Stuxnet病毒驱动分析
全球前十计算机病毒排名
全球前十计算机病毒排名
全球前十计算机病毒排名,是指全球最具影响力的计算机病毒排名。计算机病毒是一种恶意软件,它可以自动复制并传播到其他计算机上,从而破坏计算机系统的正常运行。
全球前十计算机病毒排名如下:
1. Conficker病毒:Conficker病毒是一种网络蠕虫,它可以通过网络传播,并且可以攻击Windows操作系统。
2. WannaCry病毒:WannaCry病毒是一种勒索软件,它可以通过网络传播,并且可以攻击Windows操作系统。
3. Stuxnet病毒:Stuxnet病毒是一种恶意软件,它可以攻击工业控制系统,并且可以攻击Windows操作系统。
4. Zeus病毒:Zeus病毒是一种钓鱼软件,它可以通过网络传播,并且可以攻击Windows 操作系统。
5. Sality病毒:Sality病毒是一种恶意软件,它可以通过网络传播,并且可以攻击Windows操作系统。
6. CryptoLocker病毒:CryptoLocker病毒是一种勒索软件,它可以通过网络传播,并且可以攻击Windows操作系统。
7. Mydoom病毒:Mydoom病毒是一种网络蠕虫,它可以通过网络传播,并且可以攻击Windows操作系统。
8. Sasser病毒:Sasser病毒是一种网络蠕虫,它可以通过网络传播,并且可以攻击Windows操作系统。
9. Code Red病毒:Code Red病毒是一种网络蠕虫,它可以通过网络传播,并且可以攻击Windows操作系统。
10. Nimda病毒:Nimda病毒是一种网络蠕虫,它可以通过网络传播,并且可以攻击Windows操作系统。
探索Duqu木马身世之谜Duqu和Stuxnet同源性分析
含 了 驱 动 程 序 、P C ( r g a L P o r mm a l o i be L g c
对工业控制系统的破坏 能力, 被看做是第一个以
现实世界中的关键 工业基础设施为 目标的计算机
C nrl r 可编程逻辑控制器)指令以及命令与 ot l , oe
控制服 务器 ( 以下简 称c 服 务器 ) 信模 块 &c 通
蠕虫 。 有媒体 形容它 为 “ 超级 武器 ” “ 多拉 和 潘 的魔盒 ” 因为它开启 了真 正意义上 的网络战 , ,
等, 通病毒作者不需要 、 普 也不愿意付 出这样的
开发代价。
普通的病毒作者一般急 也为以后的网络攻击形式和恐怖 主义行为树立了 -传播过程复杂而漫长 。 于获得利益 。 “ 榜样 ”。 tx e蠕 Su n t  ̄虫曾于- 1年7 2 0 月暴 发, 用 0 利
Su nt tx e蠕虫极 为相 似的技 术手段 , 引起 了多个 驱 动模块分 为R okt o ti 功能 ( 主要用于躲避 反病
计 算机 反病毒厂 商的密切 关注 。 设D q 木马 毒 软件 )的mrn t y 文件 和负责 解密和 注入 假 uu x e s s
与Su n t tx e蠕虫具 有相同出处 ( 即两者 具有同源 的mrcs y 文件 ; l x ls s dl 模块和配置文件均 以加密 性 ), 那么它出现的意义是什么?是否 意味 着新 形 式存 储在 磁盘 上 , 在需 要时 解密 到内存 ; 仅
掀开Stuxnet病毒的神秘面纱
已 经 通 过 研 究 和 模 拟 分 析 确 认 了 S u n t 毒 的 攻 击 目标 tx e 病 就是伊 朗的核设 施。
最后, 报道 还披 露说 , 国和 德 国在知 情或 不知情 的情 英
况 下 为 制 造 Su n t 毒 提 供 了 帮 助 。尤其 是 其 产 品 被 作 为 tx e 病
多 的 人 将 不 得 不 忧 虑 数 字 武 器 的 潘 多 拉 魔 盒 一 旦 被 打 开 , 手 段 又 羁 绊 太 多 , 此 才 转 而 寻 求 高 科 技 的 网 络 攻 击 , 达 因 既
网络恐怖行 为可能 会越来越 多。
