计算机病毒的传播途径 震网病毒的传播方式及途径

那么震网病毒的传播方式是什么呢!通过什么途径传播呢!下面由小编给你做出详细的震网病毒的传播方式和途径介绍!希望对你有帮助!

震网病毒的传播方式和途径介绍:

Stuxnet蠕虫的攻击目标是SIMATIC WinCC软件。后者主要用于工业控制系统的数据采集与监控,一般部署在专用的内部局域网中,并与外部互联网实行物理上的隔离。为了实现攻击,Stuxnet蠕虫采取多种手段进行渗透和传播,如图3所示。

整体的传播思路是:首先感染外部主机;然后感染U盘,利用快捷方式文件解析漏洞,传播到内部网络;在内网中,通过快捷方式解析漏洞、RPC远程执行漏洞、打印机后台程序服务漏洞,实现联网主机之间的传播;最后抵达安装了WinCC软件的主机,展开攻击。

2.3.1. 快捷方式文件解析漏洞(MS10-046)

这个漏洞利用Windows在解析快捷方式文件(例如.lnk文件)时的系统机制缺陷,使系统加载攻击者指定的DLL文件,从而触发攻击行为。具体而言,Windows在显示快捷方式文件时,会根据文件中的信息寻找它所需的图标资源,并将其作为文件的图标展现给用户。如果图标资源在一个DLL文件中,系统就会加载这个DLL文件。攻击者可以构造这样一个快捷方式文件,使系统加载指定的DLL文件,从而执行其中的恶意代码。快捷方式文件的显示是系统自动执行,无需用户交互,因此漏洞的利用效果很好。

Stuxnet蠕虫搜索计算机中的可移动存储设备。一旦发现,就将快捷方式文件和DLL文件拷贝到其中。如果用户将这个设备再插入到内部网络中的计算机上使用,就会触发漏洞,从而实现所谓的“摆渡”攻击,即利用移动存储设备对物理隔离网络的渗入。

拷贝到U盘的DLL文件有两个:~wtr4132.tmp和~wtr4141.tmp。后者Hook了kernel32.dll和ntdll.dll中的下列导出函数:

FindFirstFileW FindNextFileW FindFirstFileExWNtQueryDirectoryFile ZwQueryDirectoryFile 实现对U盘中lnk文件和DLL文件的隐藏。因此,Stuxnet一共使用了两种措施(内核态驱动程序、用户态Hook API)来实现对U盘文件的隐藏,使攻击过程很难被用户发觉,也能一定程度上躲避杀毒软件的扫描。

2.3.2. RPC远程执行漏洞(MS08-067)与提升权限漏洞

这是2008年爆发的最严重的一个微软操作系统漏洞,具有利用简单、波及范围广、危害程度高等特点。

具体而言,存在此漏洞的系统收到精心构造的RPC请求时,可能允许远程执行代码。在Windows 2000、Windows XP和Windows Server 2003系统中,利用这一漏洞,攻击者可以通过恶意构造的网络包直接发起攻击,无需通过认证地运行任意代码,并且获取完整的权限。因此该漏洞常被蠕虫用于大规模的传播和攻击。

Stuxnet蠕虫利用这个漏洞实现在内部局域网中的传播。利用这一漏洞时,如果权限不够导致失败,还会使用一个尚未公开的漏洞来提升自身权限,然后再次尝试攻击。截止本报告发布,微软尚未给出该提权漏洞的解决方案。

2.3.3. 打印机后台程序服务漏洞(MS10-061)

这是一个零日漏洞,首先发现于Stuxnet蠕虫中。

Windows打印后台程序没有合理地设置用户权限。攻击者可以通过提交精心构造的打印请求,将文件发送到暴露了打印后台程序接口的主机的%System32%目录中。成功利用这个漏洞可以以系统权限执行任意代码,从而实现传播和攻击。

Stuxnet蠕虫利用这个漏洞实现在内部局域网中的传播。它向目标主机发送两个文件:winsta.exe、sysnullevnt.mof。后者是微软的一种托管对象格式(MOF)文件,在一些特定事件驱动下,它将驱使winsta.exe被执行。

2.3.4.内核模式驱动程序(MS10-073)2.3.5.任务计划程序漏洞(MS10-092)

2.4 攻击行为

Stuxnet蠕虫查询两个注册表键来判断主机中是否安装WinCC系统:

HKLMSOFTWARESIEMENSWinCCSetup

HKLMSOFTWARESIEMENSSTEP7

计算机病毒的传播途径 震网病毒的传播方式及途径

查询注册表,判断是否安装WinCC

一旦发现WinCC系统,就利用其中的两个漏洞展开攻击:

一是WinCC系统中存在一个硬编码漏洞,保存了访问数据库的默认账户名和密码,Stuxnet利用这一漏洞尝试访问该系统的SQL数据库(图9)。

二是在WinCC需要使用的Step7工程中,在打开工程文件时,存在DLL加载策略上的缺陷,从而导致一种类似于“DLL预加载攻击”的利用方式。最终,Stuxnet通过替换Step7软件中的s7otbxdx.dll,实现对一些查询、读取函数的Hook。

2.5 样本文件的衍生关系

本节综合介绍样本在上述复制、传播、攻击过程中,各文件的衍生关系。

如图10所示。样本的来源有多种可能。

对原始样本、通过RPC漏洞或打印服务漏洞传播的样本,都是exe文件,它在自己的.stud节中隐形加载模块,名为“kernel32.dll.aslr.<随机数字>.dll”。

对U盘传播的样本,当系统显示快捷方式文件时触发漏洞,加载~wtr4141.tmp文件,后者加载一个名为“shell32.dll.aslr.<随机数字>.dll”的模块,这个模块将另一个文件~wtr4132.tmp加载为“kernel32.dll.aslr.<随机数字>.dll”。

样本文件衍生的关系

模块“kernel32.dll.aslr.<随机数字>.dll”将启动后续的大部分操作,它导出了22个函数来完成恶意代码的主要功能;在其资源节中,包含了一些要衍生的文件,它们以加密的形式被保存。

其中,第16号导出函数用于衍生本地文件,包括资源编号201的mrxcls.sys和编号242的mrxnet.sys两个驱动程序,以及4个.pnf文件。

第17号导出函数用于攻击WinCC系统的第二个漏洞,它释放一个s7otbxdx.dll,而将WinCC系统中的同名文件修改为s7otbxsx.dll,并对这个文件的导出函数进行一次封装,从而实现Hook。

第19号导出函数负责利用快捷方式解析漏洞进行传播。它释放多个lnk文件和两个扩展名为tmp的文件。

第22号导出函数负责利用RPC漏洞和打印服务漏洞进行传播。它释放的文件中,资源编号221的文件用于RPC攻击、编号222的文件用于打印服务攻击、编号250的文件用于提权。

看过“震网病毒的传播方式及途径”人还看了:

1.2016这些近期电脑病毒是什么

2.国内2016年最新计算机病毒

3.2016电脑病毒有哪些

4.世界上20大电脑病毒

5.工控网络安全对社会重要吗

6.电脑病毒“火焰”

7.网络安全最新新闻:习近平访美,网络安全较劲

  

爱华网本文地址 » http://www.413yy.cn/a/224261/287428077.html

更多阅读

警惕!!!新病毒的传播:类似“获得性免疫缺陷症”

警惕!!!新病毒的传播:类似“获得性免疫缺陷症”症状:病的主要症状是,感染后一般在一周到三个月出现症状,其症状类似“获得性免疫缺陷症”病症,与HIV感染导致的免疫缺陷症状极为相似。但大多数病患经多次检查HIV-1和HIV-2,而其抗体均为阴性。

现代军团菌危害及主要传播途径 计算机病毒的传播途径

一、军团菌病的由来:军团病最早发现于美国。1976年在费城某宾馆举行的一次退伍军人大会及会后的一段时间内,相继有近200人出现了发热、寒战、咳嗽、胸痛、呼吸困难、腹泻等症状,这些人中约90%的病例X光片显示肺炎症状,同时居住在宾馆附

小儿腹泻贴 诺如病毒的传播途径 小儿腹泻患病数增三成

原标题:诺如病毒来了!小儿腹泻增三成核心提示:所谓“新型病毒——诺如病毒”其实很普通,由其引发的病毒感染性腹泻每年都有散发,眼下因为气温骤变等原因,广州的小患者有所增加。  最近一段时间,一则“新型病毒——诺如病毒进入

手足口病传播途径 手足口病的传播途径 多种传播方式需注意

手足口病是当季婴幼儿中最为常见的一种由肠道病菌引起的传染性疾病,既然是传染病,肯定有它的传播途径,所以今天小编就为朋友们介绍一下手足口病的传播途径,手足口病预防知识以及手足口病的治疗方法都有哪些!手足口病的传播途径传播方

声明:《计算机病毒的传播途径 震网病毒的传播方式及途径》为网友浅浅嫣然笑分享!如侵犯到您的合法权益请联系我们删除