震网病毒的传播方式及途径

　　那么震网病毒的传播方式是什么呢!通过什么途径传播呢!下面由学习啦小编给你做出详细的震网病毒的传播方式和途径介绍!希望对你有帮助!

　　震网病毒的传播方式和途径介绍：

　　Stuxnet蠕虫的攻击目标是SIMATIC WinCC软件。后者主要用于工业控制系统的数据采集与监控，一般部署在专用的内部局域网中，并与外部互联网实行物理上的隔离。为了实现攻击，Stuxnet蠕虫采取多种手段进行渗透和传播，如图3所示。

　　整体的传播思路是：首先感染外部主机;然后感染U盘，利用快捷方式文件解析漏洞，传播到内部网络;在内网中，通过快捷方式解析漏洞、RPC远程执行漏洞、打印机后台程序服务漏洞，实现联网主机之间的传播;最后抵达安装了WinCC软件的主机，展开攻击。

　　2.3.1. 快捷方式文件解析漏洞(MS10-046)

　　这个漏洞利用Windows在解析快捷方式文件(例如.lnk文件)时的系统机制缺陷，使系统加载攻击者指定的DLL文件，从而触发攻击行为。具体而言，Windows在显示快捷方式文件时，会根据文件中的信息寻找它所需的图标资源，并将其作为文件的图标展现给用户。如果图标资源在一个DLL文件中，系统就会加载这个DLL文件。攻击者可以构造这样一个快捷方式文件，使系统加载指定的DLL文件，从而执行其中的恶意代码。快捷方式文件的显示是系统自动执行，无需用户交互，因此漏洞的利用效果很好。

　　Stuxnet蠕虫搜索计算机中的可移动存储设备。一旦发现，就将快捷方式文件和DLL文件拷贝到其中。如果用户将这个设备再插入到内部网络中的计算机上使用，就会触发漏洞，从而实现所谓的“摆渡”攻击，即利用移动存储设备对物理隔离网络的渗入。

　　拷贝到U盘的DLL文件有两个：~wtr4132.tmp和~wtr4141.tmp。后者Hook了kernel32.dll和ntdll.dll中的下列导出函数：

　　FindFirstFileW FindNextFileW FindFirstFileExWNtQueryDirectoryFile ZwQueryDirectoryFile 实现对U盘中lnk文件和DLL文件的隐藏。因此，Stuxnet一共使用了两种措施(内核态驱动程序、用户态Hook API)来实现对U盘文件的隐藏，使攻击过程很难被用户发觉，也能一定程度上躲避杀毒软件的扫描。

　　2.3.2. RPC远程执行漏洞(MS08-067)与提升权限漏洞

　　这是2008年爆发的最严重的一个微软操作系统漏洞，具有利用简单、波及范围广、危害程度高等特点。

　　具体而言，存在此漏洞的系统收到精心构造的RPC请求时，可能允许远程执行代码。在Windows 2000、Windows XP和Windows Server 2003系统中，利用这一漏洞，攻击者可以通过恶意构造的网络包直接发起攻击，无需通过认证地运行任意代码，并且获取完整的权限。因此该漏洞常被蠕虫用于大规模的传播和攻击。

　　Stuxnet蠕虫利用这个漏洞实现在内部局域网中的传播。利用这一漏洞时，如果权限不够导致失败，还会使用一个尚未公开的漏洞来提升自身权限，然后再次尝试攻击。截止本报告发布，微软尚未给出该提权漏洞的解决方案。

　　2.3.3. 打印机后台程序服务漏洞(MS10-061)

　　这是一个零日漏洞，首先发现于Stuxnet蠕虫中。

　　Windows打印后台程序没有合理地设置用户权限。攻击者可以通过提交精心构造的打印请求，将文件发送到暴露了打印后台程序接口的主机的%System32%目录中。成功利用这个漏洞可以以系统权限执行任意代码，从而实现传播和攻击。

　　Stuxnet蠕虫利用这个漏洞实现在内部局域网中的传播。它向目标主机发送两个文件：winsta.exe、sysnullevnt.mof。后者是微软的一种托管对象格式(MOF)文件，在一些特定事件驱动下，它将驱使winsta.exe被执行。

　　2.3.4.内核模式驱动程序(MS10-073)

　　2.3.5.任务计划程序漏洞(MS10-092)

　　2.4 攻击行为

　　Stuxnet蠕虫查询两个注册表键来判断主机中是否安装WinCC系统：

　　HKLM\SOFTWARE\SIEMENS\WinCC\Setup

　　HKLM\SOFTWARE\SIEMENS\STEP7

　　查询注册表，判断是否安装WinCC

　　一旦发现WinCC系统，就利用其中的两个漏洞展开攻击：

　　一是WinCC系统中存在一个硬编码漏洞，保存了访问数据库的默认账户名和密码，Stuxnet利用这一漏洞尝试访问该系统的SQL数据库(图9)。

　　二是在WinCC需要使用的Step7工程中，在打开工程文件时，存在DLL加载策略上的缺陷，从而导致一种类似于“DLL预加载攻击”的利用方式。最终，Stuxnet通过替换Step7软件中的s7otbxdx.dll，实现对一些查询、读取函数的Hook。

　　2.5 样本文件的衍生关系

　　本节综合介绍样本在上述复制、传播、攻击过程中，各文件的衍生关系。

　　如图10所示。样本的来源有多种可能。

　　对原始样本、通过RPC漏洞或打印服务漏洞传播的样本，都是exe文件，它在自己的.stud节中隐形加载模块，名为“kernel32.dll.aslr.<随机数字>.dll”。

　　对U盘传播的样本，当系统显示快捷方式文件时触发漏洞，加载~wtr4141.tmp文件，后者加载一个名为“shell32.dll.aslr.<随机数字>.dll”的模块，这个模块将另一个文件~wtr4132.tmp加载为“kernel32.dll.aslr.<随机数字>.dll”。

　　样本文件衍生的关系

　　模块“kernel32.dll.aslr.<随机数字>.dll”将启动后续的大部分操作，它导出了22个函数来完成恶意代码的主要功能;在其资源节中，包含了一些要衍生的文件，它们以加密的形式被保存。

　　其中，第16号导出函数用于衍生本地文件，包括资源编号201的mrxcls.sys和编号242的mrxnet.sys两个驱动程序，以及4个.pnf文件。

　　第17号导出函数用于攻击WinCC系统的第二个漏洞，它释放一个s7otbxdx.dll，而将WinCC系统中的同名文件修改为s7otbxsx.dll，并对这个文件的导出函数进行一次封装，从而实现Hook。

　　第19号导出函数负责利用快捷方式解析漏洞进行传播。它释放多个lnk文件和两个扩展名为tmp的文件。

　　第22号导出函数负责利用RPC漏洞和打印服务漏洞进行传播。它释放的文件中，资源编号221的文件用于RPC攻击、编号222的文件用于打印服务攻击、编号250的文件用于提权。

看过“震网病毒的传播方式及途径”人还看了：

1.2016这些近期电脑病毒是什么

2.国内2016年最新计算机病毒

3.2016电脑病毒有哪些

4.世界上20大电脑病毒

5.工控网络安全对社会重要吗

6.电脑病毒“火焰”

7.网络安全最新新闻:访美,网络安全较劲