广告广告
  加入我的最爱 设为首页 风格修改
首页 首尾
 手机版   订阅   地图  繁体 
您是第 4720 个阅读者
 
发表文章 发表投票 回覆文章
  可列印版   加为IE收藏   收藏主题   上一主题 | 下一主题   
upside 手机 葫芦墩家族
个人头像
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖 社区建设奖 优秀管理员勋章
头衔:反病毒 反诈骗 反虐犬   反病毒 反诈骗 反虐犬  
版主
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
推文 x0
[病毒蠕虫] "超级工厂"病毒Worm/Stuxnet技术分析报告
"超级工厂"病毒Worm/Stuxnet技术分析报告

hackbase.com... 来源:江民科技

江民公司于2010年7月20日在国内开始截获Worm/Stuxnet蠕虫家族变种。Worm/Stuxnet利用多种Windows系统漏洞进行传播,试图攻击西门子SIMATIC WinCC监控与数据采集(SCADA)系统。西门子SIMATIC WinCC SCADA系统用 ...
江民公司于2010年7月20日在国内开始截获Worm/Stuxnet蠕虫家族变种。Worm/Stuxnet利用多种Windows系统漏洞进行传播,试图攻击西门子SIMATIC WinCC监控与数据采集(SCADA)系统。西门子SIMATIC WinCC SCADA系统用于工业控制领域,一旦运行该系统的服务器感染了Worm/Stuxnet,工业控制指令和数据等信息可能被病毒拦截、窃取或修改。此外,该蠕虫还会从互联网进行更新和接收黑客命令,使感染主机被黑客远程完全控制,成为“僵尸计算机”。
下面是详细技术分析报告。

一、传播途径

1,利用Windows Shell快捷方式漏洞(MS10-046)和U盘传播
U盘传播是Worm/Stuxnet主要传播途径之一。病毒会在移动存储设备的根目录下创建如下病毒文件:
~WTR4132.tmp
~WTR4141.tmp
同时,还会创建下列快捷方式文件,指向~WTR4141.tmp文件:
Copy of Shortcut to.lnk
Copy of Copy of Shortcut to.lnk
Copy of Copy of Copy of Shortcut to.lnk
Copy of Copy of Copy of Copy of Shortcut to.lnk
在没有安装MS10-046补丁的Windows系统中上使用被感染的U盘时,只需在资源管理器中访问U盘根目录,即会自动加载病毒模块~WTR4141.tmp,~WTR4141.tmp进而加载~WTR4132.tmp,造成系统感染。

2,利用MS10-061漏洞和WBEM传播
病毒会利用Windows Spooler漏洞(MS10-061),攻击局域网上开启了“文件和打印机共享”的机器。被成功攻陷的计算机上会生成2个病毒文件:
%SystemDir%\winsta.exe
%SystemDir%\wbem\mof\sysnullevnt.mof
%SystemDir%\wbem\mof\sysnullevnt.mof将会在某时刻自动执行%SystemDir%\winsta.exe(即病毒文件),造成感染。

3,利用共享文件夹传播
病毒扫描局域网机器的默认共享C$和admin$,并尝试在远程计算机上创建病毒文件:
DEFRAG<随机数字>.TMP
文件创建成功后,病毒会再远程创建一个计划任务,来定时启动病毒体。

4,利用MS08-067漏洞传播
病毒向存在MS08-067漏洞的远程计算机发送恶意RPC请求,一旦攻击成功,即可完全控制被攻击计算机,进行感染。

二、隐藏自身

1,用户层隐藏
病毒文件~WTR4141.tmp从U盘被加载后,对下列系统API进行Hook:
FindFirstFileW
FindNextFileW
FindFirstFileExW
NtQueryDirectoryFile
ZwQueryDirectoryFile
企图隐藏病毒在U盘上的病毒文件。用户使用Windows资源管理器或其他使用用户层API查看文件目录的工具,都无法看到病毒文件的存在。

