震網(wǎng)病毒的背景

　　世界上每天都有新病毒產(chǎn)生，大部分都是青少年的惡作劇，少部分則是犯罪分子用來(lái)盜取個(gè)人信息的工具，震網(wǎng)病毒也許只是其中之一，它的背景是什么樣的呢!下面由學(xué)習(xí)啦小編給你做出詳細(xì)的震網(wǎng)病毒背景介紹!希望對(duì)你有幫助!

　　震網(wǎng)病毒背景介紹：

　　首先，它利用了4個(gè)Windows零日漏洞。零日漏洞是指軟件中剛剛被發(fā)現(xiàn)、還沒(méi)有被公開(kāi)或者沒(méi)有被修補(bǔ)的漏洞。零日漏洞可以大大提高電腦入侵的成功率，具有巨大的經(jīng)濟(jì)價(jià)值，在黑市上，一個(gè)零日漏洞通常可以賣到幾十萬(wàn)美元。即使是犯罪集團(tuán)的職業(yè)黑客，也不會(huì)奢侈到在一個(gè)病毒中同時(shí)用上4個(gè)零日漏洞。僅此一點(diǎn)，就可以看出該病毒的開(kāi)發(fā)者不是一般黑客，它具備強(qiáng)大的經(jīng)濟(jì)實(shí)力。并且，開(kāi)發(fā)者對(duì)于攻擊目標(biāo)懷有志在必得的決心，因此才會(huì)同時(shí)用上多個(gè)零日漏洞，確保一擊得手。

　　其次，它具備超強(qiáng)的USB傳播能力。傳統(tǒng)病毒主要是通過(guò)網(wǎng)絡(luò)傳播，而震網(wǎng)病毒大大增強(qiáng)了通過(guò)USB接口傳播的能力，它會(huì)自動(dòng)感染任何接入的U盤(pán)。在病毒開(kāi)發(fā)者眼中，似乎病毒的傳播環(huán)境不是真正的互聯(lián)網(wǎng)，而是一個(gè)網(wǎng)絡(luò)連接受到限制的地方，因此需要靠USB口來(lái)擴(kuò)充傳播途徑。

　　最奇怪的是，病毒中居然還含有兩個(gè)針對(duì)西門(mén)子工控軟件漏洞的攻擊，這在當(dāng)時(shí)的病毒中是絕無(wú)僅有的。從互聯(lián)網(wǎng)的角度來(lái)看，工業(yè)控制是一種恐龍式的技術(shù)，古老的通信方式、隔絕的網(wǎng)絡(luò)連接、龐大的系統(tǒng)規(guī)模、緩慢的技術(shù)變革，這些都讓工控系統(tǒng)看上去跟互聯(lián)網(wǎng)截然不同。此前從沒(méi)人想過(guò)，在互聯(lián)網(wǎng)上泛濫的病毒，也可以應(yīng)用到工業(yè)系統(tǒng)中去。

　　5深度分析編輯

　　第一章 事件背景

　　2010年10月，國(guó)內(nèi)外多家媒體相繼報(bào)道了Stuxnet蠕蟲(chóng)對(duì)西門(mén)子公司的數(shù)據(jù)采集與監(jiān)控系統(tǒng)SIMATIC WinCC進(jìn)行攻擊的事件，稱其為“超級(jí)病毒”、“超級(jí)工廠病毒”，并形容成“超級(jí)武器”、“潘多拉的魔盒”。

　　Stuxnet蠕蟲(chóng)(俗稱“震網(wǎng)”、“雙子”)在2003年7月開(kāi)始爆發(fā)。它利用了微軟操作系統(tǒng)中至少4個(gè)漏洞，其中有3個(gè)全新的零日漏洞;偽造驅(qū)動(dòng)程序的數(shù)字簽名;通過(guò)一套完整的入侵和傳播流程，突破工業(yè)專用局域網(wǎng)的物理限制;利用WinCC系統(tǒng)的2個(gè)漏洞，對(duì)其開(kāi)展破壞性攻擊。它是第一個(gè)直接破壞現(xiàn)實(shí)世界中工業(yè)基礎(chǔ)設(shè)施的惡意代碼。據(jù)賽門(mén)鐵克公司的統(tǒng)計(jì)，截止到2010年09月全球已有約45000個(gè)網(wǎng)絡(luò)被該蠕蟲(chóng)感染，其中60%的受害主機(jī)位于伊朗境內(nèi)。伊朗政府已經(jīng)確認(rèn)該國(guó)的布什爾核電站遭到Stuxnet蠕蟲(chóng)的攻擊。

