AIS3_projext-Stuxnet

AIS3專題 - Stuxnet

Teammate & Author

Z-hwA
Gunjyo
Yinxiehuang

link

震網stuxnet病毒

惡意軟體下載

Introduction

第一個以關鍵工業基礎設施為目標的蠕蟲，還有一種叫做Dropper的特洛伊木馬被安裝在裡面，目的是要將惡意軟體放在受害的電腦上。
有七個漏洞分別針對的兩種不同作業係統(WINDOWS,SIMATIC WinCC/STEP 7):

CVE-2008-4250（MS08-067）
CVE-2010-2568（MS10-046）(0Day)
CVE-2010-2729（MS10-061）(0Day)
CVE-2010-2743（MS10-073）(0Day)
CVE-2010-3338（MS10-092）(0Day)
CVE-2010-2772（0Day)

攻擊伊朗核電廠、煉油廠、電廠、水庫…etc。
(Flame作為Stuxnet的前身，Flame極為重視隱藏，sent data in smaller chunk)

使用以下CVE
///MS10-046 Windows 快捷方式漏洞(CVE-2010-2568)，允許在用戶不知情下，下載random dynamic library，是windows處理標籤的漏洞(LNK)，用於傳播
///MS08-067 RPC漏洞 (CVE-2008-4250)，使用特製RPC，以系統級權限遠程執行代碼，執行NetPathCanonicalize函數(存在邏輯錯誤)，導致緩衝區溢出(RCE)，進而掌握windows，用於網路傳播
///MS10-061 打印機後台處理程序漏洞(CVE-2010-2729)，因windows的打印機後台程序(用戶權限設置不合理)，可透過發送打印請求，使文件傳進接口主機的%system32%目錄中，以系統權限執行代碼。
///(CVE-2010-2772) winCC默認密碼繞過漏洞，用於刪除修改痕跡

目標：伊朗使用西門子控制系統的核電基礎設施
被入侵後，表面上會顯示設備一切正常，而實際上會造成離心機因為高速運轉失效
綜合分析報告

感染流程圖

被植入前正常的 PLC 控制流程

被感染的 PLC 控制流程

生命週期

WTR4132.TMP可用來解釋這個循環中的每一步，加載到Explorer.exe 中的動態連結程式庫(將再啟動時描述他是如何加載)，是現實中共享函示庫的一種方式，副檔名為.dll or .OCX or .DRV等等。

分析WTR4131.TMP

WTR4132.TMP它通過在其中搜索名為“.stub”來開始執行。
這個”.stub”包含主要的stuxnet DLL 文件，也就是說包含了所有機制、檔案、功能、rootkit等等。

找到.stub的MZ文件:(引用論文)

這部分會對要加在的DLL文件分配內存緩衝，還會Paches 6 個ntdll.dll API：

ZwMapViewOfSection
ZwCreateSection
ZwOpenFile
ZwClose
ZwQueryAttributesFile
ZwQuerySection

提升權限並注入

當主DLL被執行時，會檢查管理員的權限。如果不是在管理員權限運行，會執行以下兩個0Day漏洞:

任務計劃程序程序漏洞（MS10-092）
內核模式驅動程序漏洞(MS-10-073)

MS10-061 打印機後台處理程序漏洞(CVE-2010-2729)

復現
https://juejin.cn/post/6844903782644449293#heading-15
SOP
- 環境架設
  - 攻擊機：Kali Linux虛擬機
  - 靶機：Windows xp sp3虛擬機
- 靶機環境配置
  - IP 192.168.17.128
  - Printer
- Attack