课件：震网病毒

1、 工业控制系统破坏性病毒 Stuxnet蠕虫病毒Stuxnet简介Stuxnet特点 Stuxnet运行环境 攻击原理及传染方式查杀及预防stuxnet目录 Stuxnet蠕虫病毒（超级工厂病毒）又名“震网”，是世界上首个专门针对工业控制系统编写的破坏性病毒。 Stuxnet已经感染了全球超过 45000个网络，60% 的个 人电脑感染了这种病毒。 传播途径：该病毒主要通过U盘和局域网进行传播。 “历史贡献”：曾造成伊朗核电站推迟发电。 Stuxnet简介 Stuxnet能够利用5个针对windows系统和两个针对西门子SIMATIC WinCC系统的漏洞进行攻击。 特别是针对西门子公司的SI

2、MATIC WinCC过程监控与数据采集 (SCADA) 系统的攻击。由于该系统在我国被广泛用于钢铁、电力、能源、化工等的人机交互与监控。一旦攻击成功，代价惨重。Stuxnet简介 震网病毒最大的特点：打破恶意程序只攻击用户电脑的“惯例”，将攻击目标偏向于用户的生活与生存环境上来。一旦用户的电脑不幸遭受超级工厂病毒Stuxnet入侵，不但会使用户电脑变成任由其摆布的“肉鸡，严重影响到用户的日常生活，而且还会引发“多米诺骨牌效应”，导致与受害用户联网的人群遭受同样攻击。stuxnet特点 Stuxnet在以下操作系统中可以激活运行： Windows 2000、Windows Server 200

3、0 Windows XP、Windows Server 2003 Windows Vista Windows 7、Windows Server 2008 当它发现自己运行在非Windows NT系列操作系统中，即刻退出。被攻击的软件系统包括： SIMATIC WinCC 7.0 SIMATIC WinCC 6.2 stuxnet运行环境U盘传播工具Stuxnet的攻击目标主要是SIMATIC WinCC软件，主要用于工业控制系统的数据采集与监控，一般部署在专用的内部局域网中，并与外部互联网实行物理上的隔离。为了实现攻击，Stuxnet蠕虫采取多种手段进行渗透和传播，如图所示：stuxnet传播

4、方式HKLMSOFTWARESIEMENSSTEP7 HKLMSOFTWARESIEMENSWinCCSetup WinCC stuxnet注册表是否存在DLL加载策略上的缺陷WinCC系统中硬编码漏洞硬编码漏洞：Stuxnet利用这一漏洞尝试访问该系统的SQL数据库DLL加载策略上的缺陷：Stuxnet通过替换Step7软件中的s7otbxdx.dll，实现对一些查询、读取函数的Hook。 Stuxnet蠕虫查询两个注册表来判断主机中是否安装WinCC系统： HKLMSOFTWARESIEMENSWinCCSetup HKLMSOFTWARESIEMENSSTEP7一旦发现WinCC系统，就

5、利用其中的两个漏洞展开攻击：1.WinCC系统中存在一个硬编码漏洞，保存了访问数据库的默认账户名和密码，Stuxnet利用这一漏洞尝试访问该系统的SQL数据库。2.在需要使用的Step7工程中，在打开工程文件时，存在DLL加载策略上的缺陷，从而导致一种类似于“DLL预加载攻击”的利用方式。最终，Stuxnet通过替换Step7软件中的s7otbxdx.dll，实现对一些查询、读取函数的Hook。样本的典型运行流程mrxnet.sys通过修改一些内核调用来隐藏被拷贝到U盘的lnk文件和DLL文件 特点：简单 、波及范围广、危害程度高 存在此漏洞的系统收到精心构造的RPC请求时，可允许远程执行代码

6、。在Windows 2000、Windows XP和Windows Server 2003系统中，利用这一漏洞，攻击者可以通过恶意构造的网络包直接发起攻击，无需通过认证地运行任意代码，并且获取完整的权限。因此该漏洞常被蠕虫用于大规模的传播和攻击。 Stuxnet利用这一漏洞时，如果权限不够导致失败，还会使用一个尚未公开的漏洞来提升自身权限，然后再次尝试攻击。 这个漏洞利用Windows在解析快捷方式文件（例如.lnk文件）时的系统机制缺陷，使系统加载攻击者指定的DLL文件，从而触发攻击行为。Stuxnet蠕虫搜索计算机中的可移动存储设备 Windows打印后台程序没有合理地设置用户权限Stuxnet蠕虫利用这个漏洞实现在内部局域网中的传播。1.使用相关专杀工具或手工清除Stuxnet蠕虫2. 安装被利用漏洞的系统补丁3.安装西门子发布的WinCC系统安全更新补丁1.使用Atool管理工具，结束系统中的父进程不是winlogon.exe的所有lsass.exe进程2. 删除下列注册表项： HKEY_LOC