到 迟 滞 伊 朗 核 计 划 的 目的 , 又 不 至 于 陷 入 另 外 一 场 没 有 胜 利 希 望 的 战 争 。 “ 字 导 弹 ” 袭 击 不 会 带 来 人 员 伤 亡 , 一 数 的 万
在 0 8年 还 与 美 国 能 源 部 的 一 个 研 究 第 二 个 弹 头 攻 击 西 门 子 的 S — 0 (1 ) 统 , 7 4 04 7系 目标 是 布 靶 子 的 西 门 子 公 司 , 2 0 什 尔核 电厂 汽 轮 机 控 制 , 目的 是 使 汽 轮 机 的 控 制 受 到 干 扰 , 机 构 在 防 范 网 络 攻 击 方 面 进 行 过 合 作 , 当 时 发 现 的 漏 洞 随
Su n t tx e 病毒 潜伏 在 目标系统 特定 的组件里 , 变离 心机旋 以 确 保 病 毒 能 对 伊 朗 核 设 施 内 的 离 心 机 造 成 有 效 破 坏 。 事 改源自文库
管中窥豹—Stuxnet、Duqu和Flame的分析碎片与反思
管中窥豹—Stuxnet、Duqu和Flame的分析碎片与
反思
管中窥豹—Stuxnet、Duqu和Flame的分析碎片与反
思
安天实验室
管中窥豹—Stuxnet、Duqu和Flame的分析碎片与反思
安天实验室
报告简介:
2012年6月15日,“网络空间新阶段安全威胁”高峰论坛在北京举行,业内部分专家和企业界工程师参加了本次论坛,并深入探讨了国内APT攻击的研究现状和发展,为加强业界交流合作提供了良好的机会。
安天实验室在此次会议上做了题为《管中窥豹—Stuxnet、Duqu和Flame的分析碎片与反思》的报告。报告通过对Stuxnet、Duqu和Flame的分析事件的总结与反思,从人力投入、成果对比及时间线分析讲解了APT攻击的实现、应对分析和对信息安全厂商的启示。
报告ppt下载地址:/view/25b9a5ec6294dd88d0d26b74.html ©安天实验室版权所有第2页 / 共8页
©
安天实验室 版权所有
第3页 / 共8页
©安天实验室版权所有第4页 / 共8页
©安天实验室
版权所有
第5页 / 共8页
注:《管中窥豹——Stuxnet、Duqu和Flame的分析碎片与反思》文稿被刊登在《信息安全与通信保密》杂志的“本期特稿”栏目中,此处分享文稿扫描件供大家参考。
©安天实验室版权所有第6页 / 共8页
©安天实验室版权所有第7页 / 共8页
©安天实验室版权所有第8页 / 共8页
Stuxnet病毒全球肆虐将影响我国众多企业
统 中 的 文 件 。还 可 以 盗 取 各 种 网络 账 号 , 括 QQ 和 各 种 游 戏 账 号 , 至 还 包 甚
可 以 悄 悄 打 开 我 们 的 摄 像 头 进 行 偷
段 , 如 熊 猫 烧 香 、 V 终 结 者 等 病 毒 例 A 都 有 着 浓 厚 的 商 业 气 息 , 类 型 的 病 这
窥 。 木 马 的特 点 是 能 够 巧 妙 地 隐 藏 于 系统 中 , 它 的 目 的是 帮 助 黑 客 窃 取 资 料 以 及 满 足 黑 客 的偷 窥 欲 。 出 于 木 马 的 特 点 ,我 们 在 清 除 木 马 也 需 要 有 技
巧 的 删 除 。我们 可 以 从 以 下 几 点 出发 :
中选择 “ 禁 用” 已 。最 后 同样பைடு நூலகம்用 杀 毒 软 件 进行 彻底 的查杀 。
的 。传统 的计 算机 病毒 目的很 简单 ,
只 是计 算 机 编程 高 手 的 一 种技 术炫
耀 , 要 以 破 坏 为 目的 。 而 现 在 的 计 主 算 机 病 毒 却 已 经 成 为 黑 客 谋 利 的 手
对 u 盘 等 可 移 动 设 备 进 行 严 格 管
理 . 致 有 人 在 局 域 网 内 使 用 了 带 毒 导
名 为 Su n t 蠕 虫 病 毒 已 经 造 成 伊 tx e 的
朗核 电站 推 迟发 电 , 前 国 内 已有近 目
震网病毒的特点和传播途径
震网病毒的特点和传播途径
008年,“震网”病毒攻击就开始奏效,伊朗核计划被显著拖延,它有什么特点和传播途径呢!下面由店铺给你做出详细的震网病毒的特点和传播途径介绍!希望对你有帮助!
