¿El trasfondo del virus Stuxnet?
Cada día se crean nuevos virus en el mundo. La mayoría de ellos son bromas de adolescentes, y algunos son herramientas utilizadas por delincuentes para robar información personal. uno de ellos, ¿cómo es su trasfondo? ¡Permítame brindarle una introducción detallada sobre el virus Stuxnet! Espero que le resulte útil
Introducción básica sobre el virus Stuxnet:
p>Primero, explota 4 vulnerabilidades de día cero de Windows. Las vulnerabilidades de día cero se refieren a vulnerabilidades en software que acaban de ser descubiertas, aún no han sido reveladas o no han sido parcheadas. Las vulnerabilidades de día cero pueden aumentar considerablemente la tasa de éxito de la intrusión informática y tienen un enorme valor económico. En el mercado negro, una vulnerabilidad de día cero normalmente puede venderse por cientos de miles de dólares. Ni siquiera los hackers profesionales de grupos criminales podrían darse el lujo de utilizar cuatro vulnerabilidades de día cero en un virus al mismo tiempo. Solo desde este punto, se puede ver que el desarrollador del virus no es un hacker común y corriente, pero tiene una gran fortaleza económica. Además, los desarrolladores están decididos a ganar el objetivo del ataque, por lo que utilizan múltiples vulnerabilidades de día cero al mismo tiempo para garantizar el éxito de un solo golpe.
En segundo lugar, tiene potentes capacidades de comunicación USB. Los virus tradicionales se propagan principalmente a través de Internet, pero el virus Stuxnet ha mejorado enormemente su capacidad de propagarse a través de la interfaz USB. Infectará automáticamente cualquier unidad flash USB conectada. A los ojos de los desarrolladores de virus, parece que el entorno de propagación de los virus no es Internet real, sino un lugar donde las conexiones de red están restringidas, por lo que se necesitan puertos USB para ampliar los canales de transmisión.
Lo más extraño es que el virus en realidad contiene dos ataques dirigidos a las vulnerabilidades del software de control industrial de Siemens, algo único entre los virus en ese momento. Desde la perspectiva de Internet, el control industrial es una tecnología similar a un dinosaurio. Los métodos de comunicación antiguos, las conexiones de red aisladas, la enorme escala del sistema y los lentos cambios tecnológicos hacen que los sistemas de control industrial parezcan diferentes a Internet. Nadie había pensado hasta ahora que los virus que abundan en Internet también podrían aplicarse a los sistemas industriales.
5 Editor de análisis en profundidad
Capítulo 1 Antecedentes del evento
En octubre de 2010, muchos medios nacionales y extranjeros informaron sobre el uso de datos de Siemens por parte del gusano Stuxnet. El ataque al sistema de recopilación y vigilancia SIMATIC WinCC fue calificado de "supervirus", "supervirus de fábrica" y descrito como "superarma" y "caja de Pandora".
El ataque del gusano Stuxnet, comúnmente conocido como ataques "Stuxnet" y "Gemini", comenzó a estallar en julio de 2003. Explota al menos 4 vulnerabilidades en el sistema operativo de Microsoft, incluidas 3 nuevas vulnerabilidades de día cero; falsifica la firma digital del controlador; rompe las limitaciones físicas de la red de área privada industrial mediante un conjunto completo de usos de intrusión y propagación; WinCC Dos vulnerabilidades en el sistema permiten ataques destructivos. Es el primer código malicioso que daña directamente la infraestructura industrial del mundo real. Según estadísticas de Symantec, hasta septiembre de 2010, aproximadamente 45.000 redes en todo el mundo habían sido infectadas por este gusano y el 60% de los hosts víctimas se encontraban en Irán. El gobierno iraní ha confirmado que la central nuclear de Bushehr fue atacada por el gusano Stuxnet.
Anty Labs capturó la primera variante del gusano Stuxnet el 15 de julio, llevó a cabo análisis de inmediato, publicó informes de análisis y medidas preventivas, y continuó su seguimiento. Hasta la publicación de este informe, Antiy ha capturado un total de 13 variantes y más de 600 entidades de muestra con diferentes valores hash.
Capítulo 2 Ejemplo de análisis de comportamiento típico
2.1 Entorno de ejecución
El gusano Stuxnet se puede ejecutar en los siguientes sistemas operativos:
Windows 2000, Windows Server 2000
Windows XP, Windows Server 2003
Windows Vista
Windows 7, Windows Server 2008
Cuando se encontró Si lo ejecuta en un sistema operativo que no sea Windows NT, se cerrará inmediatamente.
Los sistemas software atacados incluyen:
SIMATIC WinCC 7.0
SIMATIC WinCC 6.2
Pero no se descarta que otras versiones Es posible que tenga este problema.
2.2 Comportamiento local
Una vez habilitado el ejemplo, el proceso de ejecución típico se muestra en la Figura 1.
El ejemplo primero determina el tipo de sistema operativo actual. Si es Windows 9X/ME, saldrá directamente.
A continuación, cargue un módulo DLL principal y todas las acciones posteriores se realizarán en este DLL. Para evitar la detección, la muestra no libera el módulo DLL como un archivo de disco y luego lo carga, sino que lo copia directamente en la memoria y luego simula el proceso de carga de la DLL.
Específicamente, el ejemplo primero solicita suficiente espacio de memoria y luego exporta 6 funciones del sistema desde Hookntdll.dll:
ZwMapViewOfSection
ZwCreateSection
ZwOpenFile
ZwClose
ZwQueryAttributesFile
ZwQuerySection
Para hacer esto, el ejemplo primero modifica la memoria del archivo ntdll.dll La protección atributo del encabezado PE en la imagen y luego reescribe los datos inútiles en el desplazamiento 0x40 en el código de salto para implementar el enlace.
Además, la muestra puede usar ZwCreateSection para crear una nueva sección PE en el espacio de memoria, copiar el módulo DLL que se cargará en ella y finalmente usar LoadLibraryW para obtener el código de control del módulo.
Después de eso, el ejemplo salta a la DLL cargada para su ejecución y se derivan los siguientes archivos:
%System32%\drivers\mrxcls.sys %System32%\drivers\mrxnet .sys %Windir%\inf\oem7A.PNF%Windir%\inf\mdmeric3.PNF %Windir%\inf\mdmcpq3.PNF%Windir%\inf\oem6C.PNF Hay dos controladores mrxcls.sys y mrxnet.sys, Están registrados como servicios del sistema denominados MRXCLS y MRXNET respectivamente para realizar un inicio automático en el arranque. Ambos controladores utilizan tecnología rootkit y están firmados digitalmente.
mrxcls.sys es responsable de consultar el sistema WinCC instalado en el host y realizar ataques. Específicamente, monitorea la operación de carga de imágenes del programa del sistema e inyecta un módulo almacenado en %Windir%\inf\oem7A.PNF en tres programas: services.exe, S7tgtopx.exe y CCProjectMgr.exe. Los dos últimos son programas ejecutados. por el sistema WinCC.
mrxnet.sys oculta los archivos lnk y los archivos DLL copiados en la unidad flash USB modificando algunas llamadas principales. "La gente también: