震网病毒分析与防范
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
络安全 。
图9 查 询 W iCC 的 数 据 库 n
使 用 的 Se7工程 中,在 打开工程 文件时,存在 D L加载策 tp L 略上 的缺 陷,从 而导致 出现一种类似于 “ L D L预加载攻击”的 利用方式 。最 终,震 网病 毒通过替换 S p t 7软件 中的 sobd . e 7tx x dl l ,而将原 来的同名文件修改为 sob s .l,并对这个文件 7 txxdl 的导 出函数进 行一 次封装 ,从而实现 对一些查 询 、读 取 函数
dl 图 1 l 。如 0所示,原始库函数 s0b d . l 7 tx xd 的大小为 175 2 l 15 5
字节,而恶意库函数 大小为 2 8 0 9 0 0字节。
43建立重要 网络应急 响应机制 .
由于网络 安全技术发展 日新月异 ,需要建立重要信 息基础 设 施的应急响应机制,实现对重要 目标或系统 的监测、防护和
42加大信息 网络安全管理 _
加强 国家信息 网络安全管理 ,从 内网和外方两个方 面协调
函数 s0b d .l 的调 用,并 任 意操 作调用。大 多数 对 函数 7 tx xdl
s0b d .l的调用都 被直接发送给被替换了的函数 s0b s . 7 tx xdl 7 tx x
进行 , 对重点信息 网络应 采用 自主可控的信息安全设备及技术 。
它用来与 S t 系列的 P C通信。通常,开发者使用 S L或 i i ma c L T S L语言为设备编程 。程 序通常 被编译 为一种 称为 MC C 7的汇 编代码,被 P C载入 。正常情况下jWiC L n C的 Se tp7软件使
用库 文件 s tx x l来 和 P C通信 。 7 bd . l o d L 将共享库 函数文件 sOb d .l重命名为 s0b s .l 7 tx x l d 7 txxdl ,恶 意软件 伪 装成合 法 的 s0b d .l文件,能 够拦 截 对原始 库 7 t x xdl
tach db wincc sur’ ●xe c m st er - ¥p de -
_
‘ ’ n‘#‘ 缸 , 薯
wenku.baidu.com
臣三三
一
\ 、
us● wlnc c 5 r ■ ec wast er . .
.
de tach db v L ncc sur
ndF
露 一
应 急处 理 ,采 取 技术 手段 实 现 追 踪定 位 、灾 害恢 复 和攻 击 反制 。
同时,建立一种类似西方国家实战演习的工作方式 ,定期 进行 内外网的网络安 全演练,发现技 术、制度上 的薄 弱环节, 及时应对。姆
图1 原始库 函数s Ob d .l 0 7 tx xdl 和恶意库函数s Ob D .l 7 tx xdl 的比较
21 年 第0 期 02 2
d ca e戢 el r d ca e戢 el r
.
vr hr 4 o ) a c a ( c o 。曲 vr hr 4 e ) a c a ( e o ,糖
I t n 。 l tl x s s (eet t x rm 螗 o o fe i t s lc e tfo i t. 射 t t i x s s s l c - F o b s n o F e i t f e e t r n d o.,
l
州
F - —
一 0
L ¨
l
r
H§e last er ●d f
sel ect n a■e F rom Ll 5ter.. ysdata s base s wh ere F ilena ̄
.
1l n ’ ke ts‘
.
ndF 1df
—
t e  ̄ s e , p a t c b ‘ l c s r xc t r. ¥ — t a h d - n c v ‘
的 H o 。sObd .l是 Sm t o k 7 tx x l d i ai c软件 套 装 中一 个共 享 链 接 库 ,
41增加漏洞及其挖掘技术研 究 .
“ 震网”病毒攻击事件后,工业级 的控制软件的安全逐 步 得 到大家 的重 视 ,通过挖 掘发现存 在大量 的零 日 洞。例 如 漏
1
一 — \ — 耀
’
.
1df
X
● ndf mdF
.
.
vecto r<t> too long
2 ̄sxc der
图 1 震 网病 毒 拦 截 W iC 1 L 2 n C¥ C的通 信 1 P
 ̄lncc r conn ect
■aste r
.
4结束语
2 1年 3 01 月,U — ER S C T控制系统安全小组就发现 ,在西 门子 等公 司的多款 S AD C A网络产品中存在 多种漏洞。S AD C A系 统 被广泛 应用在石油 、电力 、水利 等工业领域 ,承担着数 据 采集 、监视控制等各种任务,是 目前应 用最广、技 术发展 最成 熟 的工业控制系统。因此需要大力研究 S A A系统漏洞及其 C D 漏 洞挖掘技术 ,只有充分认识 这些漏洞及其挖 掘技术才 能防 范于未然 ,甚 至为我所用,以其人 之道还治其人之身。
( 责编 程斌 )
系统 遭受攻击后,Se tp7软件调用被 替代的 s0b d .l 7 tx xdl
和 P C通信 ,于是震 网病 毒可 以拦 截任 何来 自其他 软件访问 L P C的命令, L 从而实施侦察攻击。 具体过程如 图1 和图1 1 2所示。
\ tc w nc
sqlol edb
p o i e - 缸 : a a s u c - ; n t a c t l g 缸 ’ u e d s ; a s r - r vd r 。 d t o r e 缸 i i i l a a o -’ ;sr t-t ps  ̄ d
震 网病毒震动了世界工业 界,破灭 了专用网络、专用系统 固有 的安 全基础 ,我们应高度 警惕物理 隔离的专业系统 的网
图9 查 询 W iCC 的 数 据 库 n
使 用 的 Se7工程 中,在 打开工程 文件时,存在 D L加载策 tp L 略上 的缺 陷,从 而导致 出现一种类似于 “ L D L预加载攻击”的 利用方式 。最 终,震 网病 毒通过替换 S p t 7软件 中的 sobd . e 7tx x dl l ,而将原 来的同名文件修改为 sob s .l,并对这个文件 7 txxdl 的导 出函数进 行一 次封装 ,从而实现 对一些查 询 、读 取 函数
dl 图 1 l 。如 0所示,原始库函数 s0b d . l 7 tx xd 的大小为 175 2 l 15 5
字节,而恶意库函数 大小为 2 8 0 9 0 0字节。
43建立重要 网络应急 响应机制 .
由于网络 安全技术发展 日新月异 ,需要建立重要信 息基础 设 施的应急响应机制,实现对重要 目标或系统 的监测、防护和
42加大信息 网络安全管理 _
加强 国家信息 网络安全管理 ,从 内网和外方两个方 面协调
函数 s0b d .l 的调 用,并 任 意操 作调用。大 多数 对 函数 7 tx xdl
s0b d .l的调用都 被直接发送给被替换了的函数 s0b s . 7 tx xdl 7 tx x
进行 , 对重点信息 网络应 采用 自主可控的信息安全设备及技术 。
它用来与 S t 系列的 P C通信。通常,开发者使用 S L或 i i ma c L T S L语言为设备编程 。程 序通常 被编译 为一种 称为 MC C 7的汇 编代码,被 P C载入 。正常情况下jWiC L n C的 Se tp7软件使
用库 文件 s tx x l来 和 P C通信 。 7 bd . l o d L 将共享库 函数文件 sOb d .l重命名为 s0b s .l 7 tx x l d 7 txxdl ,恶 意软件 伪 装成合 法 的 s0b d .l文件,能 够拦 截 对原始 库 7 t x xdl
tach db wincc sur’ ●xe c m st er - ¥p de -
_
‘ ’ n‘#‘ 缸 , 薯
wenku.baidu.com
臣三三
一
\ 、
us● wlnc c 5 r ■ ec wast er . .
.
de tach db v L ncc sur
ndF
露 一
应 急处 理 ,采 取 技术 手段 实 现 追 踪定 位 、灾 害恢 复 和攻 击 反制 。
同时,建立一种类似西方国家实战演习的工作方式 ,定期 进行 内外网的网络安 全演练,发现技 术、制度上 的薄 弱环节, 及时应对。姆
图1 原始库 函数s Ob d .l 0 7 tx xdl 和恶意库函数s Ob D .l 7 tx xdl 的比较
21 年 第0 期 02 2
d ca e戢 el r d ca e戢 el r
.
vr hr 4 o ) a c a ( c o 。曲 vr hr 4 e ) a c a ( e o ,糖
I t n 。 l tl x s s (eet t x rm 螗 o o fe i t s lc e tfo i t. 射 t t i x s s s l c - F o b s n o F e i t f e e t r n d o.,
l
州
F - —
一 0
L ¨
l
r
H§e last er ●d f
sel ect n a■e F rom Ll 5ter.. ysdata s base s wh ere F ilena ̄
.
1l n ’ ke ts‘
.
ndF 1df
—
t e  ̄ s e , p a t c b ‘ l c s r xc t r. ¥ — t a h d - n c v ‘
的 H o 。sObd .l是 Sm t o k 7 tx x l d i ai c软件 套 装 中一 个共 享 链 接 库 ,
41增加漏洞及其挖掘技术研 究 .
“ 震网”病毒攻击事件后,工业级 的控制软件的安全逐 步 得 到大家 的重 视 ,通过挖 掘发现存 在大量 的零 日 洞。例 如 漏
1
一 — \ — 耀
’
.
1df
X
● ndf mdF
.
.
vecto r<t> too long
2 ̄sxc der
图 1 震 网病 毒 拦 截 W iC 1 L 2 n C¥ C的通 信 1 P
 ̄lncc r conn ect
■aste r
.
4结束语
2 1年 3 01 月,U — ER S C T控制系统安全小组就发现 ,在西 门子 等公 司的多款 S AD C A网络产品中存在 多种漏洞。S AD C A系 统 被广泛 应用在石油 、电力 、水利 等工业领域 ,承担着数 据 采集 、监视控制等各种任务,是 目前应 用最广、技 术发展 最成 熟 的工业控制系统。因此需要大力研究 S A A系统漏洞及其 C D 漏 洞挖掘技术 ,只有充分认识 这些漏洞及其挖 掘技术才 能防 范于未然 ,甚 至为我所用,以其人 之道还治其人之身。
( 责编 程斌 )
系统 遭受攻击后,Se tp7软件调用被 替代的 s0b d .l 7 tx xdl
和 P C通信 ,于是震 网病 毒可 以拦 截任 何来 自其他 软件访问 L P C的命令, L 从而实施侦察攻击。 具体过程如 图1 和图1 1 2所示。
\ tc w nc
sqlol edb
p o i e - 缸 : a a s u c - ; n t a c t l g 缸 ’ u e d s ; a s r - r vd r 。 d t o r e 缸 i i i l a a o -’ ;sr t-t ps  ̄ d
震 网病毒震动了世界工业 界,破灭 了专用网络、专用系统 固有 的安 全基础 ,我们应高度 警惕物理 隔离的专业系统 的网