摘要:震网病毒主要是通过改变离心机的转速,来破坏离心机,并影响生产的浓缩铀质量。
本文分享自华为云社区《【安全技术】震网(Stuxnet)病毒深度解析:首个攻击真实世界基础设施的病毒(1)【原创分析】》,作者:云存储开发者支持团队 。
第一章 震网病毒背景【源自网络】
2006年,伊朗重启核计划,在纳坦兹建立核工厂,安装大量离心机生产浓缩铀。2010年1月,联合国负责核查伊朗核设施的国际原子能机构(IAEA)发现纳坦兹核工厂出现问题,原本预期使用寿命10年的IR-1型离心机大规模故障,但是谁都说不清楚到底是什么原因导致的。
伊朗纳坦兹核工厂
2010年6月,白俄罗斯一家小型反病毒公司VirusBlockAda的技术负责人舍基·乌尔森(Sergey Ulasen),在分析伊朗计划上上的恶意文件时,发现该恶意文件异常复杂,不仅有效利用了"内核极"后门来躲过反病毒引擎的扫描,还利用了多个"零日漏洞"(zero-day) 来突破Windows系统,但是由于力不从心,没有完全破译该恶意代码。2010年7月12日,乌尔森将该发现发布在一个英文安全论坛上。
舍基·乌尔森(SergeyUlasen)
全球安全业界开始对这个病毒进行分析和破译。同时,微软将该病毒命名为:震网(Stuxnet)。通过分析发现,该病毒的隐蔽性、先进性和复杂性远远超过人们的想象。
据国外一些报道称,该病毒是由美国和以色列的程序员共同编写,其中攻击的西门子工控系统的技术规范由德国提供,西门子工控系统被广泛应用于伊朗核设施中。在以色列的迪莫诺,构建了西门子控制器和IR-1型离心机的试验系统,对该病毒进行了测试,英国政府也参与了试验,试验完成后,荷兰情报人员作为离心机的技术咨询工程师,将病毒植入到核设施中。
震网病毒主要是通过改变离心机的转速,来破坏离心机,并影响生产的浓缩铀质量。
离心机被故障
震网病毒原本的设计是定向攻击,作为网络武器来使用,算是APT攻击的鼻祖。之所以被发现,是因为开发震网病毒的程序员在编程的时候,错误的将and和or用错,导致病毒可以感染任何版本的Windows系统,最终在2010年6月被捕获。
第二章 震网病毒逆向深入分析【个人原创分析,非授权请勿转载】
震网病毒结构与运行流程
震网病毒主要包含6个文件,4个快捷方式图标文件,利用LNK漏洞从U盘自动感染计算机,两个tmp文件,用于初始化和安装震网病毒。
震网病毒共利用了7个漏洞,其中4个0 Day漏洞:
CVE-2008-4250(MS-08-067)-Windows Server Service NetPathCanonicalize()
CVE-2010-2772 WinCC default password
CVE-2012-3015 Step 7 Insecure Library Loading
CVE-2010-2568(MS-10-046)-Windows Shell LNK Vulnerability (O day)
CVE-2010-2743(MS-10-073)-Win32K.sys Local Privilege Escalation (O day)
CVE-2010-3888(MS-10-092) Task Scheduler vulnerability (O day)
CVE-2010-2729(MS-10-061)-Windows Print Spooler Service Remote Code Execution (O day)
震网病毒隐藏在U盘中,当U盘插入到计算机上时,利用LNK漏洞会自动感染Windows系统,感染执行后,通过Ring3 Hook Ntdll实现在内存中加载~WTR4141.tmp文件,Ring3 Hook Kernel32、Ntdll实现*.tmp和*.lnk文件隐藏。进而通过内存LoadLibrary加载~WTR4132.tmp文件,提取出核心的Main.dll,在内存中加密、脱壳、加载Main.dll,初始化安装震网病毒,注入进程、注册服务,释放资源文件,最终震网病毒以服务运行。服务运行时,会攻击西门子WinCC工控系统软件,通过该软件最终攻击PLC,让离心机异常工作,导致离心机快速故障。