2,驱动层隐藏
病毒释放出文件系统过滤驱动mrxnet.sys,从内核层面对病毒文件进行隐藏。驱动层隐藏在功能目的上,与上述用户层隐藏是一致的。
Worm/Stuxnet会为mrxnet.sys创建一个系统服务,服务名为MRXNET,每次系统启动时自动加载。

三、攻击西门子SIMATIC WinCC SCADA系统
Mrxcls.sys是病毒释放出来的另一个驱动程序,病毒也为它建立了一个名为MRXCLS的服务,负责在Windows启动时自动加载该驱动。
Mrxcls.sys将会向名称为services.exe,S7tgtopx.exe,CCProjectMgr.exe的进程中注入并执行病毒代码。S7tgtopx.exe和CCProjectMgr.exe都是与西门子系统相关的进程。被注入的代码寻找名为“s7otbxsx.dll”的模块,并尝试hook该模块中的下列API函数:
s7_event
s7ag_bub_cycl_read_create
s7ag_bub_read_var
s7ag_bub_write_var
s7ag_link_in
s7ag_read_szl
s7ag_test
s7blk_delete
s7blk_findfirst
s7blk_findnext
s7blk_read
s7blk_write
s7db_close
s7db_open
s7ag_bub_read_var_seg
s7ag_bub_write_var_seg

四、从互联网更新和接收黑客命令
病毒尝试访问下面域名,进行自身更新和接收黑客命令,
mypremierfutbol.com...
todaysfutbol.com...

五、防范措施
1,安装Windows安全更新
特别是MS08-067,MS10-046,MS10-061这三个补丁一定要安装。

2,关闭默认共享C$和admin$
可用下面命令行实现:
net share admin$ /del
net share c$ /del

3,屏蔽病毒域名
可手工修改%SystemDir%\drivers\etc\hosts文件,加入下列两行:
127.0.0.1     mypremierfutbol.com...
127.0.0.1     todaysfutbol.com...

4,安装杀毒软件防护
安装江民杀毒软件,及时升级病毒库,开启实时防护功能,即可有效查杀防御Worm/Stuxnet蠕虫家族。



爸爸 你一路好走
献花 x0 回到顶端 [楼 主] From:台湾台湾硕网 | Posted:2010-10-01 23:14 |
upside 手机 葫芦墩家族
个人头像
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖 社区建设奖 优秀管理员勋章
头衔:反病毒 反诈骗 反虐犬   反病毒 反诈骗 反虐犬  
版主
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片



爸爸 你一路好走
献花 x0 回到顶端 [1 楼] From:台湾台湾硕网 | Posted:2010-10-01 23:15 |
upside 手机 葫芦墩家族
个人头像
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖 社区建设奖 优秀管理员勋章
头衔:反病毒 反诈骗 反虐犬   反病毒 反诈骗 反虐犬  
版主
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

