引用 | 編輯
upside
2010-10-01 23:14 |
樓主
▼ |
||
x0
"超級工廠"病毒Worm/Stuxnet技術分析報告www.hackbase.com 來源:江民科技 江民公司於2010年7月20日在國內開始截獲Worm/Stuxnet蠕蟲家族變種。Worm/Stuxnet利用多種Windows係統漏洞進行傳播,試圖攻擊西門子SIMATIC WinCC監控與數據采集(SCADA)係統。西門子SIMATIC WinCC SCADA係統用 ... 江民公司於2010年7月20日在國內開始截獲Worm/Stuxnet蠕蟲家族變種。Worm/Stuxnet利用多種Windows係統漏洞進行傳播,試圖攻擊西門子SIMATIC WinCC監控與數據采集(SCADA)係統。西門子SIMATIC WinCC SCADA係統用於工業控制領域,一旦運行該係統的服務器感染了Worm/Stuxnet,工業控制指令和數據等信息可能被病毒攔截、竊取或修改。此外,該蠕蟲還會從互聯網進行更新和接收黑客命令,使感染主機被黑客遠程完全控制,成爲“僵屍計算機”。 下面是詳細技術分析報告。 一、傳播途徑 1,利用Windows Shell快捷方式漏洞(MS10-046)和U盤傳播 U盤傳播是Worm/Stuxnet主要傳播途徑之一。病毒會在移動存儲設備的根目錄下創建如下病毒文件: ~WTR4132.tmp ~WTR4141.tmp 同時,還會創建下列快捷方式文件,指向~WTR4141.tmp文件: Copy of Shortcut to.lnk Copy of Copy of Shortcut to.lnk Copy of Copy of Copy of Shortcut to.lnk Copy of Copy of Copy of Copy of Shortcut to.lnk 在沒有安裝MS10-046補丁的Windows係統中上使用被感染的U盤時,只需在資源管理器中訪問U盤根目錄,即會自動加載病毒模塊~WTR4141.tmp,~WTR4141.tmp進而加載~WTR4132.tmp,造成係統感染。 2,利用MS10-061漏洞和WBEM傳播 病毒會利用Windows Spooler漏洞(MS10-061),攻擊局域網上開啓了“文件和打印機共享”的機器。被成功攻陷的計算機上會生成2個病毒文件: %SystemDir%\winsta.exe %SystemDir%\wbem\mof\sysnullevnt.mof %SystemDir%\wbem\mof\sysnullevnt.mof將會在某時刻自動執行%SystemDir%\winsta.exe(即病毒文件),造成感染。 3,利用共享文件夾傳播 病毒掃描局域網機器的默認共享C$和admin$,並嘗試在遠程計算機上創建病毒文件: DEFRAG<隨機數字>.TMP 文件創建成功後,病毒會再遠程創建一個計劃任務,來定時啓動病毒體。 4,利用MS08-067漏洞傳播 病毒向存在MS08-067漏洞的遠程計算機發送惡意RPC請求,一旦攻擊成功,即可完全控制被攻擊計算機,進行感染。 二、隱藏自身 1,用戶層隱藏 病毒文件~WTR4141.tmp從U盤被加載後,對下列係統API進行Hook: FindFirstFileW FindNextFileW FindFirstFileExW NtQueryDirectoryFile ZwQueryDirectoryFile 企圖隱藏病毒在U盤上的病毒文件。用戶使用Windows資源管理器或其他使用用戶層API查看文件目錄的工具,都無法看到病毒文件的存在。 2,驅動層隱藏 病毒釋放出文件係統過濾驅動mrxnet.sys,從內核層面對病毒文件進行隱藏。驅動層隱藏在功能目的上,與上述用戶層隱藏是一致的。 Worm/Stuxnet會爲mrxnet.sys創建一個係統服務,服務名爲MRXNET,每次係統啓動時自動加載。 三、攻擊西門子SIMATIC WinCC SCADA係統 Mrxcls.sys是病毒釋放出來的另一個驅動程序,病毒也爲它建立了一個名爲MRXCLS的服務,負責在Windows啓動時自動加載該驅動。 Mrxcls.sys將會向名稱爲services.exe,S7tgtopx.exe,CCProjectMgr.exe的進程中注入並執行病毒代碼。S7tgtopx.exe和CCProjectMgr.exe都是與西門子係統相關的進程。被注入的代碼尋找名爲“s7otbxsx.dll”的模塊,並嘗試hook該模塊中的下列API函數: s7_event s7ag_bub_cycl_read_create s7ag_bub_read_var s7ag_bub_write_var s7ag_link_in s7ag_read_szl s7ag_test s7blk_delete s7blk_findfirst s7blk_findnext s7blk_read s7blk_write s7db_close s7db_open s7ag_bub_read_var_seg s7ag_bub_write_var_seg 四、從互聯網更新和接收黑客命令 病毒嘗試訪問下面域名,進行自身更新和接收黑客命令, www.mypremierfutbol.com www.todaysfutbol.com 五、防範措施 1,安裝Windows安全更新 特別是MS08-067,MS10-046,MS10-061這三個補丁一定要安裝。 2,關閉默認共享C$和admin$ 可用下面命令行實現: net share admin$ /del net share c$ /del 3,屏蔽病毒域名 可手工修改%SystemDir%\drivers\etc\hosts文件,加入下列兩行: 127.0.0.1 www.mypremierfutbol.com 127.0.0.1 www.todaysfutbol.com 4,安裝殺毒軟件防護 安裝江民殺毒軟件,及時升級病毒庫,開啓實時防護功能,即可有效查殺防禦Worm/Stuxnet蠕蟲家族。 x0
