震網(wǎng)病毒的傳播方式及途徑

　　那么震網(wǎng)病毒的傳播方式是什么呢!通過什么途徑傳播呢!下面由學(xué)習(xí)啦小編給你做出詳細(xì)的震網(wǎng)病毒的傳播方式和途徑介紹!希望對你有幫助!

　　震網(wǎng)病毒的傳播方式和途徑介紹：

　　Stuxnet蠕蟲的攻擊目標(biāo)是SIMATIC WinCC軟件。后者主要用于工業(yè)控制系統(tǒng)的數(shù)據(jù)采集與監(jiān)控，一般部署在專用的內(nèi)部局域網(wǎng)中，并與外部互聯(lián)網(wǎng)實(shí)行物理上的隔離。為了實(shí)現(xiàn)攻擊，Stuxnet蠕蟲采取多種手段進(jìn)行滲透和傳播，如圖3所示。

　　整體的傳播思路是：首先感染外部主機(jī);然后感染U盤，利用快捷方式文件解析漏洞，傳播到內(nèi)部網(wǎng)絡(luò);在內(nèi)網(wǎng)中，通過快捷方式解析漏洞、RPC遠(yuǎn)程執(zhí)行漏洞、打印機(jī)后臺程序服務(wù)漏洞，實(shí)現(xiàn)聯(lián)網(wǎng)主機(jī)之間的傳播;最后抵達(dá)安裝了WinCC軟件的主機(jī)，展開攻擊。

　　2.3.1. 快捷方式文件解析漏洞(MS10-046)

　　這個漏洞利用Windows在解析快捷方式文件(例如.lnk文件)時的系統(tǒng)機(jī)制缺陷，使系統(tǒng)加載攻擊者指定的DLL文件，從而觸發(fā)攻擊行為。具體而言，Windows在顯示快捷方式文件時，會根據(jù)文件中的信息尋找它所需的圖標(biāo)資源，并將其作為文件的圖標(biāo)展現(xiàn)給用戶。如果圖標(biāo)資源在一個DLL文件中，系統(tǒng)就會加載這個DLL文件。攻擊者可以構(gòu)造這樣一個快捷方式文件，使系統(tǒng)加載指定的DLL文件，從而執(zhí)行其中的惡意代碼?？旖莘绞轿募娘@示是系統(tǒng)自動執(zhí)行，無需用戶交互，因此漏洞的利用效果很好。

　　Stuxnet蠕蟲搜索計(jì)算機(jī)中的可移動存儲設(shè)備。一旦發(fā)現(xiàn)，就將快捷方式文件和DLL文件拷貝到其中。如果用戶將這個設(shè)備再插入到內(nèi)部網(wǎng)絡(luò)中的計(jì)算機(jī)上使用，就會觸發(fā)漏洞，從而實(shí)現(xiàn)所謂的“擺渡”攻擊，即利用移動存儲設(shè)備對物理隔離網(wǎng)絡(luò)的滲入。

　　拷貝到U盤的DLL文件有兩個：~wtr4132.tmp和~wtr4141.tmp。后者Hook了kernel32.dll和ntdll.dll中的下列導(dǎo)出函數(shù)：

　　FindFirstFileW FindNextFileW FindFirstFileExWNtQueryDirectoryFile ZwQueryDirectoryFile 實(shí)現(xiàn)對U盤中l(wèi)nk文件和DLL文件的隱藏。因此，Stuxnet一共使用了兩種措施(內(nèi)核態(tài)驅(qū)動程序、用戶態(tài)Hook API)來實(shí)現(xiàn)對U盤文件的隱藏，使攻擊過程很難被用戶發(fā)覺，也能一定程度上躲避殺毒軟件的掃描。

　　2.3.2. RPC遠(yuǎn)程執(zhí)行漏洞(MS08-067)與提升權(quán)限漏洞

　　這是2008年爆發(fā)的最嚴(yán)重的一個微軟操作系統(tǒng)漏洞，具有利用簡單、波及范圍廣、危害程度高等特點(diǎn)。

　　具體而言，存在此漏洞的系統(tǒng)收到精心構(gòu)造的RPC請求時，可能允許遠(yuǎn)程執(zhí)行代碼。在Windows 2000、Windows XP和Windows Server 2003系統(tǒng)中，利用這一漏洞，攻擊者可以通過惡意構(gòu)造的網(wǎng)絡(luò)包直接發(fā)起攻擊，無需通過認(rèn)證地運(yùn)行任意代碼，并且獲取完整的權(quán)限。因此該漏洞常被蠕蟲用于大規(guī)模的傳播和攻擊。

　　Stuxnet蠕蟲利用這個漏洞實(shí)現(xiàn)在內(nèi)部局域網(wǎng)中的傳播。利用這一漏洞時，如果權(quán)限不夠?qū)е率?，還會使用一個尚未公開的漏洞來提升自身權(quán)限，然后再次嘗試攻擊。截止本報告發(fā)布，微軟尚未給出該提權(quán)漏洞的解決方案。

　　2.3.3. 打印機(jī)后臺程序服務(wù)漏洞(MS10-061)

