震網(wǎng)病毒的傳播方式及途徑

　　那么震網(wǎng)病毒的傳播方式是什么呢!通過(guò)什么途徑傳播呢!下面由學(xué)習(xí)啦小編給你做出詳細(xì)的震網(wǎng)病毒的傳播方式和途徑介紹!希望對(duì)你有幫助!

　　震網(wǎng)病毒的傳播方式和途徑介紹：

　　Stuxnet蠕蟲(chóng)的攻擊目標(biāo)是SIMATIC WinCC軟件。后者主要用于工業(yè)控制系統(tǒng)的數(shù)據(jù)采集與監(jiān)控，一般部署在專用的內(nèi)部局域網(wǎng)中，并與外部互聯(lián)網(wǎng)實(shí)行物理上的隔離。為了實(shí)現(xiàn)攻擊，Stuxnet蠕蟲(chóng)采取多種手段進(jìn)行滲透和傳播，如圖3所示。

　　整體的傳播思路是：首先感染外部主機(jī);然后感染U盤，利用快捷方式文件解析漏洞，傳播到內(nèi)部網(wǎng)絡(luò);在內(nèi)網(wǎng)中，通過(guò)快捷方式解析漏洞、RPC遠(yuǎn)程執(zhí)行漏洞、打印機(jī)后臺(tái)程序服務(wù)漏洞，實(shí)現(xiàn)聯(lián)網(wǎng)主機(jī)之間的傳播;最后抵達(dá)安裝了WinCC軟件的主機(jī)，展開(kāi)攻擊。

　　2.3.1. 快捷方式文件解析漏洞(MS10-046)

　　這個(gè)漏洞利用Windows在解析快捷方式文件(例如.lnk文件)時(shí)的系統(tǒng)機(jī)制缺陷，使系統(tǒng)加載攻擊者指定的DLL文件，從而觸發(fā)攻擊行為。具體而言，Windows在顯示快捷方式文件時(shí)，會(huì)根據(jù)文件中的信息尋找它所需的圖標(biāo)資源，并將其作為文件的圖標(biāo)展現(xiàn)給用戶。如果圖標(biāo)資源在一個(gè)DLL文件中，系統(tǒng)就會(huì)加載這個(gè)DLL文件。攻擊者可以構(gòu)造這樣一個(gè)快捷方式文件，使系統(tǒng)加載指定的DLL文件，從而執(zhí)行其中的惡意代碼?？旖莘绞轿募娘@示是系統(tǒng)自動(dòng)執(zhí)行，無(wú)需用戶交互，因此漏洞的利用效果很好。

　　Stuxnet蠕蟲(chóng)搜索計(jì)算機(jī)中的可移動(dòng)存儲(chǔ)設(shè)備。一旦發(fā)現(xiàn)，就將快捷方式文件和DLL文件拷貝到其中。如果用戶將這個(gè)設(shè)備再插入到內(nèi)部網(wǎng)絡(luò)中的計(jì)算機(jī)上使用，就會(huì)觸發(fā)漏洞，從而實(shí)現(xiàn)所謂的“擺渡”攻擊，即利用移動(dòng)存儲(chǔ)設(shè)備對(duì)物理隔離網(wǎng)絡(luò)的滲入。

　　拷貝到U盤的DLL文件有兩個(gè)：~wtr4132.tmp和~wtr4141.tmp。后者Hook了kernel32.dll和ntdll.dll中的下列導(dǎo)出函數(shù)：

　　FindFirstFileW FindNextFileW FindFirstFileExWNtQueryDirectoryFile ZwQueryDirectoryFile 實(shí)現(xiàn)對(duì)U盤中l(wèi)nk文件和DLL文件的隱藏。因此，Stuxnet一共使用了兩種措施(內(nèi)核態(tài)驅(qū)動(dòng)程序、用戶態(tài)Hook API)來(lái)實(shí)現(xiàn)對(duì)U盤文件的隱藏，使攻擊過(guò)程很難被用戶發(fā)覺(jué)，也能一定程度上躲避殺毒軟件的掃描。

　　2.3.2. RPC遠(yuǎn)程執(zhí)行漏洞(MS08-067)與提升權(quán)限漏洞

　　這是2008年爆發(fā)的最嚴(yán)重的一個(gè)微軟操作系統(tǒng)漏洞，具有利用簡(jiǎn)單、波及范圍廣、危害程度高等特點(diǎn)。

　　具體而言，存在此漏洞的系統(tǒng)收到精心構(gòu)造的RPC請(qǐng)求時(shí)，可能允許遠(yuǎn)程執(zhí)行代碼。在Windows 2000、Windows XP和Windows Server 2003系統(tǒng)中，利用這一漏洞，攻擊者可以通過(guò)惡意構(gòu)造的網(wǎng)絡(luò)包直接發(fā)起攻擊，無(wú)需通過(guò)認(rèn)證地運(yùn)行任意代碼，并且獲取完整的權(quán)限。因此該漏洞常被蠕蟲(chóng)用于大規(guī)模的傳播和攻擊。

　　Stuxnet蠕蟲(chóng)利用這個(gè)漏洞實(shí)現(xiàn)在內(nèi)部局域網(wǎng)中的傳播。利用這一漏洞時(shí)，如果權(quán)限不夠?qū)е率?，還會(huì)使用一個(gè)尚未公開(kāi)的漏洞來(lái)提升自身權(quán)限，然后再次嘗試攻擊。截止本報(bào)告發(fā)布，微軟尚未給出該提權(quán)漏洞的解決方案。

　　2.3.3. 打印機(jī)后臺(tái)程序服務(wù)漏洞(MS10-061)

