【安全技术】震网(Stuxnet)病毒深度解析:首个攻击真实世界基础设施的病毒(1)【原创分析】

举报
云存储开发者支持团队 发表于 2023/01/13 15:43:03 2023/01/13
【摘要】 第一章 震网病毒背景【源自网络】  2006年,伊朗重启核计划,在纳坦兹建立核工厂,安装大量离心机生产浓缩铀。2010年1月,联合国负责核查伊朗核设施的国际原子能机构(IAEA)发现纳坦兹核工厂出现问题,原本预期使用寿命10年的IR-1型离心机大规模故障,但是谁都说不清楚到底是什么原因导致的。伊朗纳坦兹核工厂  2010年6月,白俄罗斯一家小型反病毒公司VirusBlockAda的技术负责人...

第一章 震网病毒背景【源自网络】

  2006年,伊朗重启核计划,在纳坦兹建立核工厂,安装大量离心机生产浓缩铀。20101月,联合国负责核查伊朗核设施的国际原子能机构(IAEA)发现纳坦兹核工厂出现问题,原本预期使用寿命10年的IR-1型离心机大规模故障,但是谁都说不清楚到底是什么原因导致的。

https://pic3.zhimg.com/80/v2-a8407df351a897f77bd88731f3410572_720w.jpg

伊朗纳坦兹核工厂

  20106月,白俄罗斯一家小型反病毒公司VirusBlockAda的技术负责人舍基·乌尔森(Sergey Ulasen),在分析伊朗计划上上的恶意文件时,发现该恶意文件异常复杂,不仅有效利用了"内核极"后门来躲过反病毒引擎的扫描,还利用了多个"零日漏洞"zero-day 来突破Windows系统,但是由于力不从心,没有完全破译该恶意代码。2010712日,乌尔森将该发现发布在一个英文安全论坛上。

https://pics3.baidu.com/feed/b3119313b07eca803ca5f15857acdcdaa0448300.jpeg?token=d8b16b911c7e9138e383561315db9bdb

舍基·乌尔森(SergeyUlasen

  全球安全业界开始对这个病毒进行分析和破译。同时,微软将该病毒命名为:震网(Stuxnet)。通过分析发现,该病毒的隐蔽性、先进性和复杂性远远超过人们的想象。

  据国外一些报道称,该病毒是由美国和以色列的程序员共同编写,其中攻击的西门子工控系统的技术规范由德国提供,西门子工控系统被广泛应用于伊朗核设施中。在以色列的迪莫诺,构建了西门子控制器和IR-1型离心机的试验系统,对该病毒进行了测试,英国政府也参与了试验,试验完成后,荷兰情报人员作为离心机的技术咨询工程师,将病毒植入到核设施中。

  震网病毒主要是通过改变离心机的转速,来破坏离心机,并影响生产的浓缩铀质量。

震网病毒

离心机被故障

  震网病毒原本的设计是定向攻击,作为网络武器来使用,算是APT攻击的鼻祖。之所以被发现,是因为开发震网病毒的程序员在编程的时候,错误的将andor用错,导致病毒可以感染任何版本的Windows系统,最终在20106月被捕获。

第二章 震网病毒逆向深入分析【个人原创分析,非授权请勿转载

震网病毒结构与运行流程

震网病毒主要包含6个文件,4个快捷方式图标文件,利用LNK漏洞从U盘自动感染计算机,两个tmp文件,用于初始化和安装震网病毒。

震网病毒共利用了7个漏洞,其中40 Day漏洞:

CVE-2008-4250(MS-08-067)-Windows Server Service NetPathCanonicalize()

CVE-2010-2772 WinCC default password

CVE-2012-3015 Step 7 Insecure Library Loading

CVE-2010-2568(MS-10-046)-Windows Shell LNK Vulnerability (O day)

CVE-2010-2743(MS-10-073)-Win32K.sys Local Privilege Escalation (O day)

CVE-2010-3888(MS-10-092) Task Scheduler vulnerability (O day)

CVE-2010-2729(MS-10-061)-Windows Print Spooler Service Remote Code Execution (O day)

