第2个回答 2012-09-30
震网病毒又名Stuxnet病毒,是一个席卷全球工业界的病毒,世界上首个网络“超级武器”,一种名为Stuxnet的计算机病毒已经感染了全球超过 45000个网络,伊朗遭到的攻击最为严重,60%的个人电脑感染了这种病毒。
概述 震网病毒,瑞星公司监测到一个席卷全球工业界的病毒已经入侵中国,这种名为Stuxnet的蠕虫病毒已经造成伊朗核电站推迟发电,目前国内已有近500万网民、及多个行业的领军企业遭此病毒攻击。瑞星反病毒专家警告说,我们许多大型重要企业在安全制度上存在缺失,可能促进Stuxnet病毒在企业中的大规模传播。 这种病毒可能是新时期电子战争中的一种武器。
编辑本段传播 1、日前世界上首个网络“超级武器”,一种名为Stuxnet的计算机病毒已经感染了全球超过 45000个网络,伊朗遭到的攻击最为严重,60%的个人电脑感染了这种病毒。计算机安防专家认为,该病毒是有史以来最高端的“蠕虫”病毒,其目的可能是 要攻击伊朗的布什尔核电站。布什尔核电站目前正在装备核燃料,按照计划,它本应在2010年8月开始运行。
2、蠕虫是一种典型的计算机病毒,它能自我复制,并将副本通过网络传输,任何一台个人电脑只要和染毒电脑相连,就会被感染。这种 Stuxnet病毒于2010年6月首次被检测出来,是第一个专门攻击真实世界中基础设施的“蠕虫”病毒,比如发电站和水厂。目前互联网安全专家对此表示担心。
编辑本段深度分析第一章 事件背景 近日,国内外多家媒体相继报道了Stuxnet蠕虫对西门子公司的数据采集与监控系统SIMATIC WinCC进行攻击的事件,称其为“超级病毒”、“超级工厂病毒”,并形容成“超级武器”、“潘多拉的魔盒”。
Stuxnet蠕虫(俗称“震网”、“双子”)在今年7月开始爆发。它利用了微软操作系统中至少4个漏洞,其中有3个全新的零日漏洞;伪造驱动程序的数字签名;通过一套完整的入侵和传播流程,突破工业专用局域网的物理限制;利用WinCC系统的2个漏洞,对其开展破坏性攻击。它是第一个直接破坏现实世界中工业基础设施的恶意代码。据赛门铁克公司的统计,目前全球已有约45000个网络被该蠕虫感染,其中60%的受害主机位于伊朗境内。伊朗政府已经确认该国的布什尔核电站遭到Stuxnet蠕虫的攻击。
安天实验室于7月15日捕获到Stuxnet蠕虫的第一个变种,在第一时间展开分析,发布了分析报告及防范措施,并对其持续跟踪。截止至本报告发布,安天已经累计捕获13个变种、 600多个不同哈希值的样本实体。
第二章 样本典型行为分析 2.1 运行环境
Stuxnet蠕虫在以下操作系统中可以激活运行:
· Windows 2000、Windows Server 2000
· Windows XP、Windows Server 2003
· Windows Vista
· Windows 7、Windows Server 2008
当它发现自己运行在非Windows NT系列操作系统中,即刻退出。
被攻击的软件系统包括:
· SIMATIC WinCC 7.0
· SIMATIC WinCC 6.2
但不排除其他版本存在这一问题的可能。
2.2 本地行为
样本被激活后,典型的运行流程如图1 所示。
样本首先判断当前操作系统类型,如果是Windows 9X/ME,就直接退出。
接下来加载一个主要的DLL模块,后续的行为都将在这个DLL中进行。为了躲避查杀,样本并不将DLL模块释放为磁盘文件然后加载,而是直接拷贝到内存中,然后模拟DLL的加载过程。
具体而言,样本先申请足够的内存空间,然后Hook ntdll.dll导出的6个系统函数:
ZwMapViewOfSection
ZwCreateSection
ZwOpenFile
ZwClose
ZwQueryAttributesFile
ZwQuerySection
为此,样本先修改ntdll.dll文件内存映像中PE头的保护属性,然后将偏移0x40处的无用数据改写为跳转代码,用以实现hook。
进而,样本就可以使用ZwCreateSection在内存空间中创建一个新的PE节,并将要加载的DLL模块拷贝到其中,最后使用LoadLibraryW来获取模块句柄。
