STUXNET Scanner: Una herramienta forense

por Presales Team Iberia

TrendLabs ha creado una nueva herramienta denominada STUXNET Scanner Tool para ayudar a los administradores a identificar pistas y así determinar los equipos dentro de la red que están siendo afectados por STUXNET.

Hace unos meses, el ataque STUXNET dirigido principalmente a los sistemas de control SCADA – Sistemas de control críticos ejecutados en infraestructuras complejas, como los que funcionan en los sistemas de transporte, sistemas de agua, y refinerías de petróleo, entre otros –.

Dada la naturaleza del ataque, los administradores naturalmente desean estar doblemente seguro de que ninguno de sus sistemas están infectados por esta amenaza. A pesar de ofrecer protección inmediata a los sistemas infectados, todavía se están recibiendo los informes de empresas que necesitan ayuda para asegurarse que todos sus sistemas están libres de esta amenaza en particular.

La nueva herramienta STUXNET Scanner Tool puede ser descargada gratuitamente desde aquí.

Esta herramienta ayuda a los administradores a identificar las máquinas infectadas dentro de sus propias redes, incluso si STUXNET no está enviando o recibiendo comunicaciones. Como se ha explicado en otras notas, STUXNET instala un servidor y un cliente para habilitar una llamada a procedimientos remotos (RPC) en un equipo infectado y de esta forma se puede comunicar con otros sisstemas infectados con el propósito de actualizarse a sí mismo y los sistemas con los que se comunica.

¿Cómo funciona la herramienta STUXNET Scanner Tool?

Una vez que se instala la herramienta, al ejecutarla, enumera todas las direcciones IP dentro de la red local y envía un paquete de información similar al que se envía mediante las variantes STUXNET. Cualquier equipo infectado va a responder a este paquete. A través de esta herramienta, el administrador de red puede ver fácilmente las IP que están infectadas dentro de su red, y luego tomar las acciones necesarias para aislar y limpiar dichos sistemas.

Actualizar a partir del 16 de noviembre 2010 21:37 UTC

Cuando se utiliza esta herramienta, los usuarios se les recomienda seguir el procedimiento de operación estándar de sus respectivas organizaciones para la realización de pruebas de penetración. Asimismo, es importante tener en cuenta que la herramienta  STUXNET Scanner Tool actúa como un cliente peer-to-peer (P2P) de comunicación habitual. Se trata de comunicarse con el componente de servidor RPC de la lista propuesta de las direcciones IP. eventos IDS también puede ser provocada por esta herramienta de comunicación cada vez que simula STUXNET red.

STUXNET Scanner Tool utiliza un identificador único universal (UUID), que le permite tener mínimos casos de falsos positivos. De todos modos, aconsejamos que los usuarios realicen un escaneo completo de los equipos por posibles infecciones. Los usuarios también pueden utilizar las herramientas gratuitas como el HouseCall de Trend Micro para escanear sus sistemas.

Para más información: TrendLabs MALWARE BLOG

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.