　　這是一個零日漏洞，首先發(fā)現(xiàn)于Stuxnet蠕蟲中。

　　Windows打印后臺程序沒有合理地設(shè)置用戶權(quán)限。攻擊者可以通過提交精心構(gòu)造的打印請求，將文件發(fā)送到暴露了打印后臺程序接口的主機(jī)的%System32%目錄中。成功利用這個漏洞可以以系統(tǒng)權(quán)限執(zhí)行任意代碼，從而實(shí)現(xiàn)傳播和攻擊。

　　Stuxnet蠕蟲利用這個漏洞實(shí)現(xiàn)在內(nèi)部局域網(wǎng)中的傳播。它向目標(biāo)主機(jī)發(fā)送兩個文件：winsta.exe、sysnullevnt.mof。后者是微軟的一種托管對象格式(MOF)文件，在一些特定事件驅(qū)動下，它將驅(qū)使winsta.exe被執(zhí)行。

　　2.3.4.內(nèi)核模式驅(qū)動程序(MS10-073)

　　2.3.5.任務(wù)計(jì)劃程序漏洞(MS10-092)

　　2.4 攻擊行為

　　Stuxnet蠕蟲查詢兩個注冊表鍵來判斷主機(jī)中是否安裝WinCC系統(tǒng)：

　　HKLM\SOFTWARE\SIEMENS\WinCC\Setup

　　HKLM\SOFTWARE\SIEMENS\STEP7

　　查詢注冊表，判斷是否安裝WinCC

　　一旦發(fā)現(xiàn)WinCC系統(tǒng)，就利用其中的兩個漏洞展開攻擊：

　　一是WinCC系統(tǒng)中存在一個硬編碼漏洞，保存了訪問數(shù)據(jù)庫的默認(rèn)賬戶名和密碼，Stuxnet利用這一漏洞嘗試訪問該系統(tǒng)的SQL數(shù)據(jù)庫(圖9)。

　　二是在WinCC需要使用的Step7工程中，在打開工程文件時，存在DLL加載策略上的缺陷，從而導(dǎo)致一種類似于“DLL預(yù)加載攻擊”的利用方式。最終，Stuxnet通過替換Step7軟件中的s7otbxdx.dll，實(shí)現(xiàn)對一些查詢、讀取函數(shù)的Hook。

　　2.5 樣本文件的衍生關(guān)系

　　本節(jié)綜合介紹樣本在上述復(fù)制、傳播、攻擊過程中，各文件的衍生關(guān)系。

　　如圖10所示。樣本的來源有多種可能。

　　對原始樣本、通過RPC漏洞或打印服務(wù)漏洞傳播的樣本，都是exe文件，它在自己的.stud節(jié)中隱形加載模塊，名為“kernel32.dll.aslr.<隨機(jī)數(shù)字>.dll”。

　　對U盤傳播的樣本，當(dāng)系統(tǒng)顯示快捷方式文件時觸發(fā)漏洞，加載~wtr4141.tmp文件，后者加載一個名為“shell32.dll.aslr.<隨機(jī)數(shù)字>.dll”的模塊，這個模塊將另一個文件~wtr4132.tmp加載為“kernel32.dll.aslr.<隨機(jī)數(shù)字>.dll”。

　　樣本文件衍生的關(guān)系

　　模塊“kernel32.dll.aslr.<隨機(jī)數(shù)字>.dll”將啟動后續(xù)的大部分操作，它導(dǎo)出了22個函數(shù)來完成惡意代碼的主要功能;在其資源節(jié)中，包含了一些要衍生的文件，它們以加密的形式被保存。

　　其中，第16號導(dǎo)出函數(shù)用于衍生本地文件，包括資源編號201的mrxcls.sys和編號242的mrxnet.sys兩個驅(qū)動程序，以及4個.pnf文件。

　　第17號導(dǎo)出函數(shù)用于攻擊WinCC系統(tǒng)的第二個漏洞，它釋放一個s7otbxdx.dll，而將WinCC系統(tǒng)中的同名文件修改為s7otbxsx.dll，并對這個文件的導(dǎo)出函數(shù)進(jìn)行一次封裝，從而實(shí)現(xiàn)Hook。

　　第19號導(dǎo)出函數(shù)負(fù)責(zé)利用快捷方式解析漏洞進(jìn)行傳播。它釋放多個lnk文件和兩個擴(kuò)展名為tmp的文件。

　　第22號導(dǎo)出函數(shù)負(fù)責(zé)利用RPC漏洞和打印服務(wù)漏洞進(jìn)行傳播。它釋放的文件中，資源編號221的文件用于RPC攻擊、編號222的文件用于打印服務(wù)攻擊、編號250的文件用于提權(quán)。
看過“震網(wǎng)病毒的傳播方式及途徑”人還看了：

1.2016這些近期電腦病毒是什么

2.國內(nèi)2016年最新計(jì)算機(jī)病毒

3.2016電腦病毒有哪些

4.世界上20大電腦病毒

5.工控網(wǎng)絡(luò)安全對社會重要嗎

6.電腦病毒“火焰”

7.網(wǎng)絡(luò)安全最新新聞:訪美,網(wǎng)絡(luò)安全較勁