当前位置:首页 > 科技数码

震网病毒 震网病毒的背景

  世界上每天都有新病毒产生,大部分都是青少年的恶作剧,少部分则是犯罪分子用来盗取个人信息的工具,震网病毒也许只是其中之一,它的背景是什么样的呢!下面由本站小编给你做出详细的震网病毒背景介绍!希望对你有帮助!

  震网病毒背景介绍:

  首先,它利用了4个Windows零日漏洞。零日漏洞是指软件中刚刚被发现、还没有被公开或者没有被修补的漏洞。零日漏洞可以大大提高电脑入侵的成功率,具有巨大的经济价值,在黑市上,一个零日漏洞通常可以卖到几十万美元。即使是犯罪集团的职业黑客,也不会奢侈到在一个病毒中同时用上4个零日漏洞。仅此一点,就可以看出该病毒的开发者不是一般黑客,它具备强大的经济实力。并且,开发者对于攻击目标怀有志在必得的决心,因此才会同时用上多个零日漏洞,确保一击得手。

  其次,它具备超强的USB传播能力。传统病毒主要是通过网络传播,而震网病毒大大增强了通过USB接口传播的能力,它会自动感染任何接入的U盘。在病毒开发者眼中,似乎病毒的传播环境不是真正的互联网,而是一个网络连接受到限制的地方,因此需要靠USB口来扩充传播途径。

  最奇怪的是,病毒中居然还含有两个针对西门子工控软件漏洞的攻击,这在当时的病毒中是绝无仅有的。从互联网的角度来看,工业控制是一种恐龙式的技术,古老的通信方式、隔绝的网络连接、庞大的系统规模、缓慢的技术变革,这些都让工控系统看上去跟互联网截然不同。此前从没人想过,在互联网上泛滥的病毒,也可以应用到工业系统中去。

  5深度分析编辑

  第一章 事件背景

  2010年10月,国内外多家媒体相继报道了Stuxnet蠕虫对西门子公司的数据采集与监控系统SIMATIC WinCC进行攻击的事件,称其为“超级病毒”、“超级工厂病毒”,并形容成“超级武器”、“潘多拉的魔盒”。

  Stuxnet蠕虫(俗称“震网”、“双子”)在2003年7月开始爆发。它利用了微软操作系统中至少4个漏洞,其中有3个全新的零日漏洞;伪造驱动程序的数字签名;通过一套完整的入侵和传播流程,突破工业专用局域网的物理限制;利用WinCC系统的2个漏洞,对其开展破坏性攻击。它是第一个直接破坏现实世界中工业基础设施的恶意代码。据赛门铁克公司的统计,截止到2010年09月全球已有约45000个网络被该蠕虫感染,其中60%的受害主机位于伊朗境内。伊朗政府已经确认该国的布什尔核电站遭到Stuxnet蠕虫的攻击。

  安天实验室于7月15日捕获到Stuxnet蠕虫的第一个变种,在第一时间展开分析,发布了分析报告及防范措施,并对其持续跟踪。截止至本报告发布,安天已经累计捕获13个变种、600多个不同哈希值的样本实体。

  第二章 样本典型行为分析

  2.1 运行环境

  Stuxnet蠕虫在以下操作系统中可以激活运行:

  Windows 2000、Windows Server 2000

  Windows XP、Windows Server 2003

  Windows Vista

  Windows 7、Windows Server 2008

  当它发现自己运行在非Windows NT系列操作系统中,即刻退出。

  被攻击的软件系统包括:

  SIMATIC WinCC 7.0

  SIMATIC WinCC 6.2

  但不排除其他版本存在这一问题的可能。

  2.2 本地行为

  样本被激活后,典型的运行流程如图1 所示。

  样本首先判断当前操作系统类型,如果是Windows 9X/ME,就直接退出。

  接下来加载一个主要的DLL模块,后续的行为都将在这个DLL中进行。为了躲避查杀,样本并不将DLL模块释放为磁盘文件然后加载,而是直接拷贝到内存中,然后模拟DLL的加载过程。

  具体而言,样本先申请足够的内存空间,然后Hookntdll.dll导出的6个系统函数:

  ZwMapViewOfSection

  ZwCreateSection

  ZwOpenFile

  ZwClose

  ZwQueryAttributesFile

  ZwQuerySection

  为此,样本先修改ntdll.dll文件内存映像中PE头的保护属性,然后将偏移0x40处的无用数据改写为跳转代码,用以实现hook。

  进而,样本就可以使用ZwCreateSection在内存空间中创建一个新的PE节,并将要加载的DLL模块拷贝到其中,最后使用LoadLibraryW来获取模块句柄。

  此后,样本跳转到被加载的DLL中执行,衍生下列文件:

  %System32%driversmrxcls.sys %System32%driversmrxnet.sys%Windir%infoem7A.PNF%Windir%infmdmeric3.PNF %Windir%infmdmcpq3.PNF%Windir%infoem6C.PNF  其中有两个驱动程序mrxcls.sys和mrxnet.sys,分别被注册成名为MRXCLS和MRXNET的系统服务,实现开机自启动。这两个驱动程序都使用了Rootkit技术,并有数字签名。

  mrxcls.sys负责查找主机中安装的WinCC系统,并进行攻击。具体地说,它监控系统进程的镜像加载操作,将存储在%Windir%infoem7A.PNF中的一个模块注入到services.exe、S7tgtopx.exe、CCProjectMgr.exe三个进程中,后两者是WinCC系统运行时的进程。

  mrxnet.sys通过修改一些内核调用来隐藏被拷贝到U盘的lnk文件和DLL文件。看过“震网病毒的背景 ”人还看了:

1.工控网络安全对社会重要吗

2.电脑病毒“火焰”

1.《震网病毒 震网病毒的背景》援引自互联网,旨在传递更多网络信息知识,仅代表作者本人观点,与本网站无关,侵删请联系页脚下方联系方式。

2.《震网病毒 震网病毒的背景》仅供读者参考,本网站未对该内容进行证实,对其原创性、真实性、完整性、及时性不作任何保证。

3.文章转载时请保留本站内容来源地址,https://www.lu-xu.com/keji/504258.html

上一篇

十大病毒 史上十大病毒排行榜

下一篇

iphone手机病毒 iphone手机病毒

十大病毒 史上十大病毒排行榜

十大病毒 史上十大病毒排行榜

下面由本站小编给你介绍下史上十大病毒的排行!希望对你有帮助哦!  史上十大病毒排行:  一、ANI病毒 “ANI毒”变种b是一个利用微软Windows系统ANI文件处理漏洞(MS07-017)进行...

最早的电脑是谁发明的 最早的电脑病毒好谁发明的

最早的电脑是谁发明的 最早的电脑病毒好谁发明的

电脑病毒是由人创造的,也是有个来源的,那么世界上最早的电脑病毒是谁发明的呢?下面由本站小编给你做出详细的最早病毒发明介绍!希望对你有帮助!  最早电脑病毒发明说法一:  1983 年 11月,在一...

五大毒后 世界五大病毒介绍

五大毒后 世界五大病毒介绍

在计算机发展至今的岁月里,病毒都是一个绕不开的话题。电脑病毒的类型多种多样,它们中有的只会给电脑带来一些小麻烦,而还有一些更加危险的则有可能致使系统瘫痪或硬件受损。下面由本站小编给你做出详细的世界...

计算机病毒破坏的主要对象是 计算机病毒造成些什么破坏

计算机病毒破坏的主要对象是 计算机病毒造成些什么破坏

计算机病毒杀伤力是极强的,那么都会造成些什么破坏呢?小编来告诉你!下面由本站小编给你做出详细的计算机病毒造成破坏介绍!希望对你有帮助!  计算机病毒造成破坏介绍一:  计算机病毒造成的破坏有很多的...

计算机病毒有哪些 计算机病毒犯罪案例有哪些

计算机病毒有哪些 计算机病毒犯罪案例有哪些

计算机病毒危害大,有可能会导致犯罪,那么用计算机病毒犯罪的案例有哪些呢?下面由本站小编给你做出详细的介绍!希望对你有帮助!  计算机病毒犯罪案例一:  25岁的吕薜文,是广州市人,高中毕业。法院在...

病毒由什么组成 计算机病毒程序由什么样组成

病毒由什么组成 计算机病毒程序由什么样组成

万恶的计算机病毒,你知道它是由什么组成的吗?下面由本站小编给你做出详细的计算机病毒程序组成介绍!希望对你有帮助!  计算机病毒程序组成介绍一:  计算机病毒程序通常由三个单元和一个标志构成:引导模...

彩票公式 用数学破解彩票漏洞 用数学算法买彩票赢1.74亿元?

美国一位老爷爷曾是数学系学生,他偶然间看到一份彩票宣传册,想运用所学打败这个小概率事件。他通过数学算法,几年共赚得2600万美元(约人民币1.74亿元)奖金。官方经过调查以后表示这是合法有效的。而...

什么是京东白条 京东白条漏洞具体是什么情况?这到底是个什么梗?

什么是京东白条 京东白条漏洞具体是什么情况?这到底是个什么梗?

近日,一位大三学生汪某发现“京东白条”存在漏洞,无需本人实名认证,也无需绑定银行卡,用别人的身份信息,就可以注册账号并赊账购物。于是乎,汪某等人冒用别人身份注册京东账号网上购物,然后变卖套现,后因...