課件：震網(wǎng)病毒

1、 工業(yè)控制系統(tǒng)破壞性病毒 Stuxnet蠕蟲病毒Stuxnet簡(jiǎn)介Stuxnet特點(diǎn) Stuxnet運(yùn)行環(huán)境 攻擊原理及傳染方式查殺及預(yù)防stuxnet目錄 Stuxnet蠕蟲病毒（超級(jí)工廠病毒）又名“震網(wǎng)”，是世界上首個(gè)專門針對(duì)工業(yè)控制系統(tǒng)編寫的破壞性病毒。 Stuxnet已經(jīng)感染了全球超過 45000個(gè)網(wǎng)絡(luò)，60% 的個(gè) 人電腦感染了這種病毒。 傳播途徑：該病毒主要通過U盤和局域網(wǎng)進(jìn)行傳播。 “歷史貢獻(xiàn)”：曾造成伊朗核電站推遲發(fā)電。 Stuxnet簡(jiǎn)介 Stuxnet能夠利用5個(gè)針對(duì)windows系統(tǒng)和兩個(gè)針對(duì)西門子SIMATIC WinCC系統(tǒng)的漏洞進(jìn)行攻擊。 特別是針對(duì)西門子公司的SI

2、MATIC WinCC過程監(jiān)控與數(shù)據(jù)采集 (SCADA) 系統(tǒng)的攻擊。由于該系統(tǒng)在我國被廣泛用于鋼鐵、電力、能源、化工等的人機(jī)交互與監(jiān)控。一旦攻擊成功，代價(jià)慘重。Stuxnet簡(jiǎn)介 震網(wǎng)病毒最大的特點(diǎn)：打破惡意程序只攻擊用戶電腦的“慣例”，將攻擊目標(biāo)偏向于用戶的生活與生存環(huán)境上來。一旦用戶的電腦不幸遭受超級(jí)工廠病毒Stuxnet入侵，不但會(huì)使用戶電腦變成任由其擺布的“肉雞，嚴(yán)重影響到用戶的日常生活，而且還會(huì)引發(fā)“多米諾骨牌效應(yīng)”，導(dǎo)致與受害用戶聯(lián)網(wǎng)的人群遭受同樣攻擊。stuxnet特點(diǎn) Stuxnet在以下操作系統(tǒng)中可以激活運(yùn)行： Windows 2000、Windows Server 200

3、0 Windows XP、Windows Server 2003 Windows Vista Windows 7、Windows Server 2008 當(dāng)它發(fā)現(xiàn)自己運(yùn)行在非Windows NT系列操作系統(tǒng)中，即刻退出。被攻擊的軟件系統(tǒng)包括： SIMATIC WinCC 7.0 SIMATIC WinCC 6.2 stuxnet運(yùn)行環(huán)境U盤傳播工具Stuxnet的攻擊目標(biāo)主要是SIMATIC WinCC軟件，主要用于工業(yè)控制系統(tǒng)的數(shù)據(jù)采集與監(jiān)控，一般部署在專用的內(nèi)部局域網(wǎng)中，并與外部互聯(lián)網(wǎng)實(shí)行物理上的隔離。為了實(shí)現(xiàn)攻擊，Stuxnet蠕蟲采取多種手段進(jìn)行滲透和傳播，如圖所示：stuxnet傳播

4、方式HKLMSOFTWARESIEMENSSTEP7 HKLMSOFTWARESIEMENSWinCCSetup WinCC stuxnet注冊(cè)表是否存在DLL加載策略上的缺陷WinCC系統(tǒng)中硬編碼漏洞硬編碼漏洞：Stuxnet利用這一漏洞嘗試訪問該系統(tǒng)的SQL數(shù)據(jù)庫DLL加載策略上的缺陷：Stuxnet通過替換Step7軟件中的s7otbxdx.dll，實(shí)現(xiàn)對(duì)一些查詢、讀取函數(shù)的Hook。 Stuxnet蠕蟲查詢兩個(gè)注冊(cè)表來判斷主機(jī)中是否安裝WinCC系統(tǒng)： HKLMSOFTWARESIEMENSWinCCSetup HKLMSOFTWARESIEMENSSTEP7一旦發(fā)現(xiàn)WinCC系統(tǒng)，就

5、利用其中的兩個(gè)漏洞展開攻擊：1.WinCC系統(tǒng)中存在一個(gè)硬編碼漏洞，保存了訪問數(shù)據(jù)庫的默認(rèn)賬戶名和密碼，Stuxnet利用這一漏洞嘗試訪問該系統(tǒng)的SQL數(shù)據(jù)庫。2.在需要使用的Step7工程中，在打開工程文件時(shí)，存在DLL加載策略上的缺陷，從而導(dǎo)致一種類似于“DLL預(yù)加載攻擊”的利用方式。最終，Stuxnet通過替換Step7軟件中的s7otbxdx.dll，實(shí)現(xiàn)對(duì)一些查詢、讀取函數(shù)的Hook。樣本的典型運(yùn)行流程mrxnet.sys通過修改一些內(nèi)核調(diào)用來隱藏被拷貝到U盤的lnk文件和DLL文件 特點(diǎn)：簡(jiǎn)單 、波及范圍廣、危害程度高 存在此漏洞的系統(tǒng)收到精心構(gòu)造的RPC請(qǐng)求時(shí)，可允許遠(yuǎn)程執(zhí)行代碼

6、。在Windows 2000、Windows XP和Windows Server 2003系統(tǒng)中，利用這一漏洞，攻擊者可以通過惡意構(gòu)造的網(wǎng)絡(luò)包直接發(fā)起攻擊，無需通過認(rèn)證地運(yùn)行任意代碼，并且獲取完整的權(quán)限。因此該漏洞常被蠕蟲用于大規(guī)模的傳播和攻擊。 Stuxnet利用這一漏洞時(shí)，如果權(quán)限不夠?qū)е率。€會(huì)使用一個(gè)尚未公開的漏洞來提升自身權(quán)限，然后再次嘗試攻擊。 這個(gè)漏洞利用Windows在解析快捷方式文件（例如.lnk文件）時(shí)的系統(tǒng)機(jī)制缺陷，使系統(tǒng)加載攻擊者指定的DLL文件，從而觸發(fā)攻擊行為。Stuxnet蠕蟲搜索計(jì)算機(jī)中的可移動(dòng)存儲(chǔ)設(shè)備 Windows打印后臺(tái)程序沒有合理地設(shè)置用戶權(quán)限Stuxnet蠕蟲利用這個(gè)漏洞實(shí)現(xiàn)在內(nèi)部局域網(wǎng)中的傳播。1.使用相關(guān)專殺工具或手工清除Stuxnet蠕蟲2. 安裝被利用漏洞的系統(tǒng)補(bǔ)丁3.安裝西門子發(fā)布的WinCC系統(tǒng)安全更新補(bǔ)丁1.使用Atool管理工具，結(jié)束系統(tǒng)中的父進(jìn)程不是winlogon.exe的所有l(wèi)sass.exe進(jìn)程2. 刪除下列注冊(cè)表項(xiàng)： HKEY_LOC