　　安天實(shí)驗(yàn)室于7月15日捕獲到Stuxnet蠕蟲(chóng)的第一個(gè)變種，在第一時(shí)間展開(kāi)分析，發(fā)布了分析報(bào)告及防范措施，并對(duì)其持續(xù)跟蹤。截止至本報(bào)告發(fā)布，安天已經(jīng)累計(jì)捕獲13個(gè)變種、600多個(gè)不同哈希值的樣本實(shí)體。

　　第二章 樣本典型行為分析

　　2.1 運(yùn)行環(huán)境

　　Stuxnet蠕蟲(chóng)在以下操作系統(tǒng)中可以激活運(yùn)行：

　　Windows 2000、Windows Server 2000

　　Windows XP、Windows Server 2003

　　Windows Vista

　　Windows 7、Windows Server 2008

　　當(dāng)它發(fā)現(xiàn)自己運(yùn)行在非Windows NT系列操作系統(tǒng)中，即刻退出。

　　被攻擊的軟件系統(tǒng)包括：

　　SIMATIC WinCC 7.0

　　SIMATIC WinCC 6.2

　　但不排除其他版本存在這一問(wèn)題的可能。

　　2.2 本地行為

　　樣本被激活后，典型的運(yùn)行流程如圖1 所示。

　　樣本首先判斷當(dāng)前操作系統(tǒng)類型，如果是Windows 9X/ME，就直接退出。

　　接下來(lái)加載一個(gè)主要的DLL模塊，后續(xù)的行為都將在這個(gè)DLL中進(jìn)行。為了躲避查殺，樣本并不將DLL模塊釋放為磁盤(pán)文件然后加載，而是直接拷貝到內(nèi)存中，然后模擬DLL的加載過(guò)程。

　　具體而言，樣本先申請(qǐng)足夠的內(nèi)存空間，然后Hookntdll.dll導(dǎo)出的6個(gè)系統(tǒng)函數(shù)：

　　ZwMapViewOfSection

　　ZwCreateSection

　　ZwOpenFile

　　ZwClose

　　ZwQueryAttributesFile

　　ZwQuerySection

　　為此，樣本先修改ntdll.dll文件內(nèi)存映像中PE頭的保護(hù)屬性，然后將偏移0x40處的無(wú)用數(shù)據(jù)改寫(xiě)為跳轉(zhuǎn)代碼，用以實(shí)現(xiàn)hook。

　　進(jìn)而，樣本就可以使用ZwCreateSection在內(nèi)存空間中創(chuàng)建一個(gè)新的PE節(jié)，并將要加載的DLL模塊拷貝到其中，最后使用LoadLibraryW來(lái)獲取模塊句柄。

　　此后，樣本跳轉(zhuǎn)到被加載的DLL中執(zhí)行，衍生下列文件：

　　%System32%\drivers\mrxcls.sys %System32%\drivers\mrxnet.sys%Windir%\inf\oem7A.PNF%Windir%\inf\mdmeric3.PNF %Windir%\inf\mdmcpq3.PNF%Windir%\inf\oem6C.PNF 　其中有兩個(gè)驅(qū)動(dòng)程序mrxcls.sys和mrxnet.sys，分別被注冊(cè)成名為MRXCLS和MRXNET的系統(tǒng)服務(wù)，實(shí)現(xiàn)開(kāi)機(jī)自啟動(dòng)。這兩個(gè)驅(qū)動(dòng)程序都使用了Rootkit技術(shù)，并有數(shù)字簽名。

　　mrxcls.sys負(fù)責(zé)查找主機(jī)中安裝的WinCC系統(tǒng)，并進(jìn)行攻擊。具體地說(shuō)，它監(jiān)控系統(tǒng)進(jìn)程的鏡像加載操作，將存儲(chǔ)在%Windir%\inf\oem7A.PNF中的一個(gè)模塊注入到services.exe、S7tgtopx.exe、CCProjectMgr.exe三個(gè)進(jìn)程中，后兩者是WinCC系統(tǒng)運(yùn)行時(shí)的進(jìn)程。

　　mrxnet.sys通過(guò)修改一些內(nèi)核調(diào)用來(lái)隱藏被拷貝到U盤(pán)的lnk文件和DLL文件。
看過(guò)“震網(wǎng)病毒的背景 ”人還看了：

1.工控網(wǎng)絡(luò)安全對(duì)社會(huì)重要嗎

2.電腦病毒“火焰”