Nieuwe IronGate-malware richt zich op industriële systemen en lijkt op Stuxnet

Beveiligingsbedrijf FireEye heeft een nieuw soort malware ontdekt, die zich op industriële controlesystemen richt. Het bedrijf heeft deze variant de naam IronGate gegeven en gaat ervan uit dat het om een testgeval of een onderzoeksproject draait.

Ook zou de kwaadaardige software enkele overeenkomsten vertonen met de Stuxnet-worm, die was ontwikkeld om de Iraanse uraniumverrijkingscentrale bij Natanz binnen te dringen. IronGate is volgens FireEye echter lang niet zo geavanceerd als Stuxnet als het gaat om complexiteit en verspreidingsmogelijkheden.

De conclusie dat het om een testobject of onderzoek gaat, leidt het beveiligingsbedrijf onder andere af uit het feit dat Siemens heeft aangegeven dat de malware geen bedreiging is voor operationele scada-systemen en niet gebruikmaakt van bestaande kwetsbaarheden. Ook komt de code van de malware sterk overeen met code uit een blogpost over Siemens-apparatuur.

De overeenkomsten met Stuxnet bestaan onder andere uit de mogelijkheid om via een man-in-the-middle-aanval gegevens te vervalsen tussen monitoringsoftware en een plc, doordat de malware een dll-bestand door een kwaadaardige versie vervangt. Daarnaast is de malware in staat om sandboxomgevingen als virtuele machines te detecteren. Hiermee wordt het onderzoekers bemoeilijkt om de malware in dergelijke omgevingen te analyseren en is de kans op detectie kleiner, aldus FireEye.

Het bedrijf trof de malware in de tweede helft van 2015 aan op de site VirusTotal. Deze site combineert detectiemethodes van verschillende beveiligingsproducten. Medewerkers zochten destijds naar software die gecompiled was met PyInstaller, wat veel voorkomt bij malware. Daarbij zagen zij dat de code in 2014 door twee verschillende partijen naar VirusTotal was gezonden, echter zonder detectie.

IT-banen

Reacties (19)

Verwijderd 2 juni 2016 19:24

Het gaat hier om zeer specifieke software om industriele systemen aan te vallen. Jouw windows machine is hiervoor 'mogelijk' een transmissie bron maar het doet niets. Niet teveel zorgen maken dus.

En ja, als je een virus maakt wil je graag weten of het gedetecteerd zal worden, dus virustotal is daarvoor geschikt.

Dysmael @Verwijderd • 2 juni 2016 19:31

Nee, virustotal is daarvoor niet geschikt. Dat is een beginnersfout. Lees o.a.:
http://null-byte.wonderho...mples-virustotal-0163390/

So you upload your custom payload and only 4 out of the 57 AVs flagged it? That's pretty impressive! Nice job! Unfortunately, you just auto-generated a report that will be sent to 53 antivirus product makers.

arthur-m @Dysmael • 2 juni 2016 20:53

Ja idd... Vanuit optiek van de malware maker, één van de stomste fouten die je kunt maken. Nogal logisch dat je dat niet wilt. Maar aan de andere kant: hoe test je dan of je payload niet gedetecteerd wordt?

Tribits @arthur-m • 2 juni 2016 21:14

Staat min of meer ook in het betreffende artikel. Er zijn tools om te controleren of je payload geflagged is in VirusTotal zonder die payload daadwerkelijk naar VirusTotal te uploaden. Daarnaast geven ze het advies de AV software die in gebruik is bij de target te installeren in een VM en daarna te controleren of die gedetecteerd wordt. Risico daarbij is dus wel weer dat de AV software standaard verdachte bestanden naar de producent van die AV software verstuurt.

Voordeel van die methode is ook dat je zeker weet dat de payload in de praktijk niet gedetecteerd wordt. VirusTotal scant de bestanden, maar voert ze niet uit. Op het moment dat de payload zijn werk gaat doen loop je dus het risico dat je alsnog de AV software triggert door de acties die je uitvoert. Op het moment dat niet bekend is welke AV software de target gebruikt zal er wel weinig anders opzitten dan wat VM's opzetten en daar de meest populaire scanners op installeren om te testen of de payload gedetecteerd wordt.

Bux666 @Tribits • 2 juni 2016 22:13

Risico daarbij is dus wel weer dat de AV software standaard verdachte bestanden naar de producent van die AV software verstuurt.

