收藏
下载资源

对Stuxnet蠕虫攻击工业控制系统事件的综合报告安天实验室

上传人:大米 文档编号:505349463 上传时间:2023-10-21 格式:DOC 页数:26 大小:710.01KB
返回 下载 相关 举报
对Stuxnet蠕虫攻击工业控制系统事件的综合报告安天实验室_第1页
第1页 / 共26页
对Stuxnet蠕虫攻击工业控制系统事件的综合报告安天实验室_第2页
第2页 / 共26页
对Stuxnet蠕虫攻击工业控制系统事件的综合报告安天实验室_第3页
第3页 / 共26页
对Stuxnet蠕虫攻击工业控制系统事件的综合报告安天实验室_第4页
第4页 / 共26页
对Stuxnet蠕虫攻击工业控制系统事件的综合报告安天实验室_第5页
第5页 / 共26页
点击查看更多>>
资源描述

《对Stuxnet蠕虫攻击工业控制系统事件的综合报告安天实验室》由会员分享,可在线阅读,更多相关《对Stuxnet蠕虫攻击工业控制系统事件的综合报告安天实验室(26页珍藏版)》请在金锄头文库上搜索。

1、T文档名称对Stuxnet蠕虫攻击丄业控制糸统事件的综合报告文档版本日期V3.22010 09 30电子邮件 | | 安天网站 | | http:/ | | 安天网站 | | http:/ 控制系统事件的综合报告2010年9月27日21时首次发布2010年9月30日14时 最新修订安天实验室 安全研究与应急处理中心Antiy CERT文档名称对Stuxnet蠕虫攻击丄业控制糸统事件的综合报告文档版本日期v3.22010 09 30第1章事件背景3第2章样本典型行为分析 42.1 运行环境 4.22本地行为4.2.3 传播方式6.2.4 攻击行为9.2.5 样本文件的衍生关系 10第3章解决方案

2、与安全建议 123.1 抵御本次攻击1.23.2 安全建议12第4章攻击事件的特点 144.1 专门攻击工业系统1.44.2 利用多个零日漏洞1.44.3 使用有效的数字签名 144.4 明确的攻击目标 1.5第5章综合评价165.1 工业系统安全将面临严峻挑战1.65.2 展望和思考1.7附录19安天应急响应时间表1.9相关链接19电子邮件 | | 安天网站 | | http:/ net蠕虫对西门子公司的数据采集与监控系统SIMATIC WinCC进行攻击的事件,称其为“超级病毒”、“超级工厂病毒”,并形容成“超级武器”、“潘多拉的魔盒”。Stuxnet蠕虫(俗称“震网”、“双子”)在今年7

3、月开始爆发。它利用了微软操作系统中至少4个漏洞,其中有3个全新的零日漏洞;为衍生的驱动程序使用有效的数字签名;通过一套完整的入侵和传播流程,突破工业专用局域网的物理限制; 利用WinCC系统的2个漏洞,对其展开攻击。它是第一个直接破坏现实世界中工业基础设施的恶意代码。据赛门铁克公司的统计,目前全球已有约45000个网络被该蠕虫感染,其中 60%勺受害主机位于伊朗境内。伊朗政府已经确认该国的布什尔核电站遭到Stuxnet蠕虫的攻击。安天实验室于7月15日捕获到Stuxnet蠕虫的第一个变种,在第一时间展开分析,发布了分析报告及防范措施,并对其持续跟踪。截止至本报告发布,安天已经累计捕获13个变种

4、、600多个不同哈希值的样本实体。文档名称对Stuxnet蠕虫攻击丄业控制糸统事件的综合报告文档版本日期v3.22010 09 30第2章样本典型行为分析2.1运行环境Stuxnet蠕虫在下列操作系统中可以激活运行:Windows 2000、Windows Server 2000Windows XP、Windows Server 2003Win dows VistaWindows 7、Windows Server 2008当它发现自己运行在非 Windows NT系列操作系统中,会即刻退出。被攻击的软件系统包括:SIMATIC WinCC 7.0SIMATIC WinCC 6.2但不排除其他版

5、本的WinCC被攻击的可能。2.2本地行为样本被激活后,典型的运行流程如图1所示。样本首先判断当前操作系统类型,如果是 Windows 9X/ME就直接退出。接下来加载一个 DLL模块,后续要执行的代码大部分都在其中。为了躲避反病毒软件的监视和查杀,样本并不将DLL模块释放为磁盘文件,而是直接拷贝到内存中,然后模拟正常的DLL加载过程。具体而言,样本先申请一块内存空间,然后Hook ntdll.dll 导出的6个系统函数:ZwMapViewOfSectio nZwCreateSect ionZwOpe nFileZwCloseZwQueryAttributesFile ZwQuerySecti

6、o n为此,样本先修改自身进程内存映像中ntdll.dll模块PE头的保护属性,然后将偏移0x40字节处的一段数据改写为跳转代码表,用以实现对上述函数的hook。进而,样本就可以使用修改过的ZwCreateSection在内存空间中创建一个新的PE节,并将要加载的DLL模块拷贝到内存中,最后使用LoadLibraryW 来获取模块句柄。电子邮件 | | 安天网站 | | http:/ 09 30图1样本的典型运行流程此后,样本跳转到被加载的DLL中执行,衍生下列文件:%System32%driversmrxcls.sys%System32%driversmrx net.sys%Win dir%

7、i nfoem7A.PNF%Win dir%i nfmdmeric3 .P NF%Win dir%i nfmdmcpq3. PNF%Win dir%i nfoem6C.PNF其中有两个驱动程序mrxcls.sys 和mrxnet.sys,分别被注册成名为MRXCLS口 MRXNET的系统服务,实现开机自启动。这两个驱动程序都使用了Rootkit技术,并使用了数字签名。mrxcls.sys 负责查找主机中安装的WinCC系统,并进行攻击。具体地说,它监控系统进程的镜像加载操作,将存储在Windir%infoem7A.PNF中的一个模块注入到services.exe、S7tgtopx.exe、CC

8、ProjectMgr.exe三个进程中,后两者是WinCC系统运行-T-文档名称对Stuxnet蠕虫攻击丄业控制糸统事件的综合报告文档版本日期v3.22010 09 30时的进程。mrxnet.sys通过修改一些内核调用来隐藏被拷贝到U盘的Ink文件和DLL文件(图2)。1OC_11703:cnpesi, hJlesnort loc_1171DpushUleaeax, ehx*esi*2-8pusheamouaax, offset a_lnkcallsub_iiUDfitestalf aljn2short loc_1172F;CODE XREF: sub_11688+6ATj;_LNK*图2驱

9、动程序隐藏某些Ink文件2.3传播方式Stuxnet蠕虫的攻击目标是 SIMATIC WinCC软件。后者主要用于工业控制系统的数据采 集与监控,一般部署在专用的内部局域网中,并与外部互联网实行物理上的隔离。为了实现攻击,Stuxnet蠕虫采取多种手段进行渗透和传播,如图3所示。被感染主机打印服务漏洞MS10-061U盘lnk漏洞 MS10-046RPC漏洞MS08-067WinCCRPC漏洞MS08-067图3样本的多种传播方式整体的传播思路是:首先感染外部主机;然后感染U盘,利用快捷方式文件解析漏洞,传播到内部网络;在内网中,通过快捷方式解析漏洞、RPC远程执行漏洞、打印机后台程序文档名称

10、对Stuxnet蠕虫攻击丄业控制糸统事件的综合报告文档版本日期v3.22010 09 30服务漏洞,实现联网主机之间的传播;最后抵达安装了WinCC软件的主机,展开攻击。1. 快捷方式文件解析漏洞(MS10 046)这个漏洞利用 Windows在解析快捷方式文件(例如.Ink 文件)时的系统机制缺陷,使 系统加载攻击者指定的 DLL文件,从而触发攻击行为。具体而言, Windows在显示快捷方式 文件时,会根据文件中的结构信息寻找它所需的图标资源,并将其作为文件的图标展现给用户。如果图标资源在一个 DLL文件中,系统就会加载这个 DLL文件。攻击者可以构造一个这 样快捷方式文件,使系统加载他指

11、定的恶意 DLL文件,从而触发后者中的恶意代码。快捷方式文件的显示是系统自动执行,无需用户交互,因此漏洞的利用效果很好。Stuxnet蠕虫搜索计算机中的可移动存储设备(图4)。一旦发现,就将快捷方式文件和DLL文件拷贝到其中(图5)。如果用户将这个设备再插入到内部网络中的计算机上使用,就会触发漏洞,从而实现所谓的“摆渡”攻击,即利用移动存储设备对物理隔离网络的渗入。反汇编HOU EeXfRgionC9.19061B39PUSH Region0(1.1MOU EDIfRegionOO.lOOdinQUMOU EBP,RegionOO.10O61BCC PUSHPUSH Region00_1B06

12、lACMOU EBP .Region00.1O061BEOPUSH Region8061A1Sstorage4uolumeitA加結虻t*祜5toragettuolumett1&19f storagettremouablemediattSKstorageflremovai)ieRedia#7 &图4 查找U盘反汇编I文本字串PUSH RegiQn0O.1ljU618AUcopy of shortcut to .InkPUSH Region18061004copij ofPUSH R9gionOQ.10O618E841. topPUSH RegionOS.10061904wtr4i32.tnpP

13、USH RegionO0.10i05CD1CPUSH Region00.100618ESwtr4141.tnpPUSH Region0O.10061904Wtr*132.tnpPUSH Region00.1005CD2globalukssucshutdounvent2PUSH Region00.13U618ESU1 _ tmpPUSH RegionM.180619Mwtr4l32-tnp图5拷贝文件到U盘拷贝到 U盘的 DLL文件有两个:wtr4132.tmp 和wtr4141.tmp。后者 Hook 了 kernel32.dll 和ntdll.dll中的下列导出函数:Fin dFirstFileWFin dNextFileWFin dFirstFileExWNtQueryDirectoryFile电子邮件 | | 安天网站 | | http:/ 09 30ZwQueryDirectoryFile实现对U盘中Ink文件和DLL文件的隐藏。因此,Stuxnet 共使用了两种措施(内核态驱 动程序、用户态 Hook API)来实现对 U盘文件的隐藏,使攻击

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 建筑/环境 > 施工组织

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号