亚洲欧美精品沙发,日韩在线精品视频,亚洲Av每日更新在线观看,亚洲国产另类一区在线5

<pre id="hdphd"></pre>

  • <div id="hdphd"><small id="hdphd"></small></div>
      學(xué)習(xí)啦 > 學(xué)習(xí)電腦 > 電腦安全 > 病毒知識 > 震網(wǎng)病毒的傳播方式及途徑

      震網(wǎng)病毒的傳播方式及途徑

      時間: 林輝766 分享

      震網(wǎng)病毒的傳播方式及途徑

        那么震網(wǎng)病毒的傳播方式是什么呢!通過什么途徑傳播呢!下面由學(xué)習(xí)啦小編給你做出詳細的震網(wǎng)病毒的傳播方式和途徑介紹!希望對你有幫助!

        震網(wǎng)病毒的傳播方式和途徑介紹:

        Stuxnet蠕蟲的攻擊目標(biāo)是SIMATIC WinCC軟件。后者主要用于工業(yè)控制系統(tǒng)的數(shù)據(jù)采集與監(jiān)控,一般部署在專用的內(nèi)部局域網(wǎng)中,并與外部互聯(lián)網(wǎng)實行物理上的隔離。為了實現(xiàn)攻擊,Stuxnet蠕蟲采取多種手段進行滲透和傳播,如圖3所示。

        整體的傳播思路是:首先感染外部主機;然后感染U盤,利用快捷方式文件解析漏洞,傳播到內(nèi)部網(wǎng)絡(luò);在內(nèi)網(wǎng)中,通過快捷方式解析漏洞、RPC遠程執(zhí)行漏洞、打印機后臺程序服務(wù)漏洞,實現(xiàn)聯(lián)網(wǎng)主機之間的傳播;最后抵達安裝了WinCC軟件的主機,展開攻擊。

        2.3.1. 快捷方式文件解析漏洞(MS10-046)

        這個漏洞利用Windows在解析快捷方式文件(例如.lnk文件)時的系統(tǒng)機制缺陷,使系統(tǒng)加載攻擊者指定的DLL文件,從而觸發(fā)攻擊行為。具體而言,Windows在顯示快捷方式文件時,會根據(jù)文件中的信息尋找它所需的圖標(biāo)資源,并將其作為文件的圖標(biāo)展現(xiàn)給用戶。如果圖標(biāo)資源在一個DLL文件中,系統(tǒng)就會加載這個DLL文件。攻擊者可以構(gòu)造這樣一個快捷方式文件,使系統(tǒng)加載指定的DLL文件,從而執(zhí)行其中的惡意代碼??旖莘绞轿募娘@示是系統(tǒng)自動執(zhí)行,無需用戶交互,因此漏洞的利用效果很好。

        Stuxnet蠕蟲搜索計算機中的可移動存儲設(shè)備。一旦發(fā)現(xiàn),就將快捷方式文件和DLL文件拷貝到其中。如果用戶將這個設(shè)備再插入到內(nèi)部網(wǎng)絡(luò)中的計算機上使用,就會觸發(fā)漏洞,從而實現(xiàn)所謂的“擺渡”攻擊,即利用移動存儲設(shè)備對物理隔離網(wǎng)絡(luò)的滲入。

        拷貝到U盤的DLL文件有兩個:~wtr4132.tmp和~wtr4141.tmp。后者Hook了kernel32.dll和ntdll.dll中的下列導(dǎo)出函數(shù):

        FindFirstFileW FindNextFileW FindFirstFileExWNtQueryDirectoryFile ZwQueryDirectoryFile 實現(xiàn)對U盤中l(wèi)nk文件和DLL文件的隱藏。因此,Stuxnet一共使用了兩種措施(內(nèi)核態(tài)驅(qū)動程序、用戶態(tài)Hook API)來實現(xiàn)對U盤文件的隱藏,使攻擊過程很難被用戶發(fā)覺,也能一定程度上躲避殺毒軟件的掃描。

        2.3.2. RPC遠程執(zhí)行漏洞(MS08-067)與提升權(quán)限漏洞

        這是2008年爆發(fā)的最嚴(yán)重的一個微軟操作系統(tǒng)漏洞,具有利用簡單、波及范圍廣、危害程度高等特點。

        具體而言,存在此漏洞的系統(tǒng)收到精心構(gòu)造的RPC請求時,可能允許遠程執(zhí)行代碼。在Windows 2000、Windows XP和Windows Server 2003系統(tǒng)中,利用這一漏洞,攻擊者可以通過惡意構(gòu)造的網(wǎng)絡(luò)包直接發(fā)起攻擊,無需通過認證地運行任意代碼,并且獲取完整的權(quán)限。因此該漏洞常被蠕蟲用于大規(guī)模的傳播和攻擊。

        Stuxnet蠕蟲利用這個漏洞實現(xiàn)在內(nèi)部局域網(wǎng)中的傳播。利用這一漏洞時,如果權(quán)限不夠?qū)е率?,還會使用一個尚未公開的漏洞來提升自身權(quán)限,然后再次嘗試攻擊。截止本報告發(fā)布,微軟尚未給出該提權(quán)漏洞的解決方案。