震网病毒隐藏在U盘中,当U盘插入到计算机上时,利用LNK漏洞会自动感染Windows系统,感染执行后,通过Ring3 Hook Ntdll实现在内存中加载~WTR4141.tmp文件,Ring3 Hook Kernel32Ntdll实现*.tmp*.lnk文件隐藏。进而通过内存LoadLibrary加载~WTR4132.tmp文件,提取出核心的Main.dll,在内存中加密、脱壳、加载Main.dll,初始化安装震网病毒,注入进程、注册服务,释放资源文件,最终震网病毒以服务运行。服务运行时,会攻击西门子WinCC工控系统软件,通过该软件最终攻击PLC,让离心机异常工作,导致离心机快速故障。

Call#15初始化安装Stuxnet

Main.dll被加载的时候,导出表#15第一个被调用。#15主要负责检查Stuxnet是否运行在一个合适的系统中,检测当前系统是否已被感染,把当前进程权限提升到系统权限,检测系统中安装的杀毒软件版本,选择把DLL注入到哪个进程中;把DLL注入到选择的进程中,然后调用#16

#15的第一个任务是检查配置数据(configuration data)是否是最新的。配置数据可以被存储到两个位置。Stuxnet检查最新的配置数据并且执行。然后Stuxnet检查是否运行在一个32位的系统中,如果运行在64位系统中则退出,同时也检查操作系统的版本,Stuxnet只能运行在以下版本的操作系统中:

         Win2K

         WinXP

         Windows 2003

         Vista

         Windows Server 2008

         Windows 7

         Windows Server 2008 R2

接着检查当前进程是否具有Administrator权限,如果没有则会利用0-day漏洞提升运行权限。如果当前操作系统是Windows VistaWindows 7Windows Server 2008 R2,则利用Task Scheduler Escalation of Privilege来提升权限;如果操作系统是Windows XPWin2K则利用Windows Win32k.sys Local Privilege Escalation(MS10-073)漏洞提升权限。

如果代码运行成功,如果利用win32k.sys漏洞,主DLL文件作为一个新进程运行,如利用Task Scheduler,主dll运行在csrss.exe进程中。

Win32k.sys漏洞利用的代码在资源文件#250中,

当导出表#15运行检查都通过后,#16运行。#16Stuxnet的主安装程序。它检查日期和操作系统的版本,解密、创建并安装rootkit文件和注册表项;并把自己注入到services.exe中,以便感染移动存储设备;把自己注入到Step7的进程中感染所有的Step7工程;建立全局互斥量(mutexes)用于不同组件之间的通信;连接RPC服务器。

Call#16安装Stuxnet

#16首先检查配置数据是否有效,然后检查注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\MS-DOS Emulation中的NTVDM TRACE值是否是19790509,如果是则退出。该项应该是是否允许感染的标识。然后读取配置数据中的日期(配置数据偏移0x8c)和当前系统日期对比,如果当前日期比配置数据中的时间晚,则退出;配置数据中的日期是2012-6-24

Stuxnet的各个组件之间的通信采用全局互斥信号量,当在Windows Xp中时调用SetSecurityDescriptorDacl创建这些互斥信号量;在Windows VistaWindows 7WindowsServer2008中调用SetSecurityDescriptorSacl创建,用此方法可以降低系统完整性检测,保证代码写操作被拒绝。

       然后Stuxnet创建3个加密的文件,这些文件来自.stub节。然后将他们保存到磁盘。

Ø  Stuxnet主要攻击载荷文件保存为Oem7a.pnf

Ø  一个90个字节的数据被保存到%SystemDrive%\inf\mdmeric3.PNF中;

Ø  配置数据被拷贝到%SystemDrive%\inf\mdmcpq3.PNF中;

Ø  一个日志文件被拷贝到%SystemDrive%\inf\oem6C.PNF中;

接着Stuxnet检查系统时间,确保它在2012624号以前。然后通过读取存并解密储到硬盘中的版本信息,来检查自己和保存到磁盘上的加密代码是否是最新的。此功能是通过#6实现的。