　　這是一個(gè)零日漏洞，首先發(fā)現(xiàn)于Stuxnet蠕蟲(chóng)中。

　　Windows打印后臺(tái)程序沒(méi)有合理地設(shè)置用戶權(quán)限。攻擊者可以通過(guò)提交精心構(gòu)造的打印請(qǐng)求，將文件發(fā)送到暴露了打印后臺(tái)程序接口的主機(jī)的%System32%目錄中。成功利用這個(gè)漏洞可以以系統(tǒng)權(quán)限執(zhí)行任意代碼，從而實(shí)現(xiàn)傳播和攻擊。

　　Stuxnet蠕蟲(chóng)利用這個(gè)漏洞實(shí)現(xiàn)在內(nèi)部局域網(wǎng)中的傳播。它向目標(biāo)主機(jī)發(fā)送兩個(gè)文件：winsta.exe、sysnullevnt.mof。后者是微軟的一種托管對(duì)象格式(MOF)文件，在一些特定事件驅(qū)動(dòng)下，它將驅(qū)使winsta.exe被執(zhí)行。

　　2.3.4.內(nèi)核模式驅(qū)動(dòng)程序(MS10-073)

　　2.3.5.任務(wù)計(jì)劃程序漏洞(MS10-092)

　　2.4 攻擊行為

　　Stuxnet蠕蟲(chóng)查詢兩個(gè)注冊(cè)表鍵來(lái)判斷主機(jī)中是否安裝WinCC系統(tǒng)：

　　HKLM\SOFTWARE\SIEMENS\WinCC\Setup

　　HKLM\SOFTWARE\SIEMENS\STEP7

　　查詢注冊(cè)表，判斷是否安裝WinCC

　　一旦發(fā)現(xiàn)WinCC系統(tǒng)，就利用其中的兩個(gè)漏洞展開(kāi)攻擊：

　　一是WinCC系統(tǒng)中存在一個(gè)硬編碼漏洞，保存了訪問(wèn)數(shù)據(jù)庫(kù)的默認(rèn)賬戶名和密碼，Stuxnet利用這一漏洞嘗試訪問(wèn)該系統(tǒng)的SQL數(shù)據(jù)庫(kù)(圖9)。

　　二是在WinCC需要使用的Step7工程中，在打開(kāi)工程文件時(shí)，存在DLL加載策略上的缺陷，從而導(dǎo)致一種類似于“DLL預(yù)加載攻擊”的利用方式。最終，Stuxnet通過(guò)替換Step7軟件中的s7otbxdx.dll，實(shí)現(xiàn)對(duì)一些查詢、讀取函數(shù)的Hook。

　　2.5 樣本文件的衍生關(guān)系

　　本節(jié)綜合介紹樣本在上述復(fù)制、傳播、攻擊過(guò)程中，各文件的衍生關(guān)系。

　　如圖10所示。樣本的來(lái)源有多種可能。

　　對(duì)原始樣本、通過(guò)RPC漏洞或打印服務(wù)漏洞傳播的樣本，都是exe文件，它在自己的.stud節(jié)中隱形加載模塊，名為“kernel32.dll.aslr.<隨機(jī)數(shù)字>.dll”。

　　對(duì)U盤傳播的樣本，當(dāng)系統(tǒng)顯示快捷方式文件時(shí)觸發(fā)漏洞，加載~wtr4141.tmp文件，后者加載一個(gè)名為“shell32.dll.aslr.<隨機(jī)數(shù)字>.dll”的模塊，這個(gè)模塊將另一個(gè)文件~wtr4132.tmp加載為“kernel32.dll.aslr.<隨機(jī)數(shù)字>.dll”。

　　樣本文件衍生的關(guān)系

　　模塊“kernel32.dll.aslr.<隨機(jī)數(shù)字>.dll”將啟動(dòng)后續(xù)的大部分操作，它導(dǎo)出了22個(gè)函數(shù)來(lái)完成惡意代碼的主要功能;在其資源節(jié)中，包含了一些要衍生的文件，它們以加密的形式被保存。

　　其中，第16號(hào)導(dǎo)出函數(shù)用于衍生本地文件，包括資源編號(hào)201的mrxcls.sys和編號(hào)242的mrxnet.sys兩個(gè)驅(qū)動(dòng)程序，以及4個(gè).pnf文件。

　　第17號(hào)導(dǎo)出函數(shù)用于攻擊WinCC系統(tǒng)的第二個(gè)漏洞，它釋放一個(gè)s7otbxdx.dll，而將WinCC系統(tǒng)中的同名文件修改為s7otbxsx.dll，并對(duì)這個(gè)文件的導(dǎo)出函數(shù)進(jìn)行一次封裝，從而實(shí)現(xiàn)Hook。

　　第19號(hào)導(dǎo)出函數(shù)負(fù)責(zé)利用快捷方式解析漏洞進(jìn)行傳播。它釋放多個(gè)lnk文件和兩個(gè)擴(kuò)展名為tmp的文件。

　　第22號(hào)導(dǎo)出函數(shù)負(fù)責(zé)利用RPC漏洞和打印服務(wù)漏洞進(jìn)行傳播。它釋放的文件中，資源編號(hào)221的文件用于RPC攻擊、編號(hào)222的文件用于打印服務(wù)攻擊、編號(hào)250的文件用于提權(quán)。
看過(guò)“震網(wǎng)病毒的傳播方式及途徑”人還看了：

1.2016這些近期電腦病毒是什么

2.國(guó)內(nèi)2016年最新計(jì)算機(jī)病毒

3.2016電腦病毒有哪些

4.世界上20大電腦病毒

5.工控網(wǎng)絡(luò)安全對(duì)社會(huì)重要嗎

6.電腦病毒“火焰”

7.網(wǎng)絡(luò)安全最新新聞:訪美,網(wǎng)絡(luò)安全較勁