震網病毒的傳播方式及途徑

　　那么震網病毒的傳播方式是什么呢!通過什么途徑傳播呢!下面由學習啦小編給你做出詳細的震網病毒的傳播方式和途徑介紹!希望對你有幫助!

　　震網病毒的傳播方式和途徑介紹：

　　Stuxnet蠕蟲的攻擊目標是SIMATIC WinCC軟件。后者主要用于工業(yè)控制系統(tǒng)的數(shù)據(jù)采集與監(jiān)控，一般部署在專用的內部局域網中，并與外部互聯(lián)網實行物理上的隔離。為了實現(xiàn)攻擊，Stuxnet蠕蟲采取多種手段進行滲透和傳播，如圖3所示。

　　整體的傳播思路是：首先感染外部主機;然后感染U盤，利用快捷方式文件解析漏洞，傳播到內部網絡;在內網中，通過快捷方式解析漏洞、RPC遠程執(zhí)行漏洞、打印機后臺程序服務漏洞，實現(xiàn)聯(lián)網主機之間的傳播;最后抵達安裝了WinCC軟件的主機，展開攻擊。

　　2.3.1. 快捷方式文件解析漏洞(MS10-046)

　　這個漏洞利用Windows在解析快捷方式文件(例如.lnk文件)時的系統(tǒng)機制缺陷，使系統(tǒng)加載攻擊者指定的DLL文件，從而觸發(fā)攻擊行為。具體而言，Windows在顯示快捷方式文件時，會根據(jù)文件中的信息尋找它所需的圖標資源，并將其作為文件的圖標展現(xiàn)給用戶。如果圖標資源在一個DLL文件中，系統(tǒng)就會加載這個DLL文件。攻擊者可以構造這樣一個快捷方式文件，使系統(tǒng)加載指定的DLL文件，從而執(zhí)行其中的惡意代碼。快捷方式文件的顯示是系統(tǒng)自動執(zhí)行，無需用戶交互，因此漏洞的利用效果很好。

　　Stuxnet蠕蟲搜索計算機中的可移動存儲設備。一旦發(fā)現(xiàn)，就將快捷方式文件和DLL文件拷貝到其中。如果用戶將這個設備再插入到內部網絡中的計算機上使用，就會觸發(fā)漏洞，從而實現(xiàn)所謂的“擺渡”攻擊，即利用移動存儲設備對物理隔離網絡的滲入。

　　拷貝到U盤的DLL文件有兩個：~wtr4132.tmp和~wtr4141.tmp。后者Hook了kernel32.dll和ntdll.dll中的下列導出函數(shù)：

　　FindFirstFileW FindNextFileW FindFirstFileExWNtQueryDirectoryFile ZwQueryDirectoryFile 實現(xiàn)對U盤中l(wèi)nk文件和DLL文件的隱藏。因此，Stuxnet一共使用了兩種措施(內核態(tài)驅動程序、用戶態(tài)Hook API)來實現(xiàn)對U盤文件的隱藏，使攻擊過程很難被用戶發(fā)覺，也能一定程度上躲避殺毒軟件的掃描。

　　2.3.2. RPC遠程執(zhí)行漏洞(MS08-067)與提升權限漏洞

　　這是2008年爆發(fā)的最嚴重的一個微軟操作系統(tǒng)漏洞，具有利用簡單、波及范圍廣、危害程度高等特點。

　　具體而言，存在此漏洞的系統(tǒng)收到精心構造的RPC請求時，可能允許遠程執(zhí)行代碼。在Windows 2000、Windows XP和Windows Server 2003系統(tǒng)中，利用這一漏洞，攻擊者可以通過惡意構造的網絡包直接發(fā)起攻擊，無需通過認證地運行任意代碼，并且獲取完整的權限。因此該漏洞常被蠕蟲用于大規(guī)模的傳播和攻擊。

　　Stuxnet蠕蟲利用這個漏洞實現(xiàn)在內部局域網中的傳播。利用這一漏洞時，如果權限不夠導致失敗，還會使用一個尚未公開的漏洞來提升自身權限，然后再次嘗試攻擊。截止本報告發(fā)布，微軟尚未給出該提權漏洞的解決方案。

　　2.3.3. 打印機后臺程序服務漏洞(MS10-061)

