震網病毒的傳播方式及途徑

　　那麼震網病毒的傳播方式是什麼呢!通過什麼途徑傳播呢!下面由小編給你做出詳細的震網病毒的傳播方式和途徑介紹!希望對你有幫助!

　　震網病毒的傳播方式和途徑介紹：

　　Stuxnet蠕蟲的攻擊目標是SIMATIC WinCC軟體。後者主要用於工業控制系統的資料採集與監控，一般部署在專用的內部區域網中，並與外部網際網路實行物理上的隔離。為了實現攻擊，Stuxnet蠕蟲採取多種手段進行滲透和傳播，如圖3所示。

　　整體的傳播思路是：首先感染外部主機;然後感染U盤，利用快捷方式檔案解析漏洞，傳播到內部網路;在內網中，通過快捷方式解析漏洞、RPC遠端執行漏洞、印表機後臺程式服務漏洞，實現聯網主機之間的傳播;最後抵達安裝了WinCC軟體的主機，展開攻擊。

　　2.3.1. 快捷方式檔案解析漏洞***MS10-046***

　　這個漏洞利用Windows在解析快捷方式檔案***例如.lnk檔案***時的系統機制缺陷，使系統載入攻擊者指定的DLL檔案，從而觸發攻擊行為。具體而言，Windows在顯示快捷方式檔案時，會根據檔案中的資訊尋找它所需的圖示資源，並將其作為檔案的圖示展現給使用者。如果圖示資源在一個DLL檔案中，系統就會載入這個DLL檔案。攻擊者可以構造這樣一個快捷方式檔案，使系統載入指定的DLL檔案，從而執行其中的惡意程式碼。快捷方式檔案的顯示是系統自動執行，無需使用者互動，因此漏洞的利用效果很好。

　　Stuxnet蠕蟲搜尋計算機中的可移動儲存裝置。一旦發現，就將快捷方式檔案和DLL檔案拷貝到其中。如果使用者將這個裝置再插入到內部網路中的計算機上使用，就會觸發漏洞，從而實現所謂的“擺渡”攻擊，即利用移動儲存裝置對物理隔離網路的滲入。

　　拷貝到U盤的DLL檔案有兩個：~wtr4132.tmp和~wtr4141.tmp。後者Hook了kernel32.dll和ntdll.dll中的下列匯出函式：

　　FindFirstFileW FindNextFileW FindFirstFileExWNtQueryDirectoryFile ZwQueryDirectoryFile 實現對U盤中lnk檔案和DLL檔案的隱藏。因此，Stuxnet一共使用了兩種措施***核心態驅動程式、使用者態Hook API***來實現對U盤檔案的隱藏，使攻擊過程很難被使用者發覺，也能一定程度上躲避防毒軟體的掃描。

　　2.3.2. RPC遠端執行漏洞***MS08-067***與提升許可權漏洞

　　這是2008年爆發的最嚴重的一個微軟作業系統漏洞，具有利用簡單、波及範圍廣、危害程度高等特點。

　　具體而言，存在此漏洞的系統收到精心構造的RPC請求時，可能允許遠端執行程式碼。在Windows 2000、Windows XP和Windows Server 2003系統中，利用這一漏洞，攻擊者可以通過惡意構造的網路包直接發起攻擊，無需通過認證地執行任意程式碼，並且獲取完整的許可權。因此該漏洞常被蠕蟲用於大規模的傳播和攻擊。

　　Stuxnet蠕蟲利用這個漏洞實現在內部區域網中的傳播。利用這一漏洞時，如果許可權不夠導致失敗，還會使用一個尚未公開的漏洞來提升自身許可權，然後再次嘗試攻擊。截止本報告發布，微軟尚未給出該提權漏洞的解決方案。

　　2.3.3. 印表機後臺程式服務漏洞***MS10-061***

　　這是一個零日漏洞，首先發現於Stuxnet蠕蟲中。

　　Windows列印後臺程式沒有合理地設定使用者許可權。攻擊者可以通過提交精心構造的列印請求，將檔案傳送到暴露了列印後臺程式介面的主機的%System32%目錄中。成功利用這個漏洞可以以系統許可權執行任意程式碼，從而實現傳播和攻擊。

　　Stuxnet蠕蟲利用這個漏洞實現在內部區域網中的傳播。它向目標主機發送兩個檔案：winsta.exe、sysnullevnt.mof。後者是微軟的一種託管物件格式***MOF***檔案，在一些特定事件驅動下，它將驅使winsta.exe被執行。

　　2.3.4.核心模式驅動程式***MS10-073***

　　2.3.5.任務計劃程式漏洞***MS10-092***

　　2.4 攻擊行為

　　Stuxnet蠕蟲查詢兩個登錄檔鍵來判斷主機中是否安裝WinCC系統：

　　HKLM\SOFTWARE\SIEMENS\WinCC\Setup

　　HKLM\SOFTWARE\SIEMENS\STEP7

　　查詢登錄檔，判斷是否安裝WinCC

　　一旦發現WinCC系統，就利用其中的兩個漏洞展開攻擊：

　　一是WinCC系統中存在一個硬編碼漏洞，儲存了訪問資料庫的預設賬戶名和密碼，Stuxnet利用這一漏洞嘗試訪問該系統的SQL資料庫***圖9***。

　　二是在WinCC需要使用的Step7工程中，在開啟工程檔案時，存在DLL載入策略上的缺陷，從而導致一種類似於“DLL預載入攻擊”的利用方式。最終，Stuxnet通過替換Step7軟體中的s7otbxdx.dll，實現對一些查詢、讀取函式的Hook。

　　2.5 樣本檔案的衍生關係

　　本節綜合介紹樣本在上述複製、傳播、攻擊過程中，各檔案的衍生關係。

　　如圖10所示。樣本的來源有多種可能。

　　對原始樣本、通過RPC漏洞或列印服務漏洞傳播的樣本，都是exe檔案，它在自己的.stud節中隱形載入模組，名為“kernel32.dll.aslr.<隨機數字>.dll”。

　　對U盤傳播的樣本，當系統顯示快捷方式檔案時觸發漏洞，載入~wtr4141.tmp檔案，後者載入一個名為“shell32.dll.aslr.<隨機數字>.dll”的模組，這個模組將另一個檔案~wtr4132.tmp載入為“kernel32.dll.aslr.<隨機數字>.dll”。

　　樣本檔案衍生的關係

　　模組“kernel32.dll.aslr.<隨機數字>.dll”將啟動後續的大部分操作，它匯出了22個函式來完成惡意程式碼的主要功能;在其資源節中，包含了一些要衍生的檔案，它們以加密的形式被儲存。

　　其中，第16號匯出函式用於衍生本地檔案，包括資源編號201的mrxcls.sys和編號242的mrxnet.sys兩個驅動程式，以及4個.pnf檔案。

　　第17號匯出函式用於攻擊WinCC系統的第二個漏洞，它釋放一個s7otbxdx.dll，而將WinCC系統中的同名檔案修改為s7otbxsx.dll，並對這個檔案的匯出函式進行一次封裝，從而實現Hook。

　　第19號匯出函式負責利用快捷方式解析漏洞進行傳播。它釋放多個lnk檔案和兩個副檔名為tmp的檔案。

　　第22號匯出函式負責利用RPC漏洞和列印服務漏洞進行傳播。它釋放的檔案中，資源編號221的檔案用於RPC攻擊、編號222的檔案用於列印服務攻擊、編號250的檔案用於提權。

”人還：