此后,样本跳转到被加载的DLL中执行,衍生下列文件:
%System32%\drivers\mrxcls.sys %System32%\drivers\mrxnet.sys%Windir%\inf\oem7A.PNF%Windir%\inf\mdmeric3.PNF %Windir%\inf\mdmcpq3.PNF%Windir%\inf\oem6C.PNF 其中有两个驱动程序mrxcls.sys和mrxnet.sys,分别被注册成名为MRXCLS和MRXNET的系统服务,实现开机自启动。这两个驱动程序都使用了Rootkit技术,并有数字签名。
mrxcls.sys负责查找主机中安装的WinCC系统,并进行攻击。具体地说,它监控系统进程的镜像加载操作,将存储在%Windir%\inf\oem7A.PNF中的一个模块注入到services.exe、S7tgtopx.exe、CCProjectMgr.exe三个进程中,后两者是WinCC系统运行时的进程。
mrxnet.sys通过修改一些内核调用来隐藏被拷贝到U盘的lnk文件和DLL文件
2.3 传播方式 Stuxnet蠕虫的攻击目标是SIMATIC WinCC软件。后者主要用于工业控制系统的数据采集与监控,一般部署在专用的内部局域网中,并与外部互联网实行物理上的隔离。为了实现攻击,Stuxnet蠕虫采取多种手段进行渗透和传播,如图3所示。
整体的传播思路是:首先感染外部主机;然后感染U盘,利用快捷方式文件解析漏洞,传播到内部网络;在内网中,通过快捷方式解析漏洞、RPC远程执行漏洞、打印机后台程序服务漏洞,实现联网主机之间的传播;最后抵达安装了WinCC软件的主机,展开攻击。
1. 快捷方式文件解析漏洞(MS10-046)
这个漏洞利用Windows在解析快捷方式文件(例如.lnk文件)时的系统机制缺陷,使系统加载攻击者指定的DLL文件,从而触发攻击行为。具体而言,Windows在显示快捷方式文件时,会根据文件中的信息寻找它所需的图标资源,并将其作为文件的图标展现给用户。如果图标资源在一个DLL文件中,系统就会加载这个DLL文件。攻击者可以构造这样一个快捷方式文件,使系统加载指定的DLL文件,从而执行其中的恶意代码。快捷方式文件的显示是系统自动执行,无需用户交互,因此漏洞的利用效果很好。
Stuxnet蠕虫搜索计算机中的可移动存储设备(图4)。一旦发现,就将快捷方式文件和DLL文件拷贝到其中(图5)。如果用户将这个设备再插入到内部网络中的计算机上使用,就会触发漏洞,从而实现所谓的“摆渡”攻击,即利用移动存储设备对物理隔离网络的渗入。
拷贝到U盘的DLL文件有两个:~wtr4132.tmp和~wtr4141.tmp。后者Hook了kernel32.dll和ntdll.dll中的下列导出函数:
FindFirstFileW FindNextFileW FindFirstFileExWNtQueryDirectoryFile ZwQueryDirectoryFile 实现对U盘中lnk文件和DLL文件的隐藏。因此,Stuxnet一共使用了两种措施(内核态驱动程序、用户态Hook API)来实现对U盘文件的隐藏,使攻击过程很难被用户发觉,也能一定程度上躲避杀毒软件的扫描。
图5 拷贝文件到U盘
2. RPC远程执行漏洞(MS08-067)与提升权限漏洞
这是2008年爆发的最严重的一个微软操作系统漏洞,具有利用简单、波及范围广、危害程度高等特点。
具体而言,存在此漏洞的系统收到精心构造的RPC请求时,可能允许远程执行代码。在Windows 2000、Windows XP和Windows Server 2003系统中,利用这一漏洞,攻击者可以通过恶意构造的网络包直接发起攻击,无需通过认证地运行任意代码,并且获取完整的权限。因此该漏洞常被蠕虫用于大规模的传播和攻击。
Stuxnet蠕虫利用这个漏洞实现在内部局域网中的传播(图6)。利用这一漏洞时,如果权限不够导致失败,还会使用一个尚未公开的漏洞来提升自身权限(图1),然后再次尝试攻击。截止本报告发布,微软尚未给出该提权漏洞的解决方案。
3. 打印机后台程序服务漏洞(MS10-061)
这是一个零日漏洞,首先发现于Stuxnet蠕虫中。
Windows打印后台程序没有合理地设置用户权限。攻击者可以通过提交精心构造的打印请求,将文件发送到暴露了打印后台程序接口的主机的%System32%目录中。成功利用这个漏洞可以以系统权限执行任意代码,从而实现传播和攻击。
利用打印服务漏洞
Stuxnet蠕虫利用这个漏洞实现在内部局域网中的传播。如图7所示,它向目标主机发送两个文件:winsta.exe、sysnullevnt.mof。后者是微软的一种托管对象格式(MOF)文件,在一些特定事件驱动下,它将驱使winsta.exe被执行。
2.4 攻击行为
Stuxnet蠕虫查询两个注册表键来判断主机中是否安装WinCC系统
查询注册表,判断是否安装WinCC
一旦发现WinCC系统,就利用其中的两个漏洞展开攻击:
一是WinCC系统中存在一个硬编码漏洞,保存了访问数据库的默认账户名和密码,Stuxnet利用这一漏洞尝试访问该系统的SQL数据库(图9)。
二是在WinCC需要使用的Step7工程中,在打开工程文件时,存在DLL加载策略上的缺陷,从而导致一种类似于“DLL预加载攻击”的利用方式。最终,Stuxnet通过替换Step7软件中的s7otbxdx.dll,实现对一些查询、读取函数的Hook。
2.5 样本文件的衍生关系
本节综合介绍样本在上述复制、传播、攻击过程中,各文件的衍生关系。
如图10所示。样本的来源有多种可能。
对原始样本、通过RPC漏洞或打印服务漏洞传播的样本,都是exe文件,它在自己的.stud节中隐形加载模块,名为“kernel32.dll.aslr.<随机数字>.dll”。
对U盘传播的样本,当系统显示快捷方式文件时触发漏洞,加载~wtr4141.tmp文件,后者加载一个名为“shell32.dll.aslr.<随机数字>.dll”的模块,这个模块将另一个文件~wtr4132.tmp加载为“kernel32.dll.aslr.<随机数字>.dll”。
样本文件衍生的关系
模块“kernel32.dll.aslr.<随机数字>.dll”将启动后续的大部分操作,它导出了22个函数来完成恶意代码的主要功能;在其资源节中,包含了一些要衍生的文件,它们以加密的形式被保存。
其中,第16号导出函数用于衍生本地文件,包括资源编号201的mrxcls.sys和编号242的mrxnet.sys两个驱动程序,以及4个.pnf文件。
第17号导出函数用于攻击WinCC系统的第二个漏洞,它释放一个s7otbxdx.dll,而将WinCC系统中的同名文件修改为s7otbxsx.dll,并对这个文件的导出函数进行一次封装,从而实现Hook。
第19号导出函数负责利用快捷方式解析漏洞进行传播。它释放多个lnk文件和两个扩展名为tmp的文件。
第22号导出函数负责利用RPC漏洞和打印服务漏洞进行传播。它释放的文件中,资源编号221的文件用于RPC攻击、编号222的文件用于打印服务攻击、编号250的文件用于提权。
火焰病毒
简介
“火焰”病毒的全名为Worm.Win32.Flame,它是一种后门程序和木马病毒,同时又具有蠕虫病毒的特点。只要其背后的操控者发出指令,它就能在网络、移动设备中进行自我复制。一旦电脑系统被感染,病毒将开始一系列复杂的行动,包括监测网络流量、获取截屏画面、记录音频对话、截获键盘输入等。被感染系统中所有的数据都能通过链接传到病毒指定的服务器,让操控者一目了然。据卡巴斯基实验室统计,迄今发现感染该病毒的案例已有500多起,其中主要发生在伊朗、以色列和巴勒斯坦。苏丹、叙利亚、黎巴嫩、沙特阿拉伯、埃及和中国(家庭电脑较多)等国也有个别案例。病毒入侵的起始点目前尚不清楚。
“火焰”设计极为复杂,能够避过100种防毒软件。感染该病毒的电脑将自动分析自己的网络流量规律,自动录音,记录用户密码和键盘敲击规律,将用户浏览网页、通讯通话、账号密码以至键盘输入等纪录及其他重要文件发送给远程操控病毒的服务器。
火焰病毒被认为是迄今为止发现的最大规模的和最为复杂的网络攻击病毒。
