学习啦>学习电脑>电脑安全>病毒知识>

震网病毒的背景

时间: 林辉766 分享

  世界上每天都有新病毒产生,大部分都是青少年的恶作剧,少部分则是犯罪分子用来盗取个人信息的工具,震网病毒也许只是其中之一,它的背景是什么样的呢!下面由学习啦小编给你做出详细的震网病毒背景介绍!希望对你有帮助!

  震网病毒背景介绍:

  首先,它利用了4个Windows零日漏洞。零日漏洞是指软件中刚刚被发现、还没有被公开或者没有被修补的漏洞。零日漏洞可以大大提高电脑入侵的成功率,具有巨大的经济价值,在黑市上,一个零日漏洞通常可以卖到几十万美元。即使是犯罪集团的职业黑客,也不会奢侈到在一个病毒中同时用上4个零日漏洞。仅此一点,就可以看出该病毒的开发者不是一般黑客,它具备强大的经济实力。并且,开发者对于攻击目标怀有志在必得的决心,因此才会同时用上多个零日漏洞,确保一击得手。

  其次,它具备超强的USB传播能力。传统病毒主要是通过网络传播,而震网病毒大大增强了通过USB接口传播的能力,它会自动感染任何接入的U盘。在病毒开发者眼中,似乎病毒的传播环境不是真正的互联网,而是一个网络连接受到限制的地方,因此需要靠USB口来扩充传播途径。

  最奇怪的是,病毒中居然还含有两个针对西门子工控软件漏洞的攻击,这在当时的病毒中是绝无仅有的。从互联网的角度来看,工业控制是一种恐龙式的技术,古老的通信方式、隔绝的网络连接、庞大的系统规模、缓慢的技术变革,这些都让工控系统看上去跟互联网截然不同。此前从没人想过,在互联网上泛滥的病毒,也可以应用到工业系统中去。

  5深度分析编辑

  第一章 事件背景

  2010年10月,国内外多家媒体相继报道了Stuxnet蠕虫对西门子公司的数据采集与监控系统SIMATIC WinCC进行攻击的事件,称其为“超级病毒”、“超级工厂病毒”,并形容成“超级武器”、“潘多拉的魔盒”。

  Stuxnet蠕虫(俗称“震网”、“双子”)在2003年7月开始爆发。它利用了微软操作系统中至少4个漏洞,其中有3个全新的零日漏洞;伪造驱动程序的数字签名;通过一套完整的入侵和传播流程,突破工业专用局域网的物理限制;利用WinCC系统的2个漏洞,对其开展破坏性攻击。它是第一个直接破坏现实世界中工业基础设施的恶意代码。据赛门铁克公司的统计,截止到2010年09月全球已有约45000个网络被该蠕虫感染,其中60%的受害主机位于伊朗境内。伊朗政府已经确认该国的布什尔核电站遭到Stuxnet蠕虫的攻击。

  安天实验室于7月15日捕获到Stuxnet蠕虫的第一个变种,在第一时间展开分析,发布了分析报告及防范措施,并对其持续跟踪。截止至本报告发布,安天已经累计捕获13个变种、600多个不同哈希值的样本实体。

  第二章 样本典型行为分析

  2.1 运行环境

  Stuxnet蠕虫在以下操作系统中可以激活运行:

  Windows 2000、Windows Server 2000

  Windows XP、Windows Server 2003

  Windows Vista

  Windows 7、Windows Server 2008

  当它发现自己运行在非Windows NT系列操作系统中,即刻退出。

  被攻击的软件系统包括:

  SIMATIC WinCC 7.0

  SIMATIC WinCC 6.2

  但不排除其他版本存在这一问题的可能。

  2.2 本地行为

  样本被激活后,典型的运行流程如图1 所示。

  样本首先判断当前操作系统类型,如果是Windows 9X/ME,就直接退出。

  接下来加载一个主要的DLL模块,后续的行为都将在这个DLL中进行。为了躲避查杀,样本并不将DLL模块释放为磁盘文件然后加载,而是直接拷贝到内存中,然后模拟DLL的加载过程。

  具体而言,样本先申请足够的内存空间,然后Hookntdll.dll导出的6个系统函数:

  ZwMapViewOfSection

  ZwCreateSection

  ZwOpenFile

  ZwClose

  ZwQueryAttributesFile

  ZwQuerySection

  为此,样本先修改ntdll.dll文件内存映像中PE头的保护属性,然后将偏移0x40处的无用数据改写为跳转代码,用以实现hook。

  进而,样本就可以使用ZwCreateSection在内存空间中创建一个新的PE节,并将要加载的DLL模块拷贝到其中,最后使用LoadLibraryW来获取模块句柄。

  此后,样本跳转到被加载的DLL中执行,衍生下列文件:

  %System32%\drivers\mrxcls.sys %System32%\drivers\mrxnet.sys%Windir%\inf\oem7A.PNF%Windir%\inf\mdmeric3.PNF %Windir%\inf\mdmcpq3.PNF%Windir%\inf\oem6C.PNF  其中有两个驱动程序mrxcls.sys和mrxnet.sys,分别被注册成名为MRXCLS和MRXNET的系统服务,实现开机自启动。这两个驱动程序都使用了Rootkit技术,并有数字签名。

  mrxcls.sys负责查找主机中安装的WinCC系统,并进行攻击。具体地说,它监控系统进程的镜像加载操作,将存储在%Windir%\inf\oem7A.PNF中的一个模块注入到services.exe、S7tgtopx.exe、CCProjectMgr.exe三个进程中,后两者是WinCC系统运行时的进程。

  mrxnet.sys通过修改一些内核调用来隐藏被拷贝到U盘的lnk文件和DLL文件。
看过“震网病毒的背景 ”人还看了:

1.工控网络安全对社会重要吗

2.电脑病毒“火焰”

震网病毒的背景

世界上每天都有新病毒产生,大部分都是青少年的恶作剧,少部分则是犯罪分子用来盗取个人信息的工具,震网病毒也许只是其中之一,它的背景是什么样的呢!下面由学习啦小编给你做出详细的震网病毒背景介绍!希望对你有帮助! 震网病毒背景介
推荐度:
点击下载文档文档为doc格式

精选文章

  • 震网病毒的事件介绍
    震网病毒的事件介绍

    伊朗到底是什么时候才发现中毒的,外界不得而知。震网病毒到底有什么影响呢!下面由学习啦小编给你做出详细的震网病毒事假介绍!希望对你有帮助! 震网

  • 震网病毒发展历程
    震网病毒发展历程

    曾经席卷世界的震网病毒,它到底有什么样的发展历程呢!下面由学习啦小编给你做出详细的震网病毒发展历程介绍!希望对你有帮助! 震网病毒发展历程介绍

  • 震网病毒的特点和传播途径
    震网病毒的特点和传播途径

    008年,震网病毒攻击就开始奏效,伊朗核计划被显著拖延,它有什么特点和传播途径呢!下面由学习啦小编给你做出详细的震网病毒的特点和传播途径介绍

  • 什么是震网病毒
    什么是震网病毒

    震网病毒(Stuxnet病毒),是一个席卷全球工业界的病毒,该病毒与2010年6月首次被检测出来,也是第一个专门定向攻击真实世界中基础(能源)设施的蠕虫病毒。

588432