AIS3_projext-Stuxnet
AIS3專題 - Stuxnet
Teammate & Author
- Z-hwA
- Gunjyo
- Yinxiehuang
link
震網stuxnet病毒
Introduction
第一個以關鍵工業基礎設施為目標的蠕蟲,還有一種叫做Dropper的特洛伊木馬被安裝在裡面,目的是要將惡意軟體放在受害的電腦上。
有七個漏洞分別針對的兩種不同作業係統(WINDOWS,SIMATIC WinCC/STEP 7):
- CVE-2008-4250(MS08-067)
- CVE-2010-2568(MS10-046)(0Day)
- CVE-2010-2729(MS10-061)(0Day)
- CVE-2010-2743(MS10-073)(0Day)
- CVE-2010-3338(MS10-092)(0Day)
- CVE-2010-2772(0Day)
攻擊伊朗核電廠、煉油廠、電廠、水庫…etc。
(Flame作為Stuxnet的前身,Flame極為重視隱藏,sent data in smaller chunk)
使用以下CVE
///MS10-046 Windows 快捷方式漏洞(CVE-2010-2568),允許在用戶不知情下,下載random dynamic library,是windows處理標籤的漏洞(LNK),用於傳播
///MS08-067 RPC漏洞 (CVE-2008-4250),使用特製RPC,以系統級權限遠程執行代碼,執行NetPathCanonicalize函數(存在邏輯錯誤),導致緩衝區溢出(RCE),進而掌握windows,用於網路傳播
///MS10-061 打印機後台處理程序漏洞(CVE-2010-2729),因windows的打印機後台程序(用戶權限設置不合理),可透過發送打印請求,使文件傳進接口主機的%system32%目錄中,以系統權限執行代碼。
///(CVE-2010-2772) winCC默認密碼繞過漏洞,用於刪除修改痕跡
目標:伊朗使用西門子控制系統的核電基礎設施
被入侵後,表面上會顯示設備一切正常,而實際上會造成離心機因為高速運轉失效
綜合分析報告
感染流程圖
被植入前正常的 PLC 控制流程
被感染的 PLC 控制流程
生命週期
WTR4132.TMP可用來解釋這個循環中的每一步,加載到Explorer.exe 中的動態連結程式庫(將再啟動時描述他是如何加載),是現實中共享函示庫的一種方式,副檔名為.dll or .OCX or .DRV等等。
分析WTR4131.TMP
WTR4132.TMP它通過在其中搜索名為“.stub”來開始執行。
這個”.stub”包含主要的stuxnet DLL 文件,也就是說包含了所有機制、檔案、功能、rootkit等等。
找到.stub的MZ文件:(引用論文)
這部分會對要加在的DLL文件分配內存緩衝,還會Paches 6 個ntdll.dll API:
- ZwMapViewOfSection
- ZwCreateSection
- ZwOpenFile
- ZwClose
- ZwQueryAttributesFile
- ZwQuerySection
提升權限並注入
當主DLL被執行時,會檢查管理員的權限。如果不是在管理員權限運行,會執行以下兩個0Day漏洞:
- 任務計劃程序程序漏洞(MS10-092)
- 內核模式驅動程序漏洞(MS-10-073)
MS10-061 打印機後台處理程序漏洞(CVE-2010-2729)
SOP
- 環境架設
- 攻擊機:Kali Linux虛擬機
- 靶機:Windows xp sp3虛擬機
- 靶機環境配置
- IP 192.168.17.128
- Printer
- IP 192.168.17.128
- Attack
- 環境架設
refs
https://blog.csdn.net/Ping_Pig/article/details/109218430
https://www.icode9.com/content-4-734382.html
MS08-067 RPC漏洞 (CVE-2008-4250)
- 復現
實作流程
MS10-046 Windows 快捷方式漏洞(CVE-2010-2568)
好像挖到甚麼好東西了0.0
Windows Lnk Vul Analysis:From CVE-2010-2568(Stuxnet 1.0) to
CVE-2017-8464(Stuxnet 3.0)
補充:
DNS網欺原理
refs
Stuxnet-Source
https://github.com/micrictor/stuxnet
漏洞資料來源
資安趨勢blog
网络战武器——震网(Stuxnet)病毒
震网事件的九年再复盘与思考
[Day07] 病毒介紹 - 病毒界也有電影明星
分析論文