震網(wǎng)病毒的背景

　　世界上每天都有新病毒產(chǎn)生，大部分都是青少年的惡作劇，少部分則是犯罪分子用來盜取個人信息的工具，震網(wǎng)病毒也許只是其中之一，它的背景是什么樣的呢!下面由學習啦小編給你做出詳細的震網(wǎng)病毒背景介紹!希望對你有幫助!

　　震網(wǎng)病毒背景介紹：

　　首先，它利用了4個Windows零日漏洞。零日漏洞是指軟件中剛剛被發(fā)現(xiàn)、還沒有被公開或者沒有被修補的漏洞。零日漏洞可以大大提高電腦入侵的成功率，具有巨大的經(jīng)濟價值，在黑市上，一個零日漏洞通?？梢再u到幾十萬美元。即使是犯罪集團的職業(yè)黑客，也不會奢侈到在一個病毒中同時用上4個零日漏洞。僅此一點，就可以看出該病毒的開發(fā)者不是一般黑客，它具備強大的經(jīng)濟實力。并且，開發(fā)者對于攻擊目標懷有志在必得的決心，因此才會同時用上多個零日漏洞，確保一擊得手。

　　其次，它具備超強的USB傳播能力。傳統(tǒng)病毒主要是通過網(wǎng)絡傳播，而震網(wǎng)病毒大大增強了通過USB接口傳播的能力，它會自動感染任何接入的U盤。在病毒開發(fā)者眼中，似乎病毒的傳播環(huán)境不是真正的互聯(lián)網(wǎng)，而是一個網(wǎng)絡連接受到限制的地方，因此需要靠USB口來擴充傳播途徑。

　　最奇怪的是，病毒中居然還含有兩個針對西門子工控軟件漏洞的攻擊，這在當時的病毒中是絕無僅有的。從互聯(lián)網(wǎng)的角度來看，工業(yè)控制是一種恐龍式的技術，古老的通信方式、隔絕的網(wǎng)絡連接、龐大的系統(tǒng)規(guī)模、緩慢的技術變革，這些都讓工控系統(tǒng)看上去跟互聯(lián)網(wǎng)截然不同。此前從沒人想過，在互聯(lián)網(wǎng)上泛濫的病毒，也可以應用到工業(yè)系統(tǒng)中去。

　　5深度分析編輯

　　第一章 事件背景

　　2010年10月，國內(nèi)外多家媒體相繼報道了Stuxnet蠕蟲對西門子公司的數(shù)據(jù)采集與監(jiān)控系統(tǒng)SIMATIC WinCC進行攻擊的事件，稱其為“超級病毒”、“超級工廠病毒”，并形容成“超級武器”、“潘多拉的魔盒”。

　　Stuxnet蠕蟲(俗稱“震網(wǎng)”、“雙子”)在2003年7月開始爆發(fā)。它利用了微軟操作系統(tǒng)中至少4個漏洞，其中有3個全新的零日漏洞;偽造驅(qū)動程序的數(shù)字簽名;通過一套完整的入侵和傳播流程，突破工業(yè)專用局域網(wǎng)的物理限制;利用WinCC系統(tǒng)的2個漏洞，對其開展破壞性攻擊。它是第一個直接破壞現(xiàn)實世界中工業(yè)基礎設施的惡意代碼。據(jù)賽門鐵克公司的統(tǒng)計，截止到2010年09月全球已有約45000個網(wǎng)絡被該蠕蟲感染，其中60%的受害主機位于伊朗境內(nèi)。伊朗政府已經(jīng)確認該國的布什爾核電站遭到Stuxnet蠕蟲的攻擊。

　　安天實驗室于7月15日捕獲到Stuxnet蠕蟲的第一個變種，在第一時間展開分析，發(fā)布了分析報告及防范措施，并對其持續(xù)跟蹤。截止至本報告發(fā)布，安天已經(jīng)累計捕獲13個變種、600多個不同哈希值的樣本實體。

　　第二章 樣本典型行為分析

　　2.1 運行環(huán)境

　　Stuxnet蠕蟲在以下操作系統(tǒng)中可以激活運行：

　　Windows 2000、Windows Server 2000

　　Windows XP、Windows Server 2003

　　Windows Vista

　　Windows 7、Windows Server 2008

　　當它發(fā)現(xiàn)自己運行在非Windows NT系列操作系統(tǒng)中，即刻退出。

　　被攻擊的軟件系統(tǒng)包括：

　　SIMATIC WinCC 7.0

　　SIMATIC WinCC 6.2

　　但不排除其他版本存在這一問題的可能。

　　2.2 本地行為

　　樣本被激活后，典型的運行流程如圖1 所示。

　　樣本首先判斷當前操作系統(tǒng)類型，如果是Windows 9X/ME，就直接退出。

　　接下來加載一個主要的DLL模塊，后續(xù)的行為都將在這個DLL中進行。為了躲避查殺，樣本并不將DLL模塊釋放為磁盤文件然后加載，而是直接拷貝到內(nèi)存中，然后模擬DLL的加載過程。

　　具體而言，樣本先申請足夠的內(nèi)存空間，然后Hookntdll.dll導出的6個系統(tǒng)函數(shù)：

　　ZwMapViewOfSection

　　ZwCreateSection

　　ZwOpenFile

　　ZwClose

　　ZwQueryAttributesFile

　　ZwQuerySection

　　為此，樣本先修改ntdll.dll文件內(nèi)存映像中PE頭的保護屬性，然后將偏移0x40處的無用數(shù)據(jù)改寫為跳轉(zhuǎn)代碼，用以實現(xiàn)hook。

　　進而，樣本就可以使用ZwCreateSection在內(nèi)存空間中創(chuàng)建一個新的PE節(jié)，并將要加載的DLL模塊拷貝到其中，最后使用LoadLibraryW來獲取模塊句柄。

　　此后，樣本跳轉(zhuǎn)到被加載的DLL中執(zhí)行，衍生下列文件：

　　%System32%\drivers\mrxcls.sys %System32%\drivers\mrxnet.sys%Windir%\inf\oem7A.PNF%Windir%\inf\mdmeric3.PNF %Windir%\inf\mdmcpq3.PNF%Windir%\inf\oem6C.PNF 　其中有兩個驅(qū)動程序mrxcls.sys和mrxnet.sys，分別被注冊成名為MRXCLS和MRXNET的系統(tǒng)服務，實現(xiàn)開機自啟動。這兩個驅(qū)動程序都使用了Rootkit技術，并有數(shù)字簽名。

　　mrxcls.sys負責查找主機中安裝的WinCC系統(tǒng)，并進行攻擊。具體地說，它監(jiān)控系統(tǒng)進程的鏡像加載操作，將存儲在%Windir%\inf\oem7A.PNF中的一個模塊注入到services.exe、S7tgtopx.exe、CCProjectMgr.exe三個進程中，后兩者是WinCC系統(tǒng)運行時的進程。

　　mrxnet.sys通過修改一些內(nèi)核調(diào)用來隱藏被拷貝到U盤的lnk文件和DLL文件。
看過“震網(wǎng)病毒的背景 ”人還看了：

1.工控網(wǎng)絡安全對社會重要嗎

2.電腦病毒“火焰”