解析攻击西门子系统的恶意软件Stuxnet

最近刚刚出现的Stuxnet恶意软件是首个利用Windows零日漏洞、针对控制系统和公共事业机构发动攻击的恶意软件。Stuxnet的设计者综合运用了漏洞知识、黑客伎俩以及潜在的物理安全漏洞,来发起针对重要基础设施系统的攻击。
  Stuxnet攻击运用的高级知识之所以“巧妙”,原因有二。首先,该恶意软件通过利用先前未知的 Windows漏洞实施攻击和传播。其次,该恶意软件的组件包括两个具有rootkit行为、有数字签名的驱动程序,对于恶意软件而言,这点很不寻常。
  这两点已被媒体广泛报道。我希望重点谈一谈遭受攻击系统存在的潜在风险、多种不同攻击媒介协同“作战”的复杂性,以及这对能源领域意味着什么。
  以下是我们目前了解到的Stuxnet攻击的运行机制:
  1.用户将USB驱动器(或任何移动存储介质)连接到系统;
  2.已感染的驱动器利用零日Windows Shell Code漏洞实施攻击,运行恶意软件;
  3.该恶意软件在受攻击系统中进行搜索,试图访问西门子Windows SIMATIC WinCC SCADA系统数据库。(万幸的是,该恶意软件的一个签名证书已被吊销,另一个也即将被吊销)
  4.该恶意软件使用WinCC西门子系统中的硬编码密码来访问存储在WinCC 软件SQL数据库中的控制系统运行数据。
  这一事件有何潜在影响?该恶意软件的攻击目标是西门子SIMATIC WinCC监控与数据采集 (SCADA) 系统。该软件可作为公用事业机构工业控制系统的HMI(人机交互界面)。HMI以图形方式管理并显示负责主要发电和输电设施运行的电厂控制系统信息。
  HMI不间断的监控发电厂控制系统的正常运行和整体运行状态。许多情况下,设置HMI的目的是为了对控制系统间的流程加以控制。HMI提供的图形化信息犹如一张地图,类似于计算机网络的拓扑图。恶意软件可能将部分重要基础设施的“地图”提交给其他恶意实体。
  控制系统安全与IT安全
  控制系统与IT系统之间存在许多不同。IT系统要确保传输的机密性和可用性,而控制系统要保证全天候持续可用性。通常情况下,控制系统和IT系统在相互独立的网络中运行,并由相互独立的团队进行管理。
  由于控制系统必须做到全天候持续可用,控制系统环境中传统的管理流程变更非常耗时。因此,补丁程序更新、安全保护更新和修补程序或其他相关资源通常不会作为优先考虑的事项。在此示例中,西门子在其应用程序中使用硬编码密码,以提供对其SQL数据库的访问。该公司曾警告更改此类密码有可能危及系统的可用性。许多安全研究人员都曾对西门子这种明显违反安全策略的做法提出过异议。但是,考虑到在该环境中优先保证可用性的需求,上述做法是非常常见的。
  美国能源部 (DOE)、美国国家标准技术局和许多私营机构都曾呼吁弥合 IT 系统和控制系统在安全原则上的鸿沟。通过建立类似国家能源法规委员会(NERC)的传统IT流程和法规遵从框架,可以实现上述目标。
  有关控制系统的安全保护需求已经讨论了一段时间,但在得出结论之前,新威胁就出现了。让我们看一看在控制系统领域已经发生了什么:概念证明攻击、意外实例、不满员工的恶作剧、由于掌握的证据太少而无法确定其真实意图的针对特定实例的攻击。
  2009年一切开始改变,4月7日NERC发布了一份公开警告,提示某种来自境外实体的恶意软件攻击已在电网中露出苗头。这就是目前声名大噪的Stuxnet攻击。让我们假设Stuxnet 意欲破坏电网、并将重要信息传给不法分子,来了解一下Stuxnet攻击的复杂性。
  毋庸置疑,在Microsoft Windows中寻找一个支持代码执行的零日漏洞需要相当的专业知识,不过这样的例子也屡见不鲜。了解对控制系统的攻击方式就能明晰这一攻击异乎寻常的复杂性。
  攻击者了解通常SCADA系统会限制通过以太网端口的网络访问和通过USB设备的物理访问。同时攻击者还要拥有西门子控制系统的相应知识,这种知识对于在控制系统领域实施攻击以及找到访问数据库所需的默认硬编码密码均大有帮助。此类攻击的复杂性可见一斑。
  最后一点,攻击者如何伪造认证凭据?整体而言,这是一个异乎寻常的复杂攻击。


爸爸 你一路好走
献花 x0 回到顶端 [2 楼] From:台湾台湾硕网 | Posted:2010-10-01 23:17 |

首页  发表文章 发表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.077421 second(s),query:16 Gzip disabled
本站由 瀛睿律师事务所 担任常年法律顾问 | 免责声明 | 本网站已依台湾网站内容分级规定处理 | 连络我们 | 访客留言