Call#15初始化安装Stuxnet
当Main.dll被加载的时候,导出表#15第一个被调用。#15主要负责检查Stuxnet是否运行在一个合适的系统中,检测当前系统是否已被感染,把当前进程权限提升到系统权限,检测系统中安装的杀毒软件版本,选择把DLL注入到哪个进程中;把DLL注入到选择的进程中,然后调用#16。
#15的第一个任务是检查配置数据(configuration data)是否是最新的。配置数据可以被存储到两个位置。Stuxnet检查最新的配置数据并且执行。然后Stuxnet检查是否运行在一个32位的系统中,如果运行在64位系统中则退出,同时也检查操作系统的版本,Stuxnet只能运行在以下版本的操作系统中:
Win2K
WinXP
Windows 2003
Vista
Windows Server 2008
Windows 7
Windows Server 2008 R2
接着检查当前进程是否具有Administrator权限,如果没有则会利用0-day漏洞提升运行权限。如果当前操作系统是Windows Vista、Windows 7、Windows Server 2008 R2,则利用Task Scheduler Escalation of Privilege来提升权限;如果操作系统是Windows XP、Win2K则利用Windows Win32k.sys Local Privilege Escalation(MS10-073)漏洞提升权限。
如果代码运行成功,如果利用win32k.sys漏洞,主DLL文件作为一个新进程运行,如利用Task Scheduler,主dll运行在csrss.exe进程中。
Win32k.sys漏洞利用的代码在资源文件#250中,
当导出表#15运行检查都通过后,#16运行。#16是Stuxnet的主安装程序。它检查日期和操作系统的版本,解密、创建并安装rootkit文件和注册表项;并把自己注入到services.exe中,以便感染移动存储设备;把自己注入到Step7的进程中感染所有的Step7工程;建立全局互斥量(mutexes)用于不同组件之间的通信;连接RPC服务器。
Call#16安装Stuxnet
#16首先检查配置数据是否有效,然后检查注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\MS-DOS Emulation中的NTVDM TRACE值是否是19790509,如果是则退出。该项应该是是否允许感染的标识。然后读取配置数据中的日期(配置数据偏移0x8c处)和当前系统日期对比,如果当前日期比配置数据中的时间晚,则退出;配置数据中的日期是2012-6-24。
Stuxnet的各个组件之间的通信采用全局互斥信号量,当在Windows Xp中时调用SetSecurityDescriptorDacl创建这些互斥信号量;在Windows Vista、Windows 7和WindowsServer2008中调用SetSecurityDescriptorSacl创建,用此方法可以降低系统完整性检测,保证代码写操作被拒绝。
然后Stuxnet创建3个加密的文件,这些文件来自.stub节。然后将他们保存到磁盘。
Ø Stuxnet主要攻击载荷文件保存为Oem7a.pnf;
Ø 一个90个字节的数据被保存到%SystemDrive%\inf\mdmeric3.PNF中;
Ø 配置数据被拷贝到%SystemDrive%\inf\mdmcpq3.PNF中;
Ø 一个日志文件被拷贝到%SystemDrive%\inf\oem6C.PNF中;
接着Stuxnet检查系统时间,确保它在2012年6月24号以前。然后通过读取存并解密储到硬盘中的版本信息,来检查自己和保存到磁盘上的加密代码是否是最新的。此功能是通过#6实现的。
版本检查通过后,Stuxnet从资源文件中(#201、#242)释放、解码并将内容写2个文件中:Mrxnet.sys和Mrxcls.sys;它们是两个驱动文件:一个用于Stuxnet的加载点(Load point),另一个用于隐藏磁盘中恶意文件。并且这两个文件的时间和系统目录中的其他文件时间一致,以免引起怀疑;然后创建注册表项指向这两个驱动文件,将它们注册为服务项,以便开机的时候就启动这2个服务。一旦Stuxnet创建的这个Rootkit正确安装后,会产生一些全局信号量,表明安装成功。