“震网”病毒的特点:
1、与传统的电脑病毒相比,“震网”病毒不会通过窃取个人隐私信息牟利。
2、由于它的打击对象是全球各地的重要目标,因此被一些专家定性为全球首个投入实战舞台的“网络武器”。
3、无需借助网络连接进行传播。计算机安全专家在对软件进行反编译后发现,“震网”病毒结构非常复杂,因此它应该是一个“受国家资助高级团队研发的结晶”。这种病毒可以破坏世界各国的化工、发电和电力传输企业所使用的核心生产控制电脑软件,并且代替其对工厂其他电脑“发号施令”。
4、极具毒性和破坏力。“震网”代码非常精密,主要有两个功能,一是使伊朗的离心机运行失控,二是掩盖发生故障的情况,“谎报军情”,以“正常运转”记录回传给管理部门,造成决策的误判。在去年的攻击中,伊朗纳坦兹铀浓缩基地至少有1/5的离心机因感染该病毒而被迫关闭。
5,“震网”定向明确,具有精确制导的“网络导弹”能力。它是专门针对工业控制系统编写的恶意病毒,能够利用Windows系统和西门子SIMATICWinCC系统的多个漏洞进行攻击,不再以刺探情报为己任,而是能根据指令,定向破坏伊朗离心机等要害目标。
6,“震网”采取了多种先进技术,具有极强的隐身性。它打击的对象是西门子公司的SIMATICWinCC监控与数据采集(SCADA)系统。尽管这些系统都是独立与网络而自成体系运行,也即“离线”操作的,但只要操作员将被病毒感染的U盘插入该系统USB接口,这种病毒就会在神不知鬼不觉的情况下(不会有任何其他操作要求或者提示出现)取得该系统的控制权。
Stuxnet震网病毒的高仿版IRONGATE——专攻西门子ICSSCADA
Stuxnet震网病毒的高仿版IRONGATE——专攻西门子
ICSSCADA
声名狼藉的Stuxnet蠕虫恶意软件数年前摧毁多个伊朗核电站的离心机,目前安全公司火眼(FireEye)声称发现一款恶意软件使用了某些Stuxnet功能,该恶意软件将目标对准(工业控制系统)ICS/数据采集与监视控制系统(SCADA)。
这款恶意软件名为“铁门”(IRONGATE),只针对西门子公司生产的ICS/SCADA设备。FireEye火眼称,他们于2015年下半年发现该恶意软件,但2014年9月当多个字符实体在VirusTotal上传该软件的多个版本时,他们就成功追踪到了该软件的一些样本。
火眼表示,当时检测率为零,并且这款恶意软件从未被发现有不良记录。
攻击链以检查虚拟化环境的散播病毒程式开始,研究人员利用这种环境分析恶意软件。
在VMware和Cuckoo Sandbox环境下,IRONGATE散播病毒程式将不会运行。
如果IRONGATE没有发现虚拟化的环境,散播病毒程式可执行可执行文件“scada.exe.”。目前尚不清楚是什么触发了中间人净负荷安装恶意代码。西门子的专家怀疑恶意净负荷需人工操作。
一旦系统被感染,IRONGATE搜索所有后缀名为“Step7ProSim.dll”的DLL库,并用可以操作关联过程的恶意代码替换。
IRONGATE的主要特点是:中间人(MitM)在工业过程模拟内攻击过程输入输出(IO)和过程操作员软件。这款恶意软件用恶意DLL替换正常的DLL,然后恶意DLL充当一个可编程序逻辑控制器(PLC)与合法监控系统之间的经纪人。该恶意DLL从PLC到用户界面记录5秒的“正常”流量并进行替换,同时将不同的数据发回PLC。这就允许攻击者改动过程操作者不知情的受控过程。
什么是震网病毒
什么是震网病毒
震网病毒(Stuxnet病毒),是一个席卷全球工业界的病毒,该病毒与2010年6月首次被检测出来,也是第一个专门定向攻击真实世界中基础(能源)设施的“蠕虫”病毒。下面由店铺给你做出详细的震网病毒介绍!希望对你有帮助!
震网病毒介绍如下:
该病毒是有史以来最高端的“蠕虫”病毒。蠕虫病毒是一种典型的计算机病毒,它能自我复制,并将副本通过网络传输,任何一台个人电脑只要和染毒电脑相连,就会被感染。震网病毒作为世界上首个网络“超级破坏性武器”,已经感染了全球超过45000个网络,伊朗遭到的攻击最为严重,60%的个人电脑感染了这种病毒。
录1简要概述2发现历程3事件信息4主要特点5深度分析第一章事件背景第二章样本典型行为分析第三章解决方案与安全建议第四章攻击事件的特点第五章综合评价6展望思考专家称其高端性显示攻击应为国家行为病毒肆虐将影响我国众多企业
简要概述编辑
震网(Stuxnet),指一种蠕虫病毒。它的复杂程度远超一般电脑黑客的能力。这种震网(Stuxnet)病毒于2010年6月首次被检测出来,是第一个专门定向攻击真实世界中基础(能源)设施的“蠕虫”病毒,比如核电站,水坝,国家电网。互联网安全专家对此表示担心。
“震网”病毒利用了微软视窗操作系统之前未被发现的4个漏洞。通常意义上的犯罪性黑客会利用这些漏洞盗取银行和信用卡信息来获取非法收入。而“震网”病毒不像一些恶意软件那样可以赚钱,它需要花钱研制。这是专家们相信“震网”病毒出自情报部门的一个原因。
据全球最大网络保安公司赛门铁克(Symantec)和微软(Microsoft)公司的研究,近60%的感染发生在伊朗,其次为印尼(约20%)和印度(约10%),阿塞拜疆、美国与巴基斯坦等地亦有小量个案。
Stuxnet感染流程
【百科名片】Stuxnet蠕虫病毒(超级工厂病毒)是世界上首个专门针对工业控制系统编写的破坏性病毒,能够利用对windows系统和西门子SIMATIC WinCC系统的7个漏洞进行攻击。特别是针对西门子公司的SIMATIC WinCC监控与数据采集 (SCADA) 系统进行攻击,由于该系统在我国的多个重要行业应用广泛,被用来进行钢铁、电力、能源、化工等重要行业的人机交互与监控。传播途径:该病毒主要通过U盘和局域网进行传播。历史“贡献”:曾造成伊朗核电站推迟发电。
2010-09-25,进入中国。
【技术分析报告】
Worm/Stuxnet利用多种Windows系统漏洞进行传播,试图攻击西门子SIMATIC WinCC监控与数据采集(SCADA)系统。西门子SIMATIC WinCC SCADA系统用于工业控制领域,一旦运行该系统的服务器感染了Worm/Stuxnet,工业控制指令和数据等信息可能被病毒拦截、窃取或修改。此外,该蠕虫还会从互联网进行更新和接收黑客命令,使感染主机被黑客远程完全控制,成为“僵尸计算机”。下面是详细技术分析报告。
一、传播途径
1.利用Windows Shell快捷方式漏洞(MS10-046)和U盘传播
U盘传播是Worm/Stuxnet主要传播途径之一。病毒会在移动存储设备的根目录下创建如下病毒文件:~WTR4132.tmp
~WTR4141.tmp
同时,还会创建下列快捷方式文件,指向~WTR4141.tmp文件:
Copy of Shortcut to.lnk
Copy of Copy of Shortcut to.lnk
Stuxnet感染流程
Stuxnet感染流程
概述
Stuxnet是一种特别设计用来攻击伊朗联合核计划的病毒,它于2010年被发现,并引起了全球的关注。Stuxnet可能是历史上第一种针对物理设施的病毒,它是由各种组件组成的复杂系统,旨在控制离心机并导致它自毁。
感染流程
1. 初始感染
Stuxnet使用了多种方式进行传播和感染,包括USB设备和网络共享文件夹等方式。在初始感染时,Stuxnet通过利用Windows操作系统的漏洞来获取管理员权限。其中最著名的漏洞是Windows的LNK漏洞,它可以在打开磁盘上的缩略图或链接文件时自动感染计算机。
2. 传播
一旦Stuxnet成功感染了计算机,它会开始在网络上传播,通过侵入局域网中的其它计算机来扩散。Stuxnet使用了伪装为合法程序的文件,以及利用未修补的漏洞和Windows自带的远程执行功能,来传播病毒。
3. 攻击目标
