震網病毒的背景

  世界上每天都有新病毒產生,大部分都是青少年的惡作劇,少部分則是犯罪分子用來盜取個人資訊的工具,震網病毒也許只是其中之一,它的背景是什麼樣的呢!下面由小編給你做出詳細的震網病毒背景介紹!希望對你有幫助!

  震網病毒背景介紹:

  首先,它利用了4個Windows零日漏洞。零日漏洞是指軟體中剛剛被發現、還沒有被公開或者沒有被修補的漏洞。零日漏洞可以大大提高電腦入侵的成功率,具有巨大的經濟價值,在黑市上,一個零日漏洞通常可以賣到幾十萬美元。即使是犯罪集團的職業黑客,也不會奢侈到在一個病毒中同時用上4個零日漏洞。僅此一點,就可以看出該病毒的開發者不是一般黑客,它具備強大的經濟實力。並且,開發者對於攻擊目標懷有志在必得的決心,因此才會同時用上多個零日漏洞,確保一擊得手。

  其次,它具備超強的USB傳播能力。傳統病毒主要是通過網路傳播,而震網病毒大大增強了通過USB介面傳播的能力,它會自動感染任何接入的U盤。在病毒開發者眼中,似乎病毒的傳播環境不是真正的網際網路,而是一個網路連線受到限制的地方,因此需要靠USB口來擴充傳播途徑。

  最奇怪的是,病毒中居然還含有兩個針對西門子工控軟體漏洞的攻擊,這在當時的病毒中是絕無僅有的。從網際網路的角度來看,工業控制是一種恐龍式的技術,古老的通訊方式、隔絕的網路連線、龐大的系統規模、緩慢的技術變革,這些都讓工控系統看上去跟網際網路截然不同。此前從沒人想過,在網際網路上氾濫的病毒,也可以應用到工業系統中去。

  5深度分析編輯

  第一章 事件背景

  2010年10月,國內外多家媒體相繼報道了Stuxnet蠕蟲對西門子公司的資料採集與監控系統SIMATIC WinCC進行攻擊的事件,稱其為“超級病毒”、“超級工廠病毒”,並形容成“超級武器”、“潘多拉的魔盒”。

  Stuxnet蠕蟲***俗稱“震網”、“雙子”***在2003年7月開始爆發。它利用了微軟作業系統中至少4個漏洞,其中有3個全新的零日漏洞;偽造驅動程式的數字簽名;通過一套完整的入侵和傳播流程,突破工業專用區域網的物理限制;利用WinCC系統的2個漏洞,對其開展破壞性攻擊。它是第一個直接破壞現實世界中工業基礎設施的惡意程式碼。據賽門鐵克公司的統計,截止到2010年09月全球已有約45000個網路被該蠕蟲感染,其中60%的受害主機位於伊朗境內。伊朗政府已經確認該國的布什爾核電站遭到Stuxnet蠕蟲的攻擊。

  安天實驗室於7月15日捕獲到Stuxnet蠕蟲的第一個變種,在第一時間展開分析,釋出了分析報告及防範措施,並對其持續跟蹤。截止至本報告發布,安天已經累計捕獲13個變種、600多個不同雜湊值的樣本實體。

  第二章 樣本典型行為分析

  2.1 執行環境

  Stuxnet蠕蟲在以下作業系統中可以啟用執行:

  Windows 2000、Windows Server 2000

  Windows XP、Windows Server 2003

  Windows Vista

  Windows 7、Windows Server 2008

  當它發現自己執行在非Windows NT系列作業系統中,即刻退出。

  被攻擊的軟體系統包括:

  SIMATIC WinCC 7.0

  SIMATIC WinCC 6.2

  但不排除其他版本存在這一問題的可能。

  2.2 本地行為

  樣本被啟用後,典型的執行流程如圖1 所示。

  樣本首先判斷當前作業系統型別,如果是Windows 9X/ME,就直接退出。

  接下來載入一個主要的DLL模組,後續的行為都將在這個DLL中進行。為了躲避查殺,樣本並不將DLL模組釋放為磁碟檔案然後載入,而是直接拷貝到記憶體中,然後模擬DLL的載入過程。

  具體而言,樣本先申請足夠的記憶體空間,然後Hookntdll.dll匯出的6個系統函式:

  ZwMapViewOfSection

  ZwCreateSection

  ZwOpenFile

  ZwClose

  ZwQueryAttributesFile

  ZwQuerySection

  為此,樣本先修改ntdll.dll檔案記憶體映像中PE頭的保護屬性,然後將偏移0x40處的無用資料改寫為跳轉程式碼,用以實現hook。

  進而,樣本就可以使用ZwCreateSection在記憶體空間中建立一個新的PE節,並將要載入的DLL模組拷貝到其中,最後使用LoadLibraryW來獲取模組控制代碼。

  此後,樣本跳轉到被載入的DLL中執行,衍生下列檔案:

  %System32%\drivers\mrxcls.sys %System32%\drivers\mrxnet.sys%Windir%\inf\oem7A.PNF%Windir%\inf\mdmeric3.PNF %Windir%\inf\mdmcpq3.PNF%Windir%\inf\oem6C.PNF  其中有兩個驅動程式mrxcls.sys和mrxnet.sys,分別被註冊成名為MRXCLS和MRXNET的系統服務,實現開機自啟動。這兩個驅動程式都使用了Rootkit技術,並有數字簽名。

  mrxcls.sys負責查詢主機中安裝的WinCC系統,並進行攻擊。具體地說,它監控系統程序的映象載入操作,將儲存在%Windir%\inf\oem7A.PNF中的一個模組注入到services.exe、S7tgtopx.exe、CCProjectMgr.exe三個程序中,後兩者是WinCC系統執行時的程序。

  mrxnet.sys通過修改一些核心呼叫來隱藏被拷貝到U盤的lnk檔案和DLL檔案。

”人還: