震網病毒的傳播方式及途徑

General 更新 2024年11月29日

  那麼震網病毒的傳播方式是什麼呢!通過什麼途徑傳播呢!下面由小編給你做出詳細的震網病毒的傳播方式和途徑介紹!希望對你有幫助!

  震網病毒的傳播方式和途徑介紹:

  Stuxnet蠕蟲的攻擊目標是SIMATIC WinCC軟體。後者主要用於工業控制系統的資料採集與監控,一般部署在專用的內部區域網中,並與外部網際網路實行物理上的隔離。為了實現攻擊,Stuxnet蠕蟲採取多種手段進行滲透和傳播,如圖3所示。

  整體的傳播思路是:首先感染外部主機;然後感染U盤,利用快捷方式檔案解析漏洞,傳播到內部網路;在內網中,通過快捷方式解析漏洞、RPC遠端執行漏洞、印表機後臺程式服務漏洞,實現聯網主機之間的傳播;最後抵達安裝了WinCC軟體的主機,展開攻擊。

  2.3.1. 快捷方式檔案解析漏洞***MS10-046***

  這個漏洞利用Windows在解析快捷方式檔案***例如.lnk檔案***時的系統機制缺陷,使系統載入攻擊者指定的DLL檔案,從而觸發攻擊行為。具體而言,Windows在顯示快捷方式檔案時,會根據檔案中的資訊尋找它所需的圖示資源,並將其作為檔案的圖示展現給使用者。如果圖示資源在一個DLL檔案中,系統就會載入這個DLL檔案。攻擊者可以構造這樣一個快捷方式檔案,使系統載入指定的DLL檔案,從而執行其中的惡意程式碼。快捷方式檔案的顯示是系統自動執行,無需使用者互動,因此漏洞的利用效果很好。

  Stuxnet蠕蟲搜尋計算機中的可移動儲存裝置。一旦發現,就將快捷方式檔案和DLL檔案拷貝到其中。如果使用者將這個裝置再插入到內部網路中的計算機上使用,就會觸發漏洞,從而實現所謂的“擺渡”攻擊,即利用移動儲存裝置對物理隔離網路的滲入。

  拷貝到U盤的DLL檔案有兩個:~wtr4132.tmp和~wtr4141.tmp。後者Hook了kernel32.dll和ntdll.dll中的下列匯出函式:

  FindFirstFileW FindNextFileW FindFirstFileExWNtQueryDirectoryFile ZwQueryDirectoryFile 實現對U盤中lnk檔案和DLL檔案的隱藏。因此,Stuxnet一共使用了兩種措施***核心態驅動程式、使用者態Hook API***來實現對U盤檔案的隱藏,使攻擊過程很難被使用者發覺,也能一定程度上躲避防毒軟體的掃描。

  2.3.2. RPC遠端執行漏洞***MS08-067***與提升許可權漏洞

  這是2008年爆發的最嚴重的一個微軟作業系統漏洞,具有利用簡單、波及範圍廣、危害程度高等特點。

  具體而言,存在此漏洞的系統收到精心構造的RPC請求時,可能允許遠端執行程式碼。在Windows 2000、Windows XP和Windows Server 2003系統中,利用這一漏洞,攻擊者可以通過惡意構造的網路包直接發起攻擊,無需通過認證地執行任意程式碼,並且獲取完整的許可權。因此該漏洞常被蠕蟲用於大規模的傳播和攻擊。

  Stuxnet蠕蟲利用這個漏洞實現在內部區域網中的傳播。利用這一漏洞時,如果許可權不夠導致失敗,還會使用一個尚未公開的漏洞來提升自身許可權,然後再次嘗試攻擊。截止本報告發布,微軟尚未給出該提權漏洞的解決方案。

  2.3.3. 印表機後臺程式服務漏洞***MS10-061***

  這是一個零日漏洞,首先發現於Stuxnet蠕蟲中。

  Windows列印後臺程式沒有合理地設定使用者許可權。攻擊者可以通過提交精心構造的列印請求,將檔案傳送到暴露了列印後臺程式介面的主機的%System32%目錄中。成功利用這個漏洞可以以系統許可權執行任意程式碼,從而實現傳播和攻擊。

  Stuxnet蠕蟲利用這個漏洞實現在內部區域網中的傳播。它向目標主機發送兩個檔案:winsta.exe、sysnullevnt.mof。後者是微軟的一種託管物件格式***MOF***檔案,在一些特定事件驅動下,它將驅使winsta.exe被執行。

  2.3.4.核心模式驅動程式***MS10-073***

  2.3.5.任務計劃程式漏洞***MS10-092***

  2.4 攻擊行為

  Stuxnet蠕蟲查詢兩個登錄檔鍵來判斷主機中是否安裝WinCC系統:

  HKLM\SOFTWARE\SIEMENS\WinCC\Setup

  HKLM\SOFTWARE\SIEMENS\STEP7

  查詢登錄檔,判斷是否安裝WinCC

  一旦發現WinCC系統,就利用其中的兩個漏洞展開攻擊:

  一是WinCC系統中存在一個硬編碼漏洞,儲存了訪問資料庫的預設賬戶名和密碼,Stuxnet利用這一漏洞嘗試訪問該系統的SQL資料庫***圖9***。

  二是在WinCC需要使用的Step7工程中,在開啟工程檔案時,存在DLL載入策略上的缺陷,從而導致一種類似於“DLL預載入攻擊”的利用方式。最終,Stuxnet通過替換Step7軟體中的s7otbxdx.dll,實現對一些查詢、讀取函式的Hook。

  2.5 樣本檔案的衍生關係

  本節綜合介紹樣本在上述複製、傳播、攻擊過程中,各檔案的衍生關係。

  如圖10所示。樣本的來源有多種可能。

  對原始樣本、通過RPC漏洞或列印服務漏洞傳播的樣本,都是exe檔案,它在自己的.stud節中隱形載入模組,名為“kernel32.dll.aslr.<隨機數字>.dll”。

  對U盤傳播的樣本,當系統顯示快捷方式檔案時觸發漏洞,載入~wtr4141.tmp檔案,後者載入一個名為“shell32.dll.aslr.<隨機數字>.dll”的模組,這個模組將另一個檔案~wtr4132.tmp載入為“kernel32.dll.aslr.<隨機數字>.dll”。

  樣本檔案衍生的關係

  模組“kernel32.dll.aslr.<隨機數字>.dll”將啟動後續的大部分操作,它匯出了22個函式來完成惡意程式碼的主要功能;在其資源節中,包含了一些要衍生的檔案,它們以加密的形式被儲存。

  其中,第16號匯出函式用於衍生本地檔案,包括資源編號201的mrxcls.sys和編號242的mrxnet.sys兩個驅動程式,以及4個.pnf檔案。

  第17號匯出函式用於攻擊WinCC系統的第二個漏洞,它釋放一個s7otbxdx.dll,而將WinCC系統中的同名檔案修改為s7otbxsx.dll,並對這個檔案的匯出函式進行一次封裝,從而實現Hook。

  第19號匯出函式負責利用快捷方式解析漏洞進行傳播。它釋放多個lnk檔案和兩個副檔名為tmp的檔案。

  第22號匯出函式負責利用RPC漏洞和列印服務漏洞進行傳播。它釋放的檔案中,資源編號221的檔案用於RPC攻擊、編號222的檔案用於列印服務攻擊、編號250的檔案用於提權。

”人還:

失眠的症狀特徵有些
計算機病毒傳播方式有哪些
相關知識
震網病毒的傳播方式及途徑
震網病毒的解決方式
電腦病毒的傳染方式
計算機病毒的傳染方式
梅毒的傳播方式
震網病毒的特點和傳播途徑
病毒的傳播途徑及方法
計算機病毒的傳播途徑有哪些
電腦病毒的傳播途徑
震網病毒的背景