Stuxnet接着采用另外的2个导入函数(exports)继续完成安装和感染(infection)过程。
- 然后把payload .dll注入到services.exe中并且调用#32(感染可移动存储设备和启动RPC服务);
- 把payload .dll注入到Step7的进程:S7tgtopx.exe中并且调用#2(用于感染Step7工程文件),为使这一步成功,Stuxnet可能需要杀掉explorer.exe和S7tgtopx.exe进程,如果他们在运行中的话。
Stuxnet的通过上述的两种payload .dll注入和创建的服务及驱动文件运行起来。
Stuxnet将等待一段短暂时间后才试图连接RPC服务(#32开启的),将调用0号函数检查连接是否成功并且调用9号函数接收一些数据存储到oem6c.pnf中。
至此,所有默认的传播方式和攻击载荷已经被激活。
Stuxnet攻击西门子PLC流程
攻击PLC过程:
- 恶意DLL将s7otbxdx.dll重命名为s7otbxsx.dll,用定制的DLL替代s7otbxdx.dll,该定制DLL主要重写s7otbxsx.dll 109个中的16个涉及读、写和枚举代码块的导出函数,其他导出函数还是由s7otbxdx.dll提供;
- 震网根据不同目标系统的特征选择不同的代码来感染PLC,一个感染的序列包含注入到PLC中的代码块和数据块,来改变PLC行为,主要有三种感染序列,其中两种比较相似,功能相同,标记为序列A和B,另外一种标记为序列C;
- 如果s7otbxdx.dll是运行在ccrtsloader.exe文件中,替换后的s7otbxdx.dll启动两个线程感染特定的PLC:
线程1:(每15分钟运行一次;感染含有特定SDB特征的6ES7-315-2 PLC)
- 通过s7ag_read检测PLC类型,必须为6ES7-315-2;
- 检测SDB块来确定PLC是否被感染以及选择写入哪个序列(A或B);
Ø 枚举、解析SDB(系统数据块),寻找一个偏移50h DWORD的地方等于0100CB2Ch的SDB;(说明使用的是Profibus communications processor module CP 342-5。)
Ø 在SDB中搜索特定的值7050h和9500h,只有当两个值出现在总数大于等于33时才满足感染要求;(7050h代表KFC750V3变频驱动器,9500h代表Vacon NX频率转换驱动器。) - 按照序列A或B进行感染:
Ø 拷贝DP_RECV块到FC1869,然后用定制的块替换DP_RECV块;(DP_RECV是网络协处理器使用的标准代码块的名称,用来接收Profibus上的网络帧。每次接收包时,定制块会调用FC1869中原始的DP_RECV进行处理,然后对包数据进行一些后处理。)
Ø 将一些定制块写入到PLC(20个);
Ø 感染OB1,使每个周期开始先执行恶意代码;(首先增加原始块的大小;然后将定制代码写入到块的开头;最后将原始的OB1代码插入到定制代码后面。)
Ø 感染OB35;(和OB1相同,采用code-prepending感染技术)
线程2:(每5分钟查询一次;保证攻击同时进行)
- 监控、查询总线上的每个特定PLC(如S7-315)中被线程1成功注入的数据块DB890;
- 当达到特定条件,启动破坏例程时,该线程向所有监控的PLC中的DB890写入数据,使同一总线上的PLC同时发起破坏攻击。
(4) 某些条件下,会将序列C写入PLC,针对6ES7-417,更为复杂;
(5) 破坏:(在不同时间降低或增加马达频率)
- 确定正常的操作频率:807-1210Hz;
- 将频率设定为1410Hz;
- 恢复正常操作;
- 大约27天后,先将频率设为2Hz,然后设为1064Hz;
- 恢复正常操作;
重复上述过程。
第三章 震网病毒重现
【篇幅原因,请关注后续文章】