六月丁香五月婷婷,丁香五月婷婷网,欧美激情网站,日本护士xxxx,禁止18岁天天操夜夜操,18岁禁止1000免费,国产福利无码一区色费

學(xué)習(xí)啦>學(xué)習(xí)電腦>電腦安全>病毒知識(shí)>

震網(wǎng)病毒的背景

時(shí)間: 林輝766 分享

  世界上每天都有新病毒產(chǎn)生,大部分都是青少年的惡作劇,少部分則是犯罪分子用來盜取個(gè)人信息的工具,震網(wǎng)病毒也許只是其中之一,它的背景是什么樣的呢!下面由學(xué)習(xí)啦小編給你做出詳細(xì)的震網(wǎng)病毒背景介紹!希望對(duì)你有幫助!

  震網(wǎng)病毒背景介紹:

  首先,它利用了4個(gè)Windows零日漏洞。零日漏洞是指軟件中剛剛被發(fā)現(xiàn)、還沒有被公開或者沒有被修補(bǔ)的漏洞。零日漏洞可以大大提高電腦入侵的成功率,具有巨大的經(jīng)濟(jì)價(jià)值,在黑市上,一個(gè)零日漏洞通??梢再u到幾十萬美元。即使是犯罪集團(tuán)的職業(yè)黑客,也不會(huì)奢侈到在一個(gè)病毒中同時(shí)用上4個(gè)零日漏洞。僅此一點(diǎn),就可以看出該病毒的開發(fā)者不是一般黑客,它具備強(qiáng)大的經(jīng)濟(jì)實(shí)力。并且,開發(fā)者對(duì)于攻擊目標(biāo)懷有志在必得的決心,因此才會(huì)同時(shí)用上多個(gè)零日漏洞,確保一擊得手。

  其次,它具備超強(qiáng)的USB傳播能力。傳統(tǒng)病毒主要是通過網(wǎng)絡(luò)傳播,而震網(wǎng)病毒大大增強(qiáng)了通過USB接口傳播的能力,它會(huì)自動(dòng)感染任何接入的U盤。在病毒開發(fā)者眼中,似乎病毒的傳播環(huán)境不是真正的互聯(lián)網(wǎng),而是一個(gè)網(wǎng)絡(luò)連接受到限制的地方,因此需要靠USB口來擴(kuò)充傳播途徑。

  最奇怪的是,病毒中居然還含有兩個(gè)針對(duì)西門子工控軟件漏洞的攻擊,這在當(dāng)時(shí)的病毒中是絕無僅有的。從互聯(lián)網(wǎng)的角度來看,工業(yè)控制是一種恐龍式的技術(shù),古老的通信方式、隔絕的網(wǎng)絡(luò)連接、龐大的系統(tǒng)規(guī)模、緩慢的技術(shù)變革,這些都讓工控系統(tǒng)看上去跟互聯(lián)網(wǎng)截然不同。此前從沒人想過,在互聯(lián)網(wǎng)上泛濫的病毒,也可以應(yīng)用到工業(yè)系統(tǒng)中去。

  5深度分析編輯

  第一章 事件背景

  2010年10月,國內(nèi)外多家媒體相繼報(bào)道了Stuxnet蠕蟲對(duì)西門子公司的數(shù)據(jù)采集與監(jiān)控系統(tǒng)SIMATIC WinCC進(jìn)行攻擊的事件,稱其為“超級(jí)病毒”、“超級(jí)工廠病毒”,并形容成“超級(jí)武器”、“潘多拉的魔盒”。

  Stuxnet蠕蟲(俗稱“震網(wǎng)”、“雙子”)在2003年7月開始爆發(fā)。它利用了微軟操作系統(tǒng)中至少4個(gè)漏洞,其中有3個(gè)全新的零日漏洞;偽造驅(qū)動(dòng)程序的數(shù)字簽名;通過一套完整的入侵和傳播流程,突破工業(yè)專用局域網(wǎng)的物理限制;利用WinCC系統(tǒng)的2個(gè)漏洞,對(duì)其開展破壞性攻擊。它是第一個(gè)直接破壞現(xiàn)實(shí)世界中工業(yè)基礎(chǔ)設(shè)施的惡意代碼。據(jù)賽門鐵克公司的統(tǒng)計(jì),截止到2010年09月全球已有約45000個(gè)網(wǎng)絡(luò)被該蠕蟲感染,其中60%的受害主機(jī)位于伊朗境內(nèi)。伊朗政府已經(jīng)確認(rèn)該國的布什爾核電站遭到Stuxnet蠕蟲的攻擊。

  安天實(shí)驗(yàn)室于7月15日捕獲到Stuxnet蠕蟲的第一個(gè)變種,在第一時(shí)間展開分析,發(fā)布了分析報(bào)告及防范措施,并對(duì)其持續(xù)跟蹤。截止至本報(bào)告發(fā)布,安天已經(jīng)累計(jì)捕獲13個(gè)變種、600多個(gè)不同哈希值的樣本實(shí)體。

  第二章 樣本典型行為分析

  2.1 運(yùn)行環(huán)境

  Stuxnet蠕蟲在以下操作系統(tǒng)中可以激活運(yùn)行:

  Windows 2000、Windows Server 2000

  Windows XP、Windows Server 2003

  Windows Vista

  Windows 7、Windows Server 2008

  當(dāng)它發(fā)現(xiàn)自己運(yùn)行在非Windows NT系列操作系統(tǒng)中,即刻退出。

  被攻擊的軟件系統(tǒng)包括:

  SIMATIC WinCC 7.0

  SIMATIC WinCC 6.2

  但不排除其他版本存在這一問題的可能。

  2.2 本地行為

  樣本被激活后,典型的運(yùn)行流程如圖1 所示。

  樣本首先判斷當(dāng)前操作系統(tǒng)類型,如果是Windows 9X/ME,就直接退出。

  接下來加載一個(gè)主要的DLL模塊,后續(xù)的行為都將在這個(gè)DLL中進(jìn)行。為了躲避查殺,樣本并不將DLL模塊釋放為磁盤文件然后加載,而是直接拷貝到內(nèi)存中,然后模擬DLL的加載過程。

  具體而言,樣本先申請(qǐng)足夠的內(nèi)存空間,然后Hookntdll.dll導(dǎo)出的6個(gè)系統(tǒng)函數(shù):

  ZwMapViewOfSection

  ZwCreateSection

  ZwOpenFile

  ZwClose

  ZwQueryAttributesFile

  ZwQuerySection

  為此,樣本先修改ntdll.dll文件內(nèi)存映像中PE頭的保護(hù)屬性,然后將偏移0x40處的無用數(shù)據(jù)改寫為跳轉(zhuǎn)代碼,用以實(shí)現(xiàn)hook。

  進(jìn)而,樣本就可以使用ZwCreateSection在內(nèi)存空間中創(chuàng)建一個(gè)新的PE節(jié),并將要加載的DLL模塊拷貝到其中,最后使用LoadLibraryW來獲取模塊句柄。

  此后,樣本跳轉(zhuǎn)到被加載的DLL中執(zhí)行,衍生下列文件:

  %System32%\drivers\mrxcls.sys %System32%\drivers\mrxnet.sys%Windir%\inf\oem7A.PNF%Windir%\inf\mdmeric3.PNF %Windir%\inf\mdmcpq3.PNF%Windir%\inf\oem6C.PNF  其中有兩個(gè)驅(qū)動(dòng)程序mrxcls.sys和mrxnet.sys,分別被注冊(cè)成名為MRXCLS和MRXNET的系統(tǒng)服務(wù),實(shí)現(xiàn)開機(jī)自啟動(dòng)。這兩個(gè)驅(qū)動(dòng)程序都使用了Rootkit技術(shù),并有數(shù)字簽名。

  mrxcls.sys負(fù)責(zé)查找主機(jī)中安裝的WinCC系統(tǒng),并進(jìn)行攻擊。具體地說,它監(jiān)控系統(tǒng)進(jìn)程的鏡像加載操作,將存儲(chǔ)在%Windir%\inf\oem7A.PNF中的一個(gè)模塊注入到services.exe、S7tgtopx.exe、CCProjectMgr.exe三個(gè)進(jìn)程中,后兩者是WinCC系統(tǒng)運(yùn)行時(shí)的進(jìn)程。

  mrxnet.sys通過修改一些內(nèi)核調(diào)用來隱藏被拷貝到U盤的lnk文件和DLL文件。
看過“震網(wǎng)病毒的背景 ”人還看了:

1.工控網(wǎng)絡(luò)安全對(duì)社會(huì)重要嗎

2.電腦病毒“火焰”

震網(wǎng)病毒的背景

世界上每天都有新病毒產(chǎn)生,大部分都是青少年的惡作劇,少部分則是犯罪分子用來盜取個(gè)人信息的工具,震網(wǎng)病毒也許只是其中之一,它的背景是什么樣的呢!下面由學(xué)習(xí)啦小編給你做出詳細(xì)的震網(wǎng)病毒背景介紹!希望對(duì)你有幫助! 震網(wǎng)病毒背景介
推薦度:
點(diǎn)擊下載文檔文檔為doc格式

精選文章

  • 震網(wǎng)病毒的事件介紹
    震網(wǎng)病毒的事件介紹

    伊朗到底是什么時(shí)候才發(fā)現(xiàn)中毒的,外界不得而知。震網(wǎng)病毒到底有什么影響呢!下面由學(xué)習(xí)啦小編給你做出詳細(xì)的震網(wǎng)病毒事假介紹!希望對(duì)你有幫助! 震網(wǎng)

  • 震網(wǎng)病毒發(fā)展歷程
    震網(wǎng)病毒發(fā)展歷程

    曾經(jīng)席卷世界的震網(wǎng)病毒,它到底有什么樣的發(fā)展歷程呢!下面由學(xué)習(xí)啦小編給你做出詳細(xì)的震網(wǎng)病毒發(fā)展歷程介紹!希望對(duì)你有幫助! 震網(wǎng)病毒發(fā)展歷程介紹

  • 震網(wǎng)病毒的特點(diǎn)和傳播途徑
    震網(wǎng)病毒的特點(diǎn)和傳播途徑

    008年,震網(wǎng)病毒攻擊就開始奏效,伊朗核計(jì)劃被顯著拖延,它有什么特點(diǎn)和傳播途徑呢!下面由學(xué)習(xí)啦小編給你做出詳細(xì)的震網(wǎng)病毒的特點(diǎn)和傳播途徑介紹

  • 什么是震網(wǎng)病毒
    什么是震網(wǎng)病毒

    震網(wǎng)病毒(Stuxnet病毒),是一個(gè)席卷全球工業(yè)界的病毒,該病毒與2010年6月首次被檢測出來,也是第一個(gè)專門定向攻擊真實(shí)世界中基礎(chǔ)(能源)設(shè)施的蠕蟲病毒。

588432