Dat kan je in een VM wel uitschakelen lijkt me? Eerst de boel installeren en updaten, dan 'offline' halen en je virus scannen.

Tribits @Bux666 • 2 juni 2016 22:18

Schijnt sowieso in de meeste AV software wel uit te schakelen zijn, maar met een VM kan je het inderdaad ook zelf blokkeren. Blijft wel dat je erg zorgvuldig zult moeten zijn, anders duikt opeens je IP adres op bij de leverancier van de AV software, vergezeld van je zelf geschreven malware.

looc @arthur-m • 2 juni 2016 22:18

Er zijn virustotal-achtige diensten die de resultaten niet doorsturen naar AV makers.
Kost natuurlijk wel een bedrag om van deze service gebruikt te maken.

cool0 @Dysmael • 2 juni 2016 23:21

Niet meer, virustotal heeft de regels aangepast en vendors moeten tegenwoordig betalen voor de results. Dan nog niet ideaal om het te doen.

Dysmael 2 juni 2016 19:17

Altijd fijn als zelf gemaakte malware getest wordt met virustotal. Vandaar dat o.a. bij gebruik van Veil en Shellter wordt aanbevolen vooral niet je net gemaakte malware te testen via virustotal.

Tribits @Dysmael • 2 juni 2016 19:34

Aangezien de code door twee verschillende partijen naar VirusTotal is verstuurd ga ik er van uit dat dit niet door de maker ervan gebeurd is. Los daarvan zou het bij test/onderzoek malware waarschijnlijk toch niet uitmaken dat de malware bij VirusTotal terecht komt. Blijft wel de vraag wie die twee partijen zijn die het destijds naar VirusTotal verstuurd hebben. Kennelijk heeft er toch verspreiding op kleine schaal plaatsgevonden wat dan weer niet echt strookt met een test/onderzoekproject.

Luftbanana @Tribits • 3 juni 2016 09:15

In mijn gedachten lijkt dit dan juist op een test traject. De malware is kleinschalig verspreid en maar minimaal naar buiten gebracht (maar twee meldingen). Als ik malware zou maken, zou ik ook zoiets doen.

Ducksy88 2 juni 2016 20:24

Ben nu net begonnen aan "Countdown to Zero Day" van Zetter en stiekem hoopte ik op een StuxNet2; had dit graag op de voet gevolgd!

Na dit stukje "lang niet zo geavanceerd als Stuxnet als het gaat om complexiteit en verspreidingsmogelijkheden." haakte ik toch af...

Twee partijen die de software hebben geüpload naar VT kan in mijn optiek nog steeds betekenen dat het door de makers gedaan is. Dat het vanaf twee plekken ter wereld komt betekend online natuurlijk helemaal niets. Neemt niet weg dat het een domme fout is als je je stukje software nog echt wilt toepassen.

Verwijderd @Ducksy88 • 2 juni 2016 20:35

Dat boek komt hier de laatste tijd behoorlijk vaak voorbij.
/me 'm ook heeft.

Verwijderd @Ducksy88 • 3 juni 2016 11:11

Gehoord van de worm dat ze onlangs gemaakt hebben voor PLC's?
Dat was nog best wel intressant.

Ducksy88 @Verwijderd • 4 juni 2016 11:44

Nee, is me ontgaan!
Was daar hier op Tweakers over bericht? Dan heb ik er heel goed overheen gelezen!

Wat ik zo leuk vind in het boek is het hele pad van eerste ontdekking naar full-disclosure en als consument had ik graag dat nieuws gevolgd, lijkt me best interssant.

Verwijderd @Ducksy88 • 7 juni 2016 08:46

Geen Tweakers bericht. Denk niet dat het echt hun winkel is.
Hier is de paper over de worm.

https://regmedia.co.uk/2016/04/29/plc_87458745.pdf

freggell 3 juni 2016 07:19

@marcelvb:
Dat denk ik niet. Er zullen verschillende zijn die de systemen een eigen netwerk (vlan) hebben gegeven en/of de verbinding naar buiten hebvben weg gehaald.

Ik heb nog genoeg onbeveiligde applicaties gezien. Zaken waar het makkelijk zou zijn binnen te komen. De meeste bedrijven vinden dat hun niet interessant zijn. En daarom staat gebruiksgemak voorop en niet de veiligheid.