Stuxnet / Cyber Security
Spurensuche in der SPS
Stuxnet schockt die Automatisierungswelt: Das Virus attackiert über WinCC und PCS7 gezielt S7-Steuerungen vom Typ S7-417 und S7-315. Erschreckend ist, wie präzise das Virus dabei vorgeht.
Nicolas Falliere vom Security-Spezialisten Symantec hat die verräterischen Spuren einer Infektion im Detail nachvollzogen.
Stuxnet ersetzt beispielsweise die Original-Datei-Bibliothek s7otbxdx.dll (DLL: Dynamic Link Library) durch eine modifizierte Variante. Mit den über 100 Routinen dieser Datei wird die Kommunikation zwischen den Programmen auf dem Windows-Rechner und der S7-Steuerung abgewickelt, zum Beispiel um aktuelle Prozesswerte auszulesen oder in die Steuerung zu schreiben. Das hinterlistige an der Stuxnet-DLL ist, dass die meisten Aufrufe zur Abarbeitung einfach an die umbenannte Original-DLL (s7otbxsx.dll) übergeben werden. Lediglich 16 Funktionen wurden von Stuxnet modifiziert, darunter die Read/Write-Aufrufe und diejenigen zur Lokalisierung von Datenblöcken in der SPS. Letztere helfen dem Virus, sich in der SPS zu tarnen.
Abhängig vom Aufbau des Zielsystems infiziert Stuxnet die Steuerung mit unterschiedlichen Programmen. Das Virus interessiert sich ausschließlich für die beiden CPU-Typen 6ES7-417 und 6ES7-315-2 in Verbindung mit der Kommunikationsbaugruppe CP342-5 für Profibus-DP.
Die Details sind im Whitepaper von Nicolas Falliere nachzulesen, das bei der Analyse eventuell infizierter Steuerungen hilft. Im Gegensatz zu Windows-PCs müssen die Steuerungen von Hand kontrolliert und modifiziert werden.
In einem weiteren Whitepaper - W.22.Stuxnet-Dossier - Anatomie eines Virus - hat Falliere zusammen Liam O Murchu und Eric Chien das Stuxnet-Virus eingehend beschrieben. Die Experten zeigen, wie das Virus bis dahin unbekannte Sicherheitslücken in Microsoft-Windows nutzt, um Rechner und Steuerungen zu infiltrieren.
Das könnte Sie auch interessieren
Kein versehentliches Ändern von Dateien
CodeMeter 6.80 von Wibu-Systems unterstützt Universal Write Filter (UWF), eine Windows-Option von Microsoft, die das versehentliche Ändern von Dateien verhindert, was vor allem bei Embedded Systemen wichtig ist.
mehr...Sicherheit durch Netzwerk-Segmente
Die Microwall Gigabit von Wiesemann & Theis bildet den Auftakt zu einer Reihe einfach einzusetzender Sicherheitsprodukte für Industrie und produzierendes Gewerbe.
mehr...Pilz wird Opfer eines gezielten Hackerangriffes
Der Automatisierungstechnik-Anbieter Pilz aus Ostfildern wurde am Sonntag, 13. Oktober, Opfer eines gezielten Cyberangriffs. Betroffen waren weltweit sämtliche Server- und PC-Arbeitsplätze inklusive des Kommunikationsnetzwerkes des Unternehmens.
mehr...Vier von zehn ICS-Computern sind bedroht
Der aktuelle Report von Kaspersky zu Cyberbedrohungen für die erste Jahreshälfte 2019 zeigt: 41,2 % der ICS-Computer (Industrial Control System) waren einer Attacke ausgesetzt. Der Energiesektor ist dabei am häufigsten betroffen – unter anderem von...
mehr...Kaspersky warnt vor "tickender Zeitbombe"
Mehr als ein Drittel der kleinen und mehr als die Hälfte der großen Unternehmen haben noch das Betriebssystem 'Windows 7' im Einsatz, dessen Support in fünf Monaten ausläuft.
mehr...Körperreaktion als Passwort
Passwort vergessen? Am Softwaretechnik-Institut Paluno der Universität Duisburg-Essen (UDE) wird ein neuer Ansatz erforscht, der Biometrie und Passwort-Schutz kombiniert.
mehr...Schwachstelle in Scalance Switches von Siemens entdeckt
Nozomi Networks Labs hat eine neue Schwachstelle in den Scalance Switches von Siemens aufgedeckt. Sie betrifft den Telnet-Server und erlaubt es einem Hacker, den Dienst zum Absturz zu bringen indem große Mengen an Paketen über den TCP-Port 23...
mehr...Die vier gefährlichsten Authentifizierungs-Schwachstellen
Authentifizierungsprozesse, die Dreh- und Angelpunkt von der Sicherheit von Web-, Mobil- und anderen Anwendungen sind, weisen in Penetrationtests verschiedene Schwachstellen auf. Im Folgenden werden die vier häufigsten beschrieben.
mehr...Vorsicht vor E-Mails mit Social Media im Betreff!
Auf 75 % beziffert das Security-Unternehmen KnowBe4 in diesem Jahr die Wachstumsrate von Social Media Phishing-Angriffen – also von Angriffen mit Social-Media-Bezug im Betreff gefälschter E-Mails. Insbesondere vor 'LinkedIn' in der Betreffzeile...
mehr...