　　這是一個零日漏洞，首先發(fā)現(xiàn)于Stuxnet蠕蟲中。

　　Windows打印后臺程序沒有合理地設置用戶權限。攻擊者可以通過提交精心構造的打印請求，將文件發(fā)送到暴露了打印后臺程序接口的主機的%System32%目錄中。成功利用這個漏洞可以以系統(tǒng)權限執(zhí)行任意代碼，從而實現(xiàn)傳播和攻擊。

　　Stuxnet蠕蟲利用這個漏洞實現(xiàn)在內部局域網中的傳播。它向目標主機發(fā)送兩個文件：winsta.exe、sysnullevnt.mof。后者是微軟的一種托管對象格式(MOF)文件，在一些特定事件驅動下，它將驅使winsta.exe被執(zhí)行。

　　2.3.4.內核模式驅動程序(MS10-073)

　　2.3.5.任務計劃程序漏洞(MS10-092)

　　2.4 攻擊行為

　　Stuxnet蠕蟲查詢兩個注冊表鍵來判斷主機中是否安裝WinCC系統(tǒng)：

　　HKLM\SOFTWARE\SIEMENS\WinCC\Setup

　　HKLM\SOFTWARE\SIEMENS\STEP7

　　查詢注冊表，判斷是否安裝WinCC

　　一旦發(fā)現(xiàn)WinCC系統(tǒng)，就利用其中的兩個漏洞展開攻擊：

　　一是WinCC系統(tǒng)中存在一個硬編碼漏洞，保存了訪問數(shù)據(jù)庫的默認賬戶名和密碼，Stuxnet利用這一漏洞嘗試訪問該系統(tǒng)的SQL數(shù)據(jù)庫(圖9)。

　　二是在WinCC需要使用的Step7工程中，在打開工程文件時，存在DLL加載策略上的缺陷，從而導致一種類似于“DLL預加載攻擊”的利用方式。最終，Stuxnet通過替換Step7軟件中的s7otbxdx.dll，實現(xiàn)對一些查詢、讀取函數(shù)的Hook。

　　2.5 樣本文件的衍生關系

　　本節(jié)綜合介紹樣本在上述復制、傳播、攻擊過程中，各文件的衍生關系。

　　如圖10所示。樣本的來源有多種可能。

　　對原始樣本、通過RPC漏洞或打印服務漏洞傳播的樣本，都是exe文件，它在自己的.stud節(jié)中隱形加載模塊，名為“kernel32.dll.aslr.<隨機數(shù)字>.dll”。

　　對U盤傳播的樣本，當系統(tǒng)顯示快捷方式文件時觸發(fā)漏洞，加載~wtr4141.tmp文件，后者加載一個名為“shell32.dll.aslr.<隨機數(shù)字>.dll”的模塊，這個模塊將另一個文件~wtr4132.tmp加載為“kernel32.dll.aslr.<隨機數(shù)字>.dll”。

　　樣本文件衍生的關系

　　模塊“kernel32.dll.aslr.<隨機數(shù)字>.dll”將啟動后續(xù)的大部分操作，它導出了22個函數(shù)來完成惡意代碼的主要功能;在其資源節(jié)中，包含了一些要衍生的文件，它們以加密的形式被保存。

　　其中，第16號導出函數(shù)用于衍生本地文件，包括資源編號201的mrxcls.sys和編號242的mrxnet.sys兩個驅動程序，以及4個.pnf文件。

　　第17號導出函數(shù)用于攻擊WinCC系統(tǒng)的第二個漏洞，它釋放一個s7otbxdx.dll，而將WinCC系統(tǒng)中的同名文件修改為s7otbxsx.dll，并對這個文件的導出函數(shù)進行一次封裝，從而實現(xiàn)Hook。

　　第19號導出函數(shù)負責利用快捷方式解析漏洞進行傳播。它釋放多個lnk文件和兩個擴展名為tmp的文件。

　　第22號導出函數(shù)負責利用RPC漏洞和打印服務漏洞進行傳播。它釋放的文件中，資源編號221的文件用于RPC攻擊、編號222的文件用于打印服務攻擊、編號250的文件用于提權。
看過“震網病毒的傳播方式及途徑”人還看了：

1.2016這些近期電腦病毒是什么

2.國內2016年最新計算機病毒

3.2016電腦病毒有哪些

4.世界上20大電腦病毒

5.工控網絡安全對社會重要嗎

6.電腦病毒“火焰”

7.網絡安全最新新聞:訪美,網絡安全較勁