee aux partenaires, accessible uniquement au moyen d’une passerelle VPN/IPSEC et per-
mettant d’acceder a un espace de travail collaboratif ;– une DMZ dans laquelle on trouve les services publics (i.e. accessibles depuis Internet) de l’entreprise : sites
web, serveur de messagerie, DNS) ; on trouve egalement dans cette zone une passerelle VPN/IPSEC pourles utilisateurs nomades ;
– une DMZ contenant un proxy web (acces au net pour les utilisateurs), ainsi qu’un relais DNS ;– differents sous-reseaux (utilisateurs et serveurs).
10. (a) Donner un exemple plausible et coherent d’un scenario d’intrusion au sein de ce systeme d’information.
(b) Decrire les differents moyens de detection reseau qui pourraient etre mis en oeuvre pour detecterl’intrusion imaginee precedemment, en precisant :– la localisation des points de capture ;– les techniques et les outils mis en oeuvre.
11/13 – Annexes: 14-30 CONTINUED
2012-05-14
– 12 –
Grenoble INP Ensimag
4MMSR
12/13 – Annexes: 14-30 CONTINUED
2012-05-14
– 13 –
Grenoble INP Ensimag
4MMSR
6 Seminaires (5 pts)
Choisissez une presentation parmi celles proposes et repondez aux questions ci-apres.Il est interdit de choisir le sujet que vous avez presente.
– Rainbow Tables Probabilistes, Alain Schneider, SSTIC, 2011– W32.Stuxnet Dossier, Nicolas Falliere, Liam O Murchu, and Eric Chien - 2011
11. (a) Indiquer le titre de la presentation que vous avez fait a la classe :
(b) Indiquer le titre du sujet choisi pour cet examen :
12. En vous aidant de la presentation Appendice A - Annexes dont le dbut est en page 14 et de vosconnaissances, rediger une synthese (texte + schemas importants) du papier choisi a destinationd’un eleve qui a suivi le cours de securite des reseaux 4MMSR 2011-2012 sans avoir assisteaux seminaires (il est uniquement venu aux sessions de cours et il a fait tous les TP). Votreesprit critique vous permettra de noter que des erreurs peuvent susbister dans certaines versions finalespresentees par les eleves.
Sera en particulier valorise le fait de :– relever des erreurs veritables dans la presentation (ne pas en inventer !)– pour chaque attaque preciser explicitement
– quelle sequence d’entrees doit etre envoyee au systeme– quelle(s) propriete(s) de securite est(sont) violee(s) sur quel(s) objet(s)
– proposer des contre-mesures additionnelles– expliquer clairement les limitations de l’approche choisie par les auteurs, et pour chacune donner un
exemple de methode n’ayant pas cette limitation
Afin de guider votre discours, voici une idee de plan :
(a) probleme adresse
(b) methode de resolution proposee
(c) resultats d’experimentations
(d) contre-mesures
(e) limitations
(f) conclusion
13/13 – Annexes: 14-30 CONTINUED
2012-05-14
– 14 –
Grenoble INP Ensimag
4MMSR
A Annexes
A.1 Wi-Fi Advanced Fuzzing - Laurent BUTTI – France Telecom / OrangeDivision R&D - Black-Hat EU 2007
sous-section A.3 - W32.Stuxnet Dossier, Nicolas Falliere, Liam O Murchu, and Eric Chien - 2011 dont ledbut est en page 15
March 12th, 2012 Corentin DELPECH - Lucas FONTAINE ENSIMAG 2A TELECOM - 2012 2013 6
802.11 wireless cards can operate in different modes : Monitor : Just listen to traffic Master : Act as an access point AdHoc : Act as an Adhoc Station Managed : Act as a station
Discovering an access point : Active scanning : send probe request and listen to responses and do
channel hopping Passive scanning : listen to beacons and do channel hopping
/29
Figure 2 – A Network
Introduction
Technical specificities, Wi-Fi Frames
March 12th, 2012 Corentin DELPECH - Lucas FONTAINE ENSIMAG 2A TELECOM - 2012 2013 7
802.11 frames : Data frames Control frames Management frames :
MAC frame format :
Authentification, Asssociation Request, Assocation Responce, Resassociation Responce, Dissociation, Beacon, Probe Request,Probe responce, Request To Send, Clear To Send, Acknolegement
Figure 3 - Mac frame format /29
Introduction
Technical specificities, Wi-Fi Frames
March 12th, 2012 Corentin DELPECH - Lucas FONTAINE ENSIMAG 2A TELECOM - 2012 2013 8
Example of a frame :
Figure 4 - Example of a frame with WireShark
/29
Introduction
Technical specificities, Wi-Fi Frames
March 12th, 2012 Corentin DELPECH - Lucas FONTAINE ENSIMAG 2A TELECOM - 2012 2013 9
March 12th, 2012 Corentin DELPECH - Lucas FONTAINE ENSIMAG 2A TELECOM - 2012 2013 16
Figure 10 – Architecture overview
Ethernet connectivity useful for bug detection (ping and keepalive TCP connection)
/29
Fuzzing Implementation of a fuzzer
March 12th, 2012 Corentin DELPECH - Lucas FONTAINE ENSIMAG 2A TELECOM - 2012 2013 17
Difficulties • Proprietary Information Element (documentation ?!) • Channel hopping for active access point scan from the client NEED fast answer
• Difficult with a Python implementation of the fuzzer, even harder with existing injection framework like Scapy
• Cannot state if the victim device is listening or not to beacons • Detection of a “bug” under several OS ?
Solutions • More than just a fuzzer : a smart fuzzer • Flood the radio with probe responses and beacons • Automatic bug detection
• Windows : ping don’t answer any more or even BSOD ! • Linux : monitor {oops|unable to handle|assert|panic} kernel events • Detect when the 802.11 victim device stop sending “probe request” for
active scanning -> the device don’t work anymore !
/29
Discovered vulnerabilities by Laurent BUTTI with his Wi-Fi fuzzing
March 12th, 2012 Corentin DELPECH - Lucas FONTAINE ENSIMAG 2A TELECOM - 2012 2013 19
- NetGear MA521 Wireless Driver Long Rates Overflow Utilisation d’une trame avec un IE “Rates” trop long (longueur maximale de 8 octets normalement)
- NetGear WG311v1 Wireless Driver Long SSID Overflow
Utilisation d’une trame avec un IE “SSID” trop long (longueur maximale de 32 octets normalement)
- D-Link DWL-G650+ (A1) Wireless Driver Long TIM Overflow
Utilisation d’une trame avec un IE “TIM” trop long - Madwifi Driver Remote Buffer Overflow Vulnerability
Utilisation d’une trame avec IE WPA/RSN/VMM/ATH trop long Exploitable uniquement lors d’un appel à SIOCGIWSCAN du client Commande ‘iwlist’ par exemple
/29
Discovered vulnerabilities by Laurent BUTTI with his Wi-Fi fuzzing
March 12th, 2012 Corentin DELPECH - Lucas FONTAINE ENSIMAG 2A TELECOM - 2012 2013 20
Figure 11 - Linux Kernel « oops »
/29
Discovered vulnerabilities by Laurent BUTTI with his Wi-Fi fuzzing
March 12th, 2012 Corentin DELPECH - Lucas FONTAINE ENSIMAG 2A TELECOM - 2012 2013 21
Discovered vulnerabilities by Laurent BUTTI with his Wi-Fi fuzzing
March 12th, 2012 Corentin DELPECH - Lucas FONTAINE ENSIMAG 2A TELECOM - 2012 2013 22
Figure 15 « net80211/ieee80211_scan.c » MadWiFi source code Function encode_ie
/29
Fuzzer Limitations, counter-measure
March 12th, 2012 Corentin DELPECH - Lucas FONTAINE ENSIMAG 2A TELECOM - 2012 2013 24
Figure 16 – Logo of madwifi
Limitations : the developer's comprehension of the protocol cannot help you to find Complex 'Bugs' needs to manage Wi-Fi states needs to have the same level of performance as the client cannot be sure a frame was analysed needs to understand bugs activated by fuzzer
Driver's patches may prevent them. Or add some ! Or only partially correct them
/29
Conclusion
March 12th, 2012 Corentin DELPECH - Lucas FONTAINE ENSIMAG 2A TELECOM - 2012 2013 27
• Many vulnerabilities came with 802.11 • Fuzzing is the best way to make testing • Tests wireless cards with :
o his states o Information elements
� • Helps to Discover obvious bug, and critical bugs. • Can discover more complex bug o developer needs to know 802.11 standards really well.
