震網病毒的背景

　　世界上每天都有新病毒產生，大部分都是青少年的惡作劇，少部分則是犯罪分子用來盜取個人資訊的工具，震網病毒也許只是其中之一，它的背景是什麼樣的呢!下面由小編給你做出詳細的震網病毒背景介紹!希望對你有幫助!

　　震網病毒背景介紹：

　　首先，它利用了4個Windows零日漏洞。零日漏洞是指軟體中剛剛被發現、還沒有被公開或者沒有被修補的漏洞。零日漏洞可以大大提高電腦入侵的成功率，具有巨大的經濟價值，在黑市上，一個零日漏洞通常可以賣到幾十萬美元。即使是犯罪集團的職業黑客，也不會奢侈到在一個病毒中同時用上4個零日漏洞。僅此一點，就可以看出該病毒的開發者不是一般黑客，它具備強大的經濟實力。並且，開發者對於攻擊目標懷有志在必得的決心，因此才會同時用上多個零日漏洞，確保一擊得手。

　　其次，它具備超強的USB傳播能力。傳統病毒主要是通過網路傳播，而震網病毒大大增強了通過USB介面傳播的能力，它會自動感染任何接入的U盤。在病毒開發者眼中，似乎病毒的傳播環境不是真正的網際網路，而是一個網路連線受到限制的地方，因此需要靠USB口來擴充傳播途徑。

　　最奇怪的是，病毒中居然還含有兩個針對西門子工控軟體漏洞的攻擊，這在當時的病毒中是絕無僅有的。從網際網路的角度來看，工業控制是一種恐龍式的技術，古老的通訊方式、隔絕的網路連線、龐大的系統規模、緩慢的技術變革，這些都讓工控系統看上去跟網際網路截然不同。此前從沒人想過，在網際網路上氾濫的病毒，也可以應用到工業系統中去。

　　5深度分析編輯

　　第一章 事件背景

　　2010年10月，國內外多家媒體相繼報道了Stuxnet蠕蟲對西門子公司的資料採集與監控系統SIMATIC WinCC進行攻擊的事件，稱其為“超級病毒”、“超級工廠病毒”，並形容成“超級武器”、“潘多拉的魔盒”。

　　Stuxnet蠕蟲***俗稱“震網”、“雙子”***在2003年7月開始爆發。它利用了微軟作業系統中至少4個漏洞，其中有3個全新的零日漏洞;偽造驅動程式的數字簽名;通過一套完整的入侵和傳播流程，突破工業專用區域網的物理限制;利用WinCC系統的2個漏洞，對其開展破壞性攻擊。它是第一個直接破壞現實世界中工業基礎設施的惡意程式碼。據賽門鐵克公司的統計，截止到2010年09月全球已有約45000個網路被該蠕蟲感染，其中60%的受害主機位於伊朗境內。伊朗政府已經確認該國的布什爾核電站遭到Stuxnet蠕蟲的攻擊。

　　安天實驗室於7月15日捕獲到Stuxnet蠕蟲的第一個變種，在第一時間展開分析，釋出了分析報告及防範措施，並對其持續跟蹤。截止至本報告發布，安天已經累計捕獲13個變種、600多個不同雜湊值的樣本實體。

　　第二章 樣本典型行為分析

　　2.1 執行環境

　　Stuxnet蠕蟲在以下作業系統中可以啟用執行：

　　Windows 2000、Windows Server 2000

　　Windows XP、Windows Server 2003

　　Windows Vista

　　Windows 7、Windows Server 2008

　　當它發現自己執行在非Windows NT系列作業系統中，即刻退出。

　　被攻擊的軟體系統包括：

　　SIMATIC WinCC 7.0

　　SIMATIC WinCC 6.2

　　但不排除其他版本存在這一問題的可能。

　　2.2 本地行為

　　樣本被啟用後，典型的執行流程如圖1 所示。

　　樣本首先判斷當前作業系統型別，如果是Windows 9X/ME，就直接退出。

　　接下來載入一個主要的DLL模組，後續的行為都將在這個DLL中進行。為了躲避查殺，樣本並不將DLL模組釋放為磁碟檔案然後載入，而是直接拷貝到記憶體中，然後模擬DLL的載入過程。

　　具體而言，樣本先申請足夠的記憶體空間，然後Hookntdll.dll匯出的6個系統函式：

　　ZwMapViewOfSection

　　ZwCreateSection

　　ZwOpenFile

　　ZwClose

　　ZwQueryAttributesFile

　　ZwQuerySection

　　為此，樣本先修改ntdll.dll檔案記憶體映像中PE頭的保護屬性，然後將偏移0x40處的無用資料改寫為跳轉程式碼，用以實現hook。

　　進而，樣本就可以使用ZwCreateSection在記憶體空間中建立一個新的PE節，並將要載入的DLL模組拷貝到其中，最後使用LoadLibraryW來獲取模組控制代碼。

　　此後，樣本跳轉到被載入的DLL中執行，衍生下列檔案：

　　%System32%\drivers\mrxcls.sys %System32%\drivers\mrxnet.sys%Windir%\inf\oem7A.PNF%Windir%\inf\mdmeric3.PNF %Windir%\inf\mdmcpq3.PNF%Windir%\inf\oem6C.PNF 　其中有兩個驅動程式mrxcls.sys和mrxnet.sys，分別被註冊成名為MRXCLS和MRXNET的系統服務，實現開機自啟動。這兩個驅動程式都使用了Rootkit技術，並有數字簽名。

　　mrxcls.sys負責查詢主機中安裝的WinCC系統，並進行攻擊。具體地說，它監控系統程序的映象載入操作，將儲存在%Windir%\inf\oem7A.PNF中的一個模組注入到services.exe、S7tgtopx.exe、CCProjectMgr.exe三個程序中，後兩者是WinCC系統執行時的程序。

　　mrxnet.sys通過修改一些核心呼叫來隱藏被拷貝到U盤的lnk檔案和DLL檔案。

”人還：