|
引用 | 編輯
upside
2010-10-01 23:15 |
1樓
▲ ▼ |
http://blogs.technet.com/b/mmpc/archive/2010/07/16/the-stuxnet-sting.aspx
里面有3个在线扫描结果的链接 VirusTotal - mrxcls.sys - 29/41 http://www.virustotal.com/analisis/1635ec04f069ccc8331d01fdf31132a4bc8f6fd3830ac94739df95ee093c555c-1279441634 VirusTotal - cc1db5360109de3b857654297d262ca1 - 29/42 http://www.virustotal.com/analisis/0d8c2bcb575378f6a88d17b5f6ce70e794a264cdc8556c8e812f0b5f9c709198-1279347594 VirusTotal - 016169ebebf1cec2aad6c7f0d0ee9026 - 25/41 http://www.virustotal.com/analisis/743e16b3ef4d39fc11c5e8ec890dcd29f034a6eca51be4f7fca6e23e60dbd7a1-1279281358 x0 |
引用 | 編輯
upside
2010-10-01 23:17 |
2樓
▲ |
解析攻击西门子系统的恶意软件Stuxnet
最近刚刚出现的Stuxnet恶意软件是首个利用Windows零日漏洞、针对控制系统和公共事业机构发动攻击的恶意软件。Stuxnet的设计者综合运用了漏洞知识、黑客伎俩以及潜在的物理安全漏洞,来发起针对重要基础设施系统的攻击。 Stuxnet攻击运用的高级知识之所以“巧妙”,原因有二。首先,该恶意软件通过利用先前未知的 Windows漏洞实施攻击和传播。其次,该恶意软件的组件包括两个具有rootkit行为、有数字签名的驱动程序,对于恶意软件而言,这点很不寻常。 这两点已被媒体广泛报道。我希望重点谈一谈遭受攻击系统存在的潜在风险、多种不同攻击媒介协同“作战”的复杂性,以及这对能源领域意味着什么。 以下是我们目前了解到的Stuxnet攻击的运行机制: 1.用户将USB驱动器(或任何移动存储介质)连接到系统; 2.已感染的驱动器利用零日Windows Shell Code漏洞实施攻击,运行恶意软件; 3.该恶意软件在受攻击系统中进行搜索,试图访问西门子Windows SIMATIC WinCC SCADA系统数据库。(万幸的是,该恶意软件的一个签名证书已被吊销,另一个也即将被吊销) 4.该恶意软件使用WinCC西门子系统中的硬编码密码来访问存储在WinCC 软件SQL数据库中的控制系统运行数据。 这一事件有何潜在影响?该恶意软件的攻击目标是西门子SIMATIC WinCC监控与数据采集 (SCADA) 系统。该软件可作为公用事业机构工业控制系统的HMI(人机交互界面)。HMI以图形方式管理并显示负责主要发电和输电设施运行的电厂控制系统信息。 HMI不间断的监控发电厂控制系统的正常运行和整体运行状态。许多情况下,设置HMI的目的是为了对控制系统间的流程加以控制。HMI提供的图形化信息犹如一张地图,类似于计算机网络的拓扑图。恶意软件可能将部分重要基础设施的“地图”提交给其他恶意实体。 控制系统安全与IT安全 控制系统与IT系统之间存在许多不同。IT系统要确保传输的机密性和可用性,而控制系统要保证全天候持续可用性。通常情况下,控制系统和IT系统在相互独立的网络中运行,并由相互独立的团队进行管理。 由于控制系统必须做到全天候持续可用,控制系统环境中传统的管理流程变更非常耗时。因此,补丁程序更新、安全保护更新和修补程序或其他相关资源通常不会作为优先考虑的事项。在此示例中,西门子在其应用程序中使用硬编码密码,以提供对其SQL数据库的访问。该公司曾警告更改此类密码有可能危及系统的可用性。许多安全研究人员都曾对西门子这种明显违反安全策略的做法提出过异议。但是,考虑到在该环境中优先保证可用性的需求,上述做法是非常常见的。 美国能源部 (DOE)、美国国家标准技术局和许多私营机构都曾呼吁弥合 IT 系统和控制系统在安全原则上的鸿沟。通过建立类似国家能源法规委员会(NERC)的传统IT流程和法规遵从框架,可以实现上述目标。 有关控制系统的安全保护需求已经讨论了一段时间,但在得出结论之前,新威胁就出现了。让我们看一看在控制系统领域已经发生了什么:概念证明攻击、意外实例、不满员工的恶作剧、由于掌握的证据太少而无法确定其真实意图的针对特定实例的攻击。 2009年一切开始改变,4月7日NERC发布了一份公开警告,提示某种来自境外实体的恶意软件攻击已在电网中露出苗头。这就是目前声名大噪的Stuxnet攻击。让我们假设Stuxnet 意欲破坏电网、并将重要信息传给不法分子,来了解一下Stuxnet攻击的复杂性。 毋庸置疑,在Microsoft Windows中寻找一个支持代码执行的零日漏洞需要相当的专业知识,不过这样的例子也屡见不鲜。了解对控制系统的攻击方式就能明晰这一攻击异乎寻常的复杂性。 攻击者了解通常SCADA系统会限制通过以太网端口的网络访问和通过USB设备的物理访问。同时攻击者还要拥有西门子控制系统的相应知识,这种知识对于在控制系统领域实施攻击以及找到访问数据库所需的默认硬编码密码均大有帮助。此类攻击的复杂性可见一斑。 最后一点,攻击者如何伪造认证凭据?整体而言,这是一个异乎寻常的复杂攻击。 x0 |