/29
Conclusion
March 12th, 2012 Corentin DELPECH - Lucas FONTAINE ENSIMAG 2A TELECOM - 2012 2013 28
• Other things to do : o extensions are coming o wireless devices : WUSB, Bluetooth 3.0, … o fuzzing access point
Finding an inversion function of hash ( ex : Hash : 8 alphanumeric characters SHA-1 ( 160bits)
(26+26+10)^8=5*10^13 2^160 =10^4 ) Exploiting collision that may occurs when using a low hash function. Brute force attack : the hash of large number of password =>
- Easy one : « 19033d1d » ( known location; �end of chain�) - Harder : « 44d06651 »
Performance : - storing a chain of password/hash ~ storing a password/hash. - Finding a password in set (brute-force attack) ~ finding a chain in a list of chain.
To generate tables that achieve a success rate of 99.9% we need~~ 160 years
Storage space => 9,90 To for a 80% sucess rate on 8 alphanumeric characters Constraints related to implenting calculations on GPU Long chains = long cracking time
1https://ensiwiki.ensimag.fr/index.php/4MMSR-Network_Security-2011-2012Nicolas Falliere, Liam O Murchu, Eric Chien ()W32.Stuxnet Dossier 1/28 2012-04-18 1 / 28
Authors
Nicolas Falliere(Senior SoftwareEngineer)Liam O Murchu(Development Manager)Eric Chien(Technical Director)part of SymantecSecurity Response(antivirus and computersecurity research group,over 400 full-timeemployees)
SymantecFounded 1982Headquarters: MountainView, Californiaproviding security, storageand systems managementsolutionse. g. Norton products
Nicolas Falliere, Liam O Murchu, Eric Chien ()W32.Stuxnet Dossier 2/28 2012-04-18 2 / 28
Outline
1 Introduction
2 Architecture
3 Injection
4 Preparation
5 Propagation
6 Counter measures
7 Conclusion
Nicolas Falliere, Liam O Murchu, Eric Chien ()W32.Stuxnet Dossier 3/28 2012-04-18 3 / 28
Introduction
Stuxnet
computer wormfirst discovered in June 2010first infected systems June 2009targets industrial control systems with PLC(Programmable Logic Controller) made by Siemensfor Windows XP, ME, 2000, 2003, Vista, 7, Server 2008
Nicolas Falliere, Liam O Murchu, Eric Chien ()W32.Stuxnet Dossier 5/28 2012-04-18 5 / 28
Nicolas Falliere, Liam O Murchu, Eric Chien ()W32.Stuxnet Dossier 6/28 2012-04-18 6 / 28
Introduction
Attack Scenario
Nicolas Falliere, Liam O Murchu, Eric Chien ()W32.Stuxnet Dossier 7/28 2012-04-18 7 / 28Architecture
Architecture
DLL file
Nicolas Falliere, Liam O Murchu, Eric Chien ()W32.Stuxnet Dossier 9/28 2012-04-18 9 / 28
Injection
Injection
there is no stuxnet-process,stuxnet hides in trustedprocessesinjection is performed on everycall of an exportinjects into trusted processgoal: hide from antimalware
Nicolas Falliere, Liam O Murchu, Eric Chien ()W32.Stuxnet Dossier 11/28 2012-04-18 11 / 28
Preparation
Outline
1 Introduction
2 Architecture
3 Injection
4 Preparation
5 Propagation
6 Counter measures
7 Conclusion
Nicolas Falliere, Liam O Murchu, Eric Chien ()W32.Stuxnet Dossier 12/28 2012-04-18 12 / 28
Preparation Export 15
Export 15
Nicolas Falliere, Liam O Murchu, Eric Chien ()W32.Stuxnet Dossier 13/28 2012-04-18 13 / 28Preparation Zero-day exploit
Zero-day exploit
exploits computer application vulnerabilities that are unknown toothers or the software developer beforeVulnerability window: time period between first exploitation anddevelopment of counter measuresAttack vector: a concrete way to exploit vulnerability
Nicolas Falliere, Liam O Murchu, Eric Chien ()W32.Stuxnet Dossier 14/28 2012-04-18 14 / 28
Preparation MS10-092: 0-day Task Scheduler
MS10-092: 0-day Task Scheduler
target platform: Windows Vista and higher (introduction of new TaskScheduler)goal: escalate privileges to SYSTEMtask information as xml file read- and writable by userintegrity protected by weak CRC32 checksum
Nicolas Falliere, Liam O Murchu, Eric Chien ()W32.Stuxnet Dossier 15/28 2012-04-18 15 / 28
Preparation MS10-092: 0-day Task Scheduler
MS10-092: 0-day Task Scheduler