2012年5月,俄罗斯安全专家发现一种威力强大的电脑病毒“火焰”(Flame)在中东地区大范围传播。俄罗斯电脑病毒防控机构卡巴斯基称,这种新病毒可能是“某个国家专门开发的网络战武器”。“火焰”病毒最早可能于2010年3月就被攻击者放出,但一直没能被其他网络安全公司发现。“火焰”病毒出现的最早时间甚至可追溯到2007年。
除卡巴斯基外,匈牙利的两家反电脑病毒实验室和伊朗反电脑病毒机构也发现了上述全新的蠕虫病毒。[1]
编辑本段特点 “火焰”病毒构造复杂,此前从未有病毒能达到其水平,是一种全新的网络间谍装备。该病毒可以通过USB存储器以及网络复制和传播,并能接受来自世界各地多个服务器的指令。感染“火焰”病毒的电脑将自动分析自己的网络流量规律,自动录音,记录用户密码和键盘敲击规律,并将结果和其他重要文件发送给远程操控病毒的服务器。
一旦完成搜集数据任务,这些病毒还可自行毁灭,不留踪迹。
从现有规律看,这种病毒的攻击活动不具规律性,个人电脑、教育机构、各类民间组织和国家机关都曾被其光顾过。
电子邮件、文件、消息、内部讨论等等都是其搜集的对象。[1]
编辑本段攻击范围 卡巴斯基实验室公布统计数字,确认新型电脑病毒“火焰”入侵中东地区。
遭受该毒感染的国家包括伊朗(189个目标遭袭),以色列和巴勒斯坦(98个目标遭袭),苏丹 (32个目标遭袭),叙利亚 (30 个目标遭袭),黎巴嫩 (18 个目标遭袭),沙特阿拉伯(10个目标遭袭)和埃及 (5个目标遭袭)。[1]
编辑本段开发者 由于破解病毒需要一定时间,截至2012年7月1日,还未查出源头。
杀毒软件厂商卡巴斯基指出,有证据显示,开发“火焰”病毒的国家可能与开发2010年攻击伊朗核项目的蠕虫病毒的国家相同。但是,他们尚未确定该病毒是否像攻击伊朗核项目的蠕虫病毒那样拥有特殊任务,并拒绝说出他们认为是谁开发了该病毒。2010年,伊朗离心机遭受计算机蠕虫入侵,使伊朗核计划遭受挫折。伊朗曾指责美国和以色列释放了这些蠕虫病毒。
伊朗外交部发言人指责是以色列制造“火焰”病毒,又说这些网络攻击手段,不会成功。[1]
编辑本段“火焰”的新特点 首先,在恶意程序中使用Lua就是非同寻常的,特别是在这么大的一个攻击工具中。一般来说,现代恶意程序大小都偏小,并用紧凑的编程语言进行编写,这样的话能很好的将其隐藏。因此,通过大量的代码实现隐藏是Flame的新特点之一。
其次,记录来自内部话筒音频数据也是相当新的手段。当然,其它一些已知的恶意程序也能够记录音频数据,但是Flame的关键不同是它很全面——能够以各种各样的手段盗取数据。
最后,Flame另外一个令人称奇的特点就是对蓝牙设备的使用。当设备的蓝牙功能开启的时候,Flame可以将配置模块中的相关选项同时开启,当发现有设备靠近被感染的计算机时,就可以收集设备中的信息。有赖于这样的配置,它还能以受感染的计算机做为一个“灯塔”,发现通过蓝牙传输的设备,并为背后的操控者提供有关编入到设备信息中的恶意程序状态。[1]
编辑本段关联病毒 与曾经攻击伊朗核项目计算机系统的“震网病毒”相比,“火焰”病毒不仅更为智能,且其攻击目标和代码组成也有较大区别。“火焰”病毒的攻击机制更为复杂,且攻击目标具有特定地域的地点。
“火焰”病毒最早可能于2010年3月就被攻击者放出,但一直没能被其他网络安全公司发现。“火焰”病毒出现的最早时间甚至可追溯到2007年。“震网”和“毒区”两款病毒的创建时间也大概为2007年前后。
“火焰”病毒部分特征与先前发现的“震网”和“毒区”两款病毒类似,显示三种病毒可能“同宗”。网络分析专家认为,已形成“网络战”攻击群。“震网”病毒攻击的是伊朗核设施,“毒区”病毒攻击的是伊朗工业控制系统数据,而“火焰”病毒攻击的则是伊朗石油部门的商业情报。[1]
编辑本段病毒防范 目前微软已经发布了名称为“火焰”病毒利用微软的数字签名欺骗漏洞的KB2718704补丁。
“火焰”病毒对家用电脑安全威胁较低,想判断是否中了这种病毒,可以通过查看联网程序来判断。目前,国内各种杀软已经有专杀供下载。
“暴雷”是基于Windows基础组件的远程攻击漏洞,黑客可以通过该漏洞,以恶意网页、文档等形式将任意木马植入用户电脑,窃取重要资料和账号信息。该漏洞影响多版本Office,几乎全体Windows用户都受威胁。
用最新版的360安全卫士可有效防御。本回答被提问者采纳