一旦Stuxnet在一个目标计算机上成功安装,它就会开始执行其恶意行为。Stuxnet特别针对伊朗的离心机进行攻击,通过控制离心机的转速,分别对两条主要的离心机线路进行攻击,导致它们损坏或失灵。
4. 自毁
Stuxnet采取了多重措施,防止被发现和分析,包括删除文件、擦去日志、使用密码来加密文件、伪装成合法的文件和应用程序,以及自毁功能等。自毁功能特别值得一提,一旦被激活,它会导致受感染的计算机和控制系统停机。
总结
Stuxnet是一种非常危险的病毒,其攻击方式和攻击目标都非常巧妙。它采用了多种方式进行传播和感染,并对控制系统进行了特别的攻击。在新的病毒出现之前,它是最复杂、最强大和最有影响力的病毒之一。因此,理解Stuxnet的工作原理和技术细节对于确保网络和计算机安全至关重要。
恶意软件Stuxnet
解析攻击西门子系统的恶意软件Stuxnet
2010年08月03日10:45中国新闻网
字号:T|T
最近刚刚出现的Stuxnet恶意软件是首个利用Windows零日漏洞、针对控制系统和公共事业机构发动攻击的恶意软件。Stuxnet的设计者综合运用了漏洞知识、黑客伎俩以及潜在的物理安全漏洞,来发起针对重要基础设施系统的攻击。
Stuxnet攻击运用的高级知识之所以“巧妙”,原因有二。首先,该恶意软件通过利用先前未知的 Windows漏洞实施攻击和传播。其次,该恶意软件的组件包括两个具有rootkit行为、有数字签名的驱动程序,对于恶意软件而言,这点很不寻常。
这两点已被媒体广泛报道。我希望重点谈一谈遭受攻击系统存在的潜在风险、多种不同攻击媒介协同“作战”的复杂性,以及这对能源领域意味着什么。
以下是我们目前了解到的Stuxnet攻击的运行机制:
1.用户将USB驱动器(或任何移动存储介质)连接到系统;
2.已感染的驱动器利用零日Windows Shell Code漏洞实施攻击,运行恶意软件;
3.该恶意软件在受攻击系统中进行搜索,试图访问西门子Windows SIMATIC WinCC SCADA系统数据库。(万幸的是,该恶意软件的一个签名证书已被吊销,另一个也即将被吊销)
4.该恶意软件使用WinCC西门子系统中的硬编码密码来访问存储在WinCC 软件SQL数据库中的控制系统运行数据。
这一事件有何潜在影响?该恶意软件的攻击目标是西门子SIMATIC WinCC
监控与数据采集 (SCADA) 系统。该软件可作为公用事业机构工业控制系统的HMI(人机交互界面)。HMI以图形方式管理并显示负责主要发电和输电设施运行的电厂控制系统信息。
震网病毒PPT
03
震网病毒的影响与损失评估
震网病毒对目标系统的破坏程度
Stuxnet病毒对伊朗核设施的破坏程度严重
• Stuxnet病毒攻击导致伊朗纳坦兹核设施的部分离心机损坏
• Stuxnet病毒攻击影响了伊朗的核计划进程
Stuxnet病毒对其他目标系统的破坏程度有限
• Stuxnet病毒主要针对伊朗的核设施,对其他国家的工业控制系统影响较小
• Stuxnet病毒影响全球石油供应,导致石油价格波动
• Stuxnet病毒影响全球核电发展计划,可能导致部分国家
调整核电政策
震网病毒对网络安全产业的启示与挑战
Stuxnet病毒对网络安全产业的启示
Stuxnet病毒对网络安全产业的挑战
• 网络安全问题已经从传统的个人电脑领域扩展到了工业
• 如何防范类似Stuxnet病毒的网络武器攻击
• 攻击伊朗的石油设施,影响伊朗的能源供应
震网病毒针对的目标及其影响范围
Stuxnet病毒主要针对伊朗的核设施
• 纳坦兹核设施:Stuxnet病毒攻击的主要目标
• 福尔道核设施:Stuxnet病毒攻击的次要目标
Stuxnet病毒的影响范围超出了伊朗
• Stuxnet病毒传播到了其他国家的工业控制系统
震网病毒深度解析
01
震网病毒简介及其背景
震网病毒的起源与发展历程
对Stuxnet蠕虫攻击工业控制系统事件的综合报告
对Stuxnet蠕虫攻击工业控制系统事件的综合报告
对Stuxnet蠕虫攻击工业控制系统事件的综合报告
安天实验室
对Stuxnet蠕虫攻击工业控制系统事件的综合报告