Attack1 create task with low privileges2 read task configuration file from %SystemRoot%\system32\Tasks3 modify task configuration file (change privileges)4 calculate CRC32 of original file and adapt altered file to match it5 run task
Nicolas Falliere, Liam O Murchu, Eric Chien ()W32.Stuxnet Dossier 16/28 2012-04-18 16 / 28
Propagation
Outline
1 Introduction
2 Architecture
3 Injection
4 Preparation
5 Propagation
6 Counter measures
7 Conclusion
Nicolas Falliere, Liam O Murchu, Eric Chien ()W32.Stuxnet Dossier 17/28 2012-04-18 17 / 28Propagation Peer-to-peer
Peer-to-peer
implements a Microsoft RPC server and clientautomatic updates in LAN
Nicolas Falliere, Liam O Murchu, Eric Chien ()W32.Stuxnet Dossier 18/28 2012-04-18 18 / 28
Propagation WinCC
WinCC
WinCC (Windows Control Center)for supervision and controlling of Siemens’ industrial systemsMicrosoft SQL Server for loggingVulnerability: hardcoded publicly known and documented password inSQL server
Nicolas Falliere, Liam O Murchu, Eric Chien ()W32.Stuxnet Dossier 19/28 2012-04-18 19 / 28
Propagation WinCC
Infecting WinCC computers
connect as Administrator using password ’2WSXcder’create table with hex representation of main Stuxnet DLL:
write dll to disk via OLE Automation Stored Proceduresadd as stored procedure and execute
SET @ainf = @aind + ‘\\sql%05x.dbi’EXEC sp_addextendedproc sp_dumpdbilog, @ainfEXEC sp_dumpdbilog
Nicolas Falliere, Liam O Murchu, Eric Chien ()W32.Stuxnet Dossier 20/28 2012-04-18 20 / 28
Propagation Network shares
Network shares
Two methods used:search for accessible network shares
search for other computers with same user accounts as local userfor all available credentials, try access $admin and $Cdrop stuxnet-dll on systemschedule task to execute stuxnet-dll
Windows RPC Vulnerability: MS08-67bu�er overflow in Windows RPCalready used by Confickermore sophisticated implementation (employes recent techniques likeReturn Oriented Programming)
Nicolas Falliere, Liam O Murchu, Eric Chien ()W32.Stuxnet Dossier 21/28 2012-04-18 21 / 28Propagation Printer spooler vulnerability
Printer spooler vulnerability
discovered April 2009, fixed Sept 14, 2010precondition: printer shared on targetgoal: remote code execution
Attackconnect to print spooler as guestprint two ”documents” to files in %SYSTEM%-directorythe files are ”printed” with print spooler’s instead guest’s of privileges
winsta.exe æ stuxnet.dllwbem\mof\sysnullevnt.mof æ registers event, to execute winsta.exe
Nicolas Falliere, Liam O Murchu, Eric Chien ()W32.Stuxnet Dossier 22/28 2012-04-18 22 / 28
Propagation Propagation via removable drive
LNK Vulnerability: MS10-046
Nicolas Falliere, Liam O Murchu, Eric Chien ()W32.Stuxnet Dossier 23/28 2012-04-18 23 / 28
Counter measures
Counter measures
For Stuxnet in particular:install recent security updates (for all used vulnerabilities exist fixesnow)
For similar future malwarenone, only impederequest software manufactures to fix known vulnerabilities quicklyinstall recent security updatesisolation (take network, usb-sticks, ... into account)
Nicolas Falliere, Liam O Murchu, Eric Chien ()W32.Stuxnet Dossier 25/28 2012-04-18 25 / 28
Conclusion
Conclusion
largest and costliest development e�ort in malware history(estimation: 10 million $)4 zero-day exploits2 compromised certificatesonly nation state capable to produce itæ cyberweapon
Nicolas Falliere, Liam O Murchu, Eric Chien ()W32.Stuxnet Dossier 27/28 2012-04-18 27 / 28Conclusion For Further Reading
Aleksandr Matrosov Eugene Rodionov, David Harley and Juraj Malcho.“Stuxnet Under the Microscope - ESET”. In:http://go.eset.com/us/resources/white-papers/Stuxnet_Under_the_Microscope.pdf.Nicolas Falliere, Liam O Murchu and Eric Chien. “W32.Stuxnet Dossier”.In: http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_stuxnet_dossier.pdf.Wikipedia. “Stuxnet”. In: http://en.wikipedia.org/wiki/Stuxnet.— . “Zero-day Attack”. In:http://en.wikipedia.org/wiki/Zero-day_attack.
Nicolas Falliere, Liam O Murchu, Eric Chien ()W32.Stuxnet Dossier 28/28 2012-04-18 28 / 28