        2.3.3. 打印機后臺程序服務(wù)漏洞(MS10-061)

        這是一個零日漏洞,首先發(fā)現(xiàn)于Stuxnet蠕蟲中。

        Windows打印后臺程序沒有合理地設(shè)置用戶權(quán)限。攻擊者可以通過提交精心構(gòu)造的打印請求,將文件發(fā)送到暴露了打印后臺程序接口的主機的%System32%目錄中。成功利用這個漏洞可以以系統(tǒng)權(quán)限執(zhí)行任意代碼,從而實現(xiàn)傳播和攻擊。

        Stuxnet蠕蟲利用這個漏洞實現(xiàn)在內(nèi)部局域網(wǎng)中的傳播。它向目標(biāo)主機發(fā)送兩個文件:winsta.exe、sysnullevnt.mof。后者是微軟的一種托管對象格式(MOF)文件,在一些特定事件驅(qū)動下,它將驅(qū)使winsta.exe被執(zhí)行。

        2.3.4.內(nèi)核模式驅(qū)動程序(MS10-073)

        2.3.5.任務(wù)計劃程序漏洞(MS10-092)

        2.4 攻擊行為

        Stuxnet蠕蟲查詢兩個注冊表鍵來判斷主機中是否安裝WinCC系統(tǒng):

        HKLM\SOFTWARE\SIEMENS\WinCC\Setup

        HKLM\SOFTWARE\SIEMENS\STEP7

        查詢注冊表,判斷是否安裝WinCC

        一旦發(fā)現(xiàn)WinCC系統(tǒng),就利用其中的兩個漏洞展開攻擊:

        一是WinCC系統(tǒng)中存在一個硬編碼漏洞,保存了訪問數(shù)據(jù)庫的默認賬戶名和密碼,Stuxnet利用這一漏洞嘗試訪問該系統(tǒng)的SQL數(shù)據(jù)庫(圖9)。

        二是在WinCC需要使用的Step7工程中,在打開工程文件時,存在DLL加載策略上的缺陷,從而導(dǎo)致一種類似于“DLL預(yù)加載攻擊”的利用方式。最終,Stuxnet通過替換Step7軟件中的s7otbxdx.dll,實現(xiàn)對一些查詢、讀取函數(shù)的Hook。

        2.5 樣本文件的衍生關(guān)系

        本節(jié)綜合介紹樣本在上述復(fù)制、傳播、攻擊過程中,各文件的衍生關(guān)系。

        如圖10所示。樣本的來源有多種可能。

        對原始樣本、通過RPC漏洞或打印服務(wù)漏洞傳播的樣本,都是exe文件,它在自己的.stud節(jié)中隱形加載模塊,名為“kernel32.dll.aslr.<隨機數(shù)字>.dll”。

        對U盤傳播的樣本,當(dāng)系統(tǒng)顯示快捷方式文件時觸發(fā)漏洞,加載~wtr4141.tmp文件,后者加載一個名為“shell32.dll.aslr.<隨機數(shù)字>.dll”的模塊,這個模塊將另一個文件~wtr4132.tmp加載為“kernel32.dll.aslr.<隨機數(shù)字>.dll”。

        樣本文件衍生的關(guān)系

        模塊“kernel32.dll.aslr.<隨機數(shù)字>.dll”將啟動后續(xù)的大部分操作,它導(dǎo)出了22個函數(shù)來完成惡意代碼的主要功能;在其資源節(jié)中,包含了一些要衍生的文件,它們以加密的形式被保存。

        其中,第16號導(dǎo)出函數(shù)用于衍生本地文件,包括資源編號201的mrxcls.sys和編號242的mrxnet.sys兩個驅(qū)動程序,以及4個.pnf文件。

        第17號導(dǎo)出函數(shù)用于攻擊WinCC系統(tǒng)的第二個漏洞,它釋放一個s7otbxdx.dll,而將WinCC系統(tǒng)中的同名文件修改為s7otbxsx.dll,并對這個文件的導(dǎo)出函數(shù)進行一次封裝,從而實現(xiàn)Hook。

        第19號導(dǎo)出函數(shù)負責(zé)利用快捷方式解析漏洞進行傳播。它釋放多個lnk文件和兩個擴展名為tmp的文件。

        第22號導(dǎo)出函數(shù)負責(zé)利用RPC漏洞和打印服務(wù)漏洞進行傳播。它釋放的文件中,資源編號221的文件用于RPC攻擊、編號222的文件用于打印服務(wù)攻擊、編號250的文件用于提權(quán)。
      看過“震網(wǎng)病毒的傳播方式及途徑”人還看了:

      1.2016這些近期電腦病毒是什么

      2.國內(nèi)2016年最新計算機病毒

      3.2016電腦病毒有哪些

      4.世界上20大電腦病毒

      5.工控網(wǎng)絡(luò)安全對社會重要嗎

      6.電腦病毒“火焰”

      7.網(wǎng)絡(luò)安全最新新聞:訪美,網(wǎng)絡(luò)安全較勁

      588448