安天实验室安全研究与应急处理中心
2010年9月27日21时首次发布2010年9月30日14时最新修订
一、事件背景
近日,国内外多家媒体相继报道了Stuxnet蠕虫对西门子公司的数据采集与监控系统SIMATIC WinCC 进行攻击的事件,称其为“超级病毒”、“超级工厂病毒”,并形容成“超级武器”、“潘多拉的魔盒”。
Stuxnet蠕虫(俗称“震网”、“双子”)在今年7月开始爆发。它利用了微软操作系统中至少4个漏洞,其中有3个全新的零日漏洞;为衍生的驱动程序使用有效的数字签名;通过一套完整的入侵和传播流程,突破工业专用局域网的物理限制;利用WinCC系统的2个漏洞,对其展开攻击。它是第一个直接破坏现实世界中工业基础设施的恶意代码。据赛门铁克公司的统计,目前全球已有约45000个网络被该蠕虫感染,其中60%的受害主机位于伊朗境内。伊朗政府已经确认该国的布什尔核电站遭到Stuxnet蠕虫的攻击。
安天实验室于7月15日捕获到Stuxnet蠕虫的第一个变种,在第一时间展开分析,发布了分析报告及防范措施,并对其持续跟踪。截止至本报告发布,安天已经累计捕获13个变种、 600多个不同哈希值的样本实体。
二、样本典型行为分析
2.1运行环境
Stuxnet蠕虫在下列操作系统中可以激活运行:
●Windows 2000、Windows Server 2000
震网电脑病毒攻击事件
震网电脑病毒攻击事件
相比以往的安全事件,此次攻击呈现出许多新的手段和特点,值得我们特别关注。下面由店铺给你做出详细的震网病毒攻击事件介绍!希望对你有帮助!
震网病毒攻击如下:
4.1 专门攻击工业系统
Stuxnet蠕虫的攻击目标直指西门子公司的SIMATIC WinCC系统。这是一款数据采集与监视控制(SCADA)系统,被广泛用于钢铁、汽车、电力、运输、水利、化工、石油等核心工业领域,特别是国家基础设施工程;它运行于Windows平台,常被部署在与外界隔离的专用局域网中。
一般情况下,蠕虫的攻击价值在于其传播范围的广阔性、攻击目标的普遍性。此次攻击与此截然相反,最终目标既不在开放主机之上,也不是通用软件。无论是要渗透到内部网络,还是挖掘大型专用软件的漏洞,都非寻常攻击所能做到。这也表明攻击的意图十分明确,是一次精心谋划的攻击。
4.2 利用多个零日漏洞
Stuxnet蠕虫利用了微软操作系统的下列漏洞:
RPC远程执行漏洞(MS08-067)
快捷方式文件解析漏洞(MS10-046)
打印机后台程序服务漏洞(MS10-061)
内核模式驱动程序漏洞(MS10-073)
任务计划程序程序漏洞(MS10-092)
后四个漏洞都是在Stuxnet中首次被使用,是真正的零日漏洞。如此大规模的使用多种零日漏洞,并不多见。
这些漏洞并非随意挑选。从蠕虫的传播方式来看,每一种漏洞都发挥了独特的作用。比如基于自动播放功的U盘病毒被绝大部分杀毒软件防御的现状下,就使用快捷方式漏洞实现U盘传播。
另一方面,在安天捕获的样本中,有一部分实体的时间戳是2013
课件:震网病毒
•。
• 1.使用相关专杀工具或手工清除Stuxnet蠕 虫
• 2. 安装被利用漏洞的系统补丁
• 3.安装西门子发布的WinCC系统安全更新补 丁
• 1.使用Atool管理工具,结束系统中的父进程 不是winlogon.exe的所有lsass.exe进程
• Stuxnet已经感染了全球超过 45000个网络,60% 的个 人电脑感染了这种病毒。
• 传播途径:该病毒主要通过U盘和局域网进行传播。
• “历史贡献”:曾造成伊朗核电站推迟发电。
Stuxnet简介
• Stuxnet能够利用5个针对windows系统 和两个针对西门子SIMATIC WinCC系统的漏 洞进行攻击。
Stuxnet蠕虫病毒
—工业控制系统破坏性病毒
• Stuxnet简介
目录
• Stuxnet特点
• Stuxnet运行环境
• 攻击原理及传染方式
• 查杀及预防stuxnet
Stuxnet简介
• Stuxnet蠕虫病毒(超级工厂病毒)又名“震网”,是世 界上首个专门针对工业控制系统编写的破坏性病毒。
