江民公司於2010年7月20日開始截獲Worm/Stuxnet蠕蟲家族變種。Worm/Stuxnet利用多種Windows系統漏洞進行傳播,試圖攻擊西門子SIMATIC WinCC監控與資料獲取(SCADA)系統。西門子SIMATIC WinCC SCADA系統用於工業控制領域,一旦運行該系統的伺服器感染了Worm/Stuxnet,工業控制指令和資料等資訊可能被病毒攔截、竊取或修改。此外,該蠕蟲還會從網際網路進行更新和接收駭客命令,使感染主機被駭客遠端完全控制,成為“僵屍電腦”。 下面是詳細技術分析報告。
一、傳播途徑
1,利用Windows Shell快捷方式漏洞(MS10-046)和USB碟傳播 USB碟傳播是Worm/Stuxnet主要傳播途徑之一。病毒會在移動存儲設備的根目錄下創建如下病毒檔: ~WTR4132.tmp ~WTR4141.tmp 同時,還會創建下列快捷方式檔,指向~WTR4141.tmp文件: Copy of Shortcut to.lnk Copy of Copy of Shortcut to.lnk Copy of Copy of Copy of Shortcut to.lnk Copy of Copy of Copy of Copy of Shortcut to.lnk 在沒有安裝MS10-046補丁的Windows系統中上使用被感染的USB碟時,只需在資源管理器中訪問USB碟根目錄,即會自動載入病毒模組~WTR4141.tmp,~WTR4141.tmp進而載入~WTR4132.tmp,造成系統感染。
2,利用MS10-061漏洞和WBEM傳播 病毒會利用Windows Spooler漏洞(MS10-061),攻擊區域網路上開啟了“檔和印表機共用”的機器。被成功攻陷的電腦上會生成2個病毒檔: %SystemDir%\winsta.exe %SystemDir%\wbem\mof\sysnullevnt.mof %SystemDir%\wbem\mof\sysnullevnt.mof將會在某時刻自動執行%SystemDir%\winsta.exe(即病毒檔),造成感染。
3,利用共用檔夾傳播 病毒掃描區域網路機器的預設共用C$和admin$,並嘗試在遠端電腦上創建病毒檔: DEFRAG<亂數字>.TMP 檔創建成功後,病毒會再遠端創建一個計畫任務,來定時啟動病毒體。
4,利用MS08-067漏洞傳播 病毒向存在MS08-067漏洞的遠端電腦發送惡意RPC請求,一旦攻擊成功,即可完全控制被攻擊電腦,進行感染。
二、隱藏自身
1,用戶層隱藏 病毒檔~WTR4141.tmp從USB碟被載入後,對下列系統API進行Hook: FindFirstFileW FindNextFileW FindFirstFileExW NtQueryDirectoryFile ZwQueryDirectoryFile 企圖隱藏病毒在USB碟上的病毒檔。用戶使用Windows資源管理器或其他使用用戶層API查看檔目錄的工具,都無法看到病毒檔的存在。
2,驅動層隱藏 病毒釋放出檔系統過濾驅動mrxnet.sys,從內核層面對病毒檔進行隱藏。驅動層隱藏在功能目的上,與上述用戶層隱藏是一致的。 Worm/Stuxnet會為mrxnet.sys創建一個系統服務,服務名為MRXNET,每次系統啟動時自動載入。
三、攻擊西門子SIMATIC WinCC SCADA系統 Mrxcls.sys是病毒釋放出來的另一個驅動程式,病毒也為它建立了一個名為MRXCLS的服務,負責在Windows啟動時自動載入該驅動。 Mrxcls.sys將會向名稱為services.exe,S7tgtopx.exe,CCProjectMgr.exe的進程中注入並執行病毒代碼。S7tgtopx.exe和CCProjectMgr.exe都是與西門子系統相關的進程。被注入的代碼尋找名為“s7otbxsx.dll”的模組,並嘗試hook該模組中的下列API函數: s7_event s7ag_bub_cycl_read_create s7ag_bub_read_var s7ag_bub_write_var s7ag_link_in s7ag_read_szl s7ag_test s7blk_delete s7blk_findfirst s7blk_findnext s7blk_read s7blk_write s7db_close s7db_open s7ag_bub_read_var_seg s7ag_bub_write_var_seg
四、從網際網路更新和接收駭客命令 病毒嘗試訪問下面功能變數名稱,進行自身更新和接收駭客命令, www.mypremierfutbol.com www.todaysfutbol.com
五、防範措施 1,安裝Windows安全更新 特別是MS08-067,MS10-046,MS10-061這三個補丁一定要安裝。
2,關閉預設共用C$和admin$ 可用下面命令行實現: net share admin$ /del net share c$ /del
3,遮罩病毒功能變數名稱 可手工修改%SystemDir%\drivers\etc\hosts檔,加入下列兩行: 127.0.0.1 www.mypremierfutbol.com 127.0.0.1 www.todaysfutbol.com
4,安裝防毒軟體防護 安裝江民防毒軟體,及時升級病毒庫,開啟即時防護功能,即可有效查殺防禦Worm/Stuxnet蠕蟲家族。
|