版本检查通过后,Stuxnet从资源文件中(#201#242)释放、解码并将内容写2个文件中:Mrxnet.sysMrxcls.sys;它们是两个驱动文件:一个用于Stuxnet的加载点(Load point),另一个用于隐藏磁盘中恶意文件。并且这两个文件的时间和系统目录中的其他文件时间一致,以免引起怀疑;然后创建注册表项指向这两个驱动文件,将它们注册为服务项,以便开机的时候就启动这2个服务。一旦Stuxnet创建的这个Rootkit正确安装后,会产生一些全局信号量,表明安装成功。

Stuxnet接着采用另外的2个导入函数(exports)继续完成安装和感染(infection)过程。

(1)然后把payload .dll注入到services.exe中并且调用#32(感染可移动存储设备和启动RPC服务)

(2)payload .dll注入到Step7的进程:S7tgtopx.exe中并且调用#2(用于感染Step7工程文件),为使这一步成功,Stuxnet可能需要杀掉explorer.exeS7tgtopx.exe进程,如果他们在运行中的话。

Stuxnet的通过上述的两种payload .dll注入和创建的服务及驱动文件运行起来。

Stuxnet将等待一段短暂时间后才试图连接RPC服务(#32开启的),将调用0号函数检查连接是否成功并且调用9号函数接收一些数据存储到oem6c.pnf中。

至此,所有默认的传播方式和攻击载荷已经被激活。

 

Stuxnet攻击西门子PLC流程

攻击PLC过程

(1)    恶意DLLs7otbxdx.dll重命名为s7otbxsx.dll,用定制的DLL替代s7otbxdx.dll,该定制DLL主要重写s7otbxsx.dll 109个中的16个涉及读、写和枚举代码块的导出函数,其他导出函数还是由s7otbxdx.dll提供;

(2)    震网根据不同目标系统的特征选择不同的代码来感染PLC,一个感染的序列包含注入到PLC中的代码块和数据块,来改变PLC行为,主要有三种感染序列,其中两种比较相似,功能相同,标记为序列AB,另外一种标记为序列C

(3)    如果s7otbxdx.dll是运行在ccrtsloader.exe文件中,替换后的s7otbxdx.dll启动两个线程感染特定的PLC

线程1:(每15分钟运行一次;感染含有特定SDB特征的6ES7-315-2 PLC

(a)    通过s7ag_read检测PLC类型,必须为6ES7-315-2

(b)    检测SDB块来确定PLC是否被感染以及选择写入哪个序列(AB);

Ø  枚举、解析SDB(系统数据块),寻找一个偏移50h DWORD的地方等于0100CB2ChSDB;(说明使用的是Profibus communications processor module CP 342-5。)

Ø  SDB中搜索特定的值7050h9500h,只有当两个值出现在总数大于等于33时才满足感染要求;(7050h代表KFC750V3变频驱动器,9500h代表Vacon NX频率转换驱动器。)

(c)    按照序列AB进行感染:

Ø  拷贝DP_RECV块到FC1869,然后用定制的块替换DP_RECV块;(DP_RECV是网络协处理器使用的标准代码块的名称,用来接收Profibus上的网络帧。每次接收包时,定制块会调用FC1869中原始的DP_RECV进行处理,然后对包数据进行一些后处理。)

Ø  将一些定制块写入到PLC20个);

Ø  感染OB1,使每个周期开始先执行恶意代码;(首先增加原始块的大小;然后将定制代码写入到块的开头;最后将原始的OB1代码插入到定制代码后面。)

Ø  感染OB35;(和OB1相同,采用code-prepending感染技术)

线程2:(每5分钟查询一次;保证攻击同时进行)

(a)    监控、查询总线上的每个特定PLC(如S7-315)中被线程1成功注入的数据块DB890

(b)    当达到特定条件,启动破坏例程时,该线程向所有监控的PLC中的DB890写入数据,使同一总线上的PLC同时发起破坏攻击。

(4)    某些条件下,会将序列C写入PLC,针对6ES7-417,更为复杂;

(5)    破坏:(在不同时间降低或增加马达频率)

(a)    确定正常的操作频率:807-1210Hz

(b)    将频率设定为1410Hz

(c)    恢复正常操作;

(d)    大约27天后,先将频率设为2Hz,然后设为1064Hz

(e)    恢复正常操作;

重复上述过程。

 

第三章 震网病毒重现

【篇幅原因,请关注后续文章】

【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

举报
请填写举报理由
0/200