• 2. 删除下列注册表项: HKEY_LOCAL_MACHINE\SYSTEM\CurrentCont rolSet\Services\MRxCls HKEY_LOCAL_MACHINE\SYSTEM\CurrentCont rolSet\Services\MRxNET
网络攻击类型与样本分析
网络攻击类型与样本分析
随着互联网的普及和发展,网络安全问题日益突出。网络攻击已成为一个全球性的威胁,给个人、企业和国家带来了巨大的风险和损失。为了更好地保护网络安全,了解网络攻击的类型和样本分析是至关重要的。
一、网络攻击类型
1. 钓鱼攻击:钓鱼攻击是通过虚假的电子邮件、短信或网站等手段,诱骗用户提供个人敏感信息的一种攻击方式。攻击者通常伪装成可信的实体,如银行、支付平台等,诱使用户泄露账户、密码、信用卡信息等。
2. 恶意软件:恶意软件是指在未经用户许可的情况下,通过植入恶意代码或程序来攻击用户计算机系统的一种软件。常见的恶意软件包括病毒、木马、间谍软件等,它们可以窃取用户的个人信息、控制计算机、加密文件等。
3. DDoS攻击:分布式拒绝服务(DDoS)攻击是指攻击者通过控制大量的僵尸主机,同时向目标服务器发送大量的请求,导致服务器资源耗尽,无法正常提供服务。这种攻击方式常用于网络敲诈、报复或破坏目标网站的正常运行。
4. SQL注入攻击:SQL注入攻击是通过在Web应用程序的输入字段中插入恶意SQL代码,从而绕过应用程序的身份验证和安全机制,进而获取、修改或删除数据库中的数据。攻击者可以通过SQL注入攻击获取用户的敏感信息,甚至完全控制数据库。
5. 社交工程:社交工程是利用人们的社交心理弱点,通过欺骗、诱导等手段获取信息的一种攻击方式。攻击者可以通过伪装成熟人、同事或上级等身份,获取用户的敏感信息、密码等。
二、网络攻击样本分析
1. WannaCry勒索软件:WannaCry是一种利用永恒之蓝漏洞进行传播的勒索软件。它通过感染计算机,加密用户文件,并要求用户支付比特币赎金。WannaCry
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Stuxnet蠕虫驱动分析
这里只是分析文字, 贴图影响速度, 就不贴了, 具体看附件pdf文档, 难免有错误之处, 欢迎指正!
一. Stuxnet蠕虫(超级工厂病毒)简单说明
能够利用对windows系统和西门子SIMATIC WinCC系统的7个漏洞进行攻击,被称为是新时代网络战争开始的标志,
也有人宣称是"政府发动的网路战争、带有圣经讯息、最高机密等",呵呵,有点雷人!
windows下最主要的传播途径是攻击快捷方式自动执行漏洞(MS10-046), WindowsServer服务的远程溢出漏洞
(MS08-067)以及打印后台程序服务中的远程代码执行漏洞(MS10-061)。
病毒成功攻击了伊朗核电站,造成伊朗核电站推迟发电.由于能够对西门子公司的SIMATIC WinCC监控与数据采集
(SCADA) 系统进行攻击,因此也能攻击我国的钢铁、电力、能源、化工等重要行业,
Stuxnet超级工厂病毒直到2010-09-25,才在传入国内网络.我是在近两个月前才收到的,当时只需要简单分析用户态的部分样本,因此没有对驱动进行分析.后来闲着没事时,就分析了驱动部分.不过,此病毒强大之处大部分都在用户态实现.
二.Stuxnet蠕虫(超级工厂病毒)驱动(mrxnet.sys)分析
从Stuxnet蠕虫病毒样本中提取出了两个驱动文件,mrxnet.sys(17k),mrxcls.sys(26k),其中驱动mrxnet.sys在蠕
虫通过u盘驱动器传播时被用来隐藏特定文件,这个驱动是一个文件系统过滤驱动,支持三种文件系统ntfs, fastfat和cdfs文件系统.驱动文件mrxcls.sys则被用于向用户空间中注入代码,被注入的模块被放在一个配
置文件中,这应该就是最初让卡巴斯基头痛的"父进程注入"技术,轻松地绕过卡巴.这里单就只分析驱动
mrxnet.sys.
入口处开始分析:
1.此驱动首先创建一个设备类型为FILE_DEVICE_DISK_FILE_SYSTEM,设备特征为FILE_DEVICE_SECURE_OPEN,
设备扩展为8字节的无名设备对象.这个驱动没有控制设备,因此不会跟用户态交换信息.
其中设备扩展的类似如下定义:
DeviceExtension
{
PDEVICE_OBJECT LowerDevice;
PDEVICE_OBJECT RealDevice;
}
其中LowerDevice为本驱动的下层驱动,RealDevice为VPB中的RealDevice设备,其实也就是文件系统的卷设备.
2.接下来注册MajorFunction:
IRP_MJ_FILE_SYSTEM_CONTROL
IRP_MJ_DIRECTORY_CONTROL
这两个派遣例程,这个驱动主要就处理这两例程,其他的用一个例程处理,其实是直接pass了,不做任何处理.
两个例程分别是FileSystemControl,DirControl.是本驱动核心功能的实现,留到最后阐述.
3.接着就是填充FastIoRoutines,驱动并没填充所有的FastIoRoutines,这里填充了如下: FastIoCheckIfPossible;
FastIoRead;
FastIoWrite;
FastIoQueryBasicInfo;
FastIoQueryStandardInfo;
FastIoLock;
FastIoUnlockSingle;
FastIoUnlockAll;
FastIoUnlockAllByKey;
FastIoDeviceControl;
FastIoDetachDevice;
FastIoQueryNetworkOpenInfo;
MdlRead;
MdlReadComplete;
PrepareMdlWrite;
MdlWriteComplete;
FastIoReadCompressed;
FastIoWriteCompressed;
MdlReadCompleteCompressed;
MdlWriteCompleteCompressed;
FastIoQueryOpen;
这些FastIoRoutines没有做什么实质性的工作,只是把简单判断一下,然后调用下层驱动.
4.然后就是attach到文件系统了,函数:AttatchTargetDrivers.
先获取通过MmGetSystemRoutineAddress动态获取ObReferenceObjectByName函数的地址,将其地址作为参数去
获取文件的驱动对象,文件系统名为:
\\FileSystem\\ntfs
\\FileSystem\\fastfat
\\FileSystem\\cdfs
支持的文件系统有ntfs,fastfat,cdfs.
这三个文件系统名的地址被放在一个指针数组中,这个指针数组以后会被通过ObReferenceObjectByName 获取的
驱动对象覆盖;
这里有个循环,循环3次,分别去attach这三种文件系统.
这个attach的函数是GetTargetDriverAndAttach(),函数有两个参数,第一个参数是函数ObReferenceObjectBy
Name的地址,第二个参数是文件系统文件名指针,这个参数即用来传入文件系统名地址,也用于获取所得的驱动
对象指针.进入这个函数内部,函数先获取文件系统驱动对象,然后遍历驱动对象的每个设备对象进行attach,
attach 每个设备对象的函数是TryToAttachDevice()
TryToAttachDevice()
这个函数有两个参数,第一个是设备对象(既是文件系统的设备对象),第二个是BOOLEAN型(这里调用时传入的为
true),用于判定这个文件系统是被注册(激活),还是卸下.如是被注册,则调用函数CreateFilterDeviceAndAtta
ch()否则Detach本驱动在文件系统设备栈中的设备.
CreateFilterDeviceAndAttach()这个设备有一个参数,参数为文件系统的设备.
这个函数只attach 设备类型为磁盘文件类设备,CD_ROM文件类设备,网络文件类设备.
FILE_DEVICE_DISK_FILE_SYSTEM,
FILE_DEVICE_CD_ROM_FILE_SYSTEM
FILE_DEVICE_NETWORK_FILE_SYSTEM
先判断设备类型满足以上条件,如果这个文件系统设备还没有被attach,则创建一个本驱动的设备attach 到文
件系统设备栈中,Attach是通过函数
AttachToFsDevie来实现的,这个函数很简单,只是把attach设备后,把下层设备保存于设备扩展中.