震網（Stuxnet）病毒深度決議：首個攻擊真實世界基礎設施的病毒

摘要：震網病毒主要是通過改變離心機的轉速，來破壞離心機，并影響生產的濃縮鈾質量，

本文分享自華為云社區《【安全技術】震網（Stuxnet）病毒深度決議：首個攻擊真實世界基礎設施的病毒（1）【原創分析】》，作者：云存盤開發者支持團隊 ，

第一章 震網病毒背景【源自網路】

2006年，伊朗重啟核計劃，在納坦茲建立核工廠，安裝大量離心機生產濃縮鈾，2010年1月，聯合國負責核查伊朗核設施的國際原子能機構（IAEA）發現納坦茲核工廠出現問題，原本預期使用壽命10年的IR-1型離心機大規模故障，但是誰都說不清楚到底是什么原因導致的，

伊朗納坦茲核工廠

2010年6月，白俄羅斯一家小型反病毒公司VirusBlockAda的技術負責人舍基·烏爾森（Sergey Ulasen），在分析伊朗計劃上上的惡意檔案時，發現該惡意檔案例外復雜，不僅有效利用了"內核極"后門來躲過反病毒引擎的掃描，還利用了多個"零日漏洞"（zero-day） 來突破Windows系統，但是由于力不從心，沒有完全破譯該惡意代碼，2010年7月12日，烏爾森將該發現發布在一個英文安全論壇上，

舍基·烏爾森（SergeyUlasen）

全球安全業界開始對這個病毒進行分析和破譯，同時，微軟將該病毒命名為：震網（Stuxnet），通過分析發現，該病毒的隱蔽性、先進性和復雜性遠遠超過人們的想象，

據國外一些報道稱，該病毒是由美國和以色列的程式員共同撰寫，其中攻擊的西門子工控系統的技術規范由德國提供，西門子工控系統被廣泛應用于伊朗核設施中，在以色列的迪莫諾，構建了西門子控制器和IR-1型離心機的試驗系統，對該病毒進行了測驗，英國政府也參與了試驗，試驗完成后，荷蘭情報人員作為離心機的技術咨詢工程師，將病毒植入到核設施中，

震網病毒主要是通過改變離心機的轉速，來破壞離心機，并影響生產的濃縮鈾質量，

離心機被故障

震網病毒原本的設計是定向攻擊，作為網路武器來使用，算是APT攻擊的鼻祖，之所以被發現，是因為開發震網病毒的程式員在編程的時候，錯誤的將and和or用錯，導致病毒可以感染任何版本的Windows系統，最終在2010年6月被捕獲，

第二章 震網病毒逆向深入分析【個人原創分析，非授權請勿轉載】

震網病毒結構與運行流程

震網病毒主要包含6個檔案，4個快捷方式圖示檔案，利用LNK漏洞從U盤自動感染計算機，兩個tmp檔案，用于初始化和安裝震網病毒，

震網病毒共利用了7個漏洞，其中4個0 Day漏洞:

CVE-2008-4250(MS-08-067)-Windows Server Service NetPathCanonicalize()

CVE-2010-2772 WinCC default password

CVE-2012-3015 Step 7 Insecure Library Loading

CVE-2010-2568(MS-10-046)-Windows Shell LNK Vulnerability (O day)

CVE-2010-2743(MS-10-073)-Win32K.sys Local Privilege Escalation (O day)

CVE-2010-3888(MS-10-092) Task Scheduler vulnerability (O day)

CVE-2010-2729(MS-10-061)-Windows Print Spooler Service Remote Code Execution (O day)

震網病毒隱藏在U盤中，當U盤插入到計算機上時，利用LNK漏洞會自動感染Windows系統，感染執行后，通過Ring3 Hook Ntdll實作在記憶體中加載~WTR4141.tmp檔案，Ring3 Hook Kernel32、Ntdll實作*.tmp和*.lnk檔案隱藏，進而通過記憶體LoadLibrary加載~WTR4132.tmp檔案，提取出核心的Main.dll，在記憶體中加密、脫殼、加載Main.dll，初始化安裝震網病毒，注入行程、注冊服務，釋放資源檔案，最終震網病毒以服務運行，服務運行時，會攻擊西門子WinCC工控系統軟體，通過該軟體最終攻擊PLC，讓離心機例外作業，導致離心機快速故障，

Call#15初始化安裝Stuxnet

當Main.dll被加載的時候，匯出表#15第一個被呼叫，#15主要負責檢查Stuxnet是否運行在一個合適的系統中，檢測當前系統是否已被感染，把當前行程權限提升到系統權限，檢測系統中安裝的殺毒軟體版本，選擇把DLL注入到哪個行程中；把DLL注入到選擇的行程中，然后呼叫#16，

#15的第一個任務是檢查配置資料(configuration data)是否是最新的，配置資料可以被存盤到兩個位置，Stuxnet檢查最新的配置資料并且執行，然后Stuxnet檢查是否運行在一個32位的系統中，如果運行在64位系統中則退出，同時也檢查作業系統的版本，Stuxnet只能運行在以下版本的作業系統中：

Win2K

WinXP

Windows 2003

Vista

Windows Server 2008

Windows 7

Windows Server 2008 R2

接著檢查當前行程是否具有Administrator權限，如果沒有則會利用0-day漏洞提升運行權限，如果當前作業系統是Windows Vista、Windows 7、Windows Server 2008 R2，則利用Task Scheduler Escalation of Privilege來提升權限；如果作業系統是Windows XP、Win2K則利用Windows Win32k.sys Local Privilege Escalation(MS10-073)漏洞提升權限，

如果代碼運行成功，如果利用win32k.sys漏洞，主DLL檔案作為一個新行程運行，如利用Task Scheduler，主dll運行在csrss.exe行程中，

Win32k.sys漏洞利用的代碼在資源檔案#250中，

當匯出表#15運行檢查都通過后，#16運行，#16是Stuxnet的主安裝程式，它檢查日期和作業系統的版本，解密、創建并安裝rootkit檔案和注冊表項；并把自己注入到services.exe中，以便感染移動存盤設備；把自己注入到Step7的行程中感染所有的Step7工程；建立全域互斥量(mutexes)用于不同組件之間的通信；連接RPC服務器，

Call#16安裝Stuxnet

#16首先檢查配置資料是否有效，然后檢查注冊表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\MS-DOS Emulation中的NTVDM TRACE值是否是19790509，如果是則退出，該項應該是是否允許感染的標識，然后讀取配置資料中的日期(配置資料偏移0x8c處)和當前系統日期對比，如果當前日期比配置資料中的時間晚，則退出；配置資料中的日期是2012-6-24，

Stuxnet的各個組件之間的通信采用全域互斥信號量，當在Windows Xp中時呼叫SetSecurityDescriptorDacl創建這些互斥信號量；在Windows Vista、Windows 7和WindowsServer2008中呼叫SetSecurityDescriptorSacl創建，用此方法可以降低系統完整性檢測，保證代碼寫操作被拒絕，

然后Stuxnet創建3個加密的檔案，這些檔案來自.stub節，然后將他們保存到磁盤，

? Stuxnet主要攻擊載荷檔案保存為Oem7a.pnf；

? 一個90個位元組的資料被保存到%SystemDrive%\inf\mdmeric3.PNF中；

? 配置資料被拷貝到%SystemDrive%\inf\mdmcpq3.PNF中；

? 一個日志檔案被拷貝到%SystemDrive%\inf\oem6C.PNF中；

接著Stuxnet檢查系統時間，確保它在2012年6月24號以前，然后通過讀取存并解密儲到硬碟中的版本資訊，來檢查自己和保存到磁盤上的加密代碼是否是最新的，此功能是通過#6實作的，

版本檢查通過后，Stuxnet從資源檔案中(#201、#242)釋放、解碼并將內容寫2個檔案中：Mrxnet.sys和Mrxcls.sys；它們是兩個驅動檔案：一個用于Stuxnet的加載點(Load point)，另一個用于隱藏磁盤中惡意檔案，并且這兩個檔案的時間和系統目錄中的其他檔案時間一致，以免引起懷疑；然后創建注冊表項指向這兩個驅動檔案，將它們注冊為服務項，以便開機的時候就啟動這2個服務，一旦Stuxnet創建的這個Rootkit正確安裝后，會產生一些全域信號量，表明安裝成功，

Stuxnet接著采用另外的2個匯入函式（exports）繼續完成安裝和感染（infection）程序，

1. 然后把payload .dll注入到services.exe中并且呼叫#32(感染可移動存盤設備和啟動RPC服務)；
2. 把payload .dll注入到Step7的行程：S7tgtopx.exe中并且呼叫#2(用于感染Step7工程檔案)，為使這一步成功，Stuxnet可能需要殺掉explorer.exe和S7tgtopx.exe行程，如果他們在運行中的話，

Stuxnet的通過上述的兩種payload .dll注入和創建的服務及驅動檔案運行起來，

Stuxnet將等待一段短暫時間后才試圖連接RPC服務(#32開啟的)，將呼叫0號函式檢查連接是否成功并且呼叫9號函式接收一些資料存盤到oem6c.pnf中，

至此，所有默認的傳播方式和攻擊載荷已經被激活，

Stuxnet攻擊西門子PLC流程

攻擊PLC程序：

1. 惡意DLL將s7otbxdx.dll重命名為s7otbxsx.dll，用定制的DLL替代s7otbxdx.dll，該定制DLL主要重寫s7otbxsx.dll 109個中的16個涉及讀、寫和列舉代碼塊的匯出函式，其他匯出函式還是由s7otbxdx.dll提供；
2. 震網根據不同目標系統的特征選擇不同的代碼來感染PLC，一個感染的序列包含注入到PLC中的代碼塊和資料塊，來改變PLC行為，主要有三種感染序列，其中兩種比較相似，功能相同，標記為序列A和B，另外一種標記為序列C；
3. 如果s7otbxdx.dll是運行在ccrtsloader.exe檔案中，替換后的s7otbxdx.dll啟動兩個執行緒感染特定的PLC：

執行緒1：（每15分鐘運行一次；感染含有特定SDB特征的6ES7-315-2 PLC）

1. 通過s7ag_read檢測PLC型別，必須為6ES7-315-2；
2. 檢測SDB塊來確定PLC是否被感染以及選擇寫入哪個序列（A或B）；
   ? 列舉、決議SDB（系統資料塊），尋找一個偏移50h DWORD的地方等于0100CB2Ch的SDB；（說明使用的是Profibus communications processor module CP 342-5，）
   ? 在SDB中搜索特定的值7050h和9500h，只有當兩個值出現在總數大于等于33時才滿足感染要求；（7050h代表KFC750V3變頻驅動器，9500h代表Vacon NX頻率轉換驅動器，）
3. 按照序列A或B進行感染：

? 拷貝DP_RECV塊到FC1869，然后用定制的塊替換DP_RECV塊；（DP_RECV是網路協處理器使用的標準代碼塊的名稱，用來接收Profibus上的網路幀，每次接收包時，定制塊會呼叫FC1869中原始的DP_RECV進行處理，然后對包資料進行一些后處理，）

? 將一些定制塊寫入到PLC（20個）；

? 感染OB1，使每個周期開始先執行惡意代碼；（首先增加原始塊的大小；然后將定制代碼寫入到塊的開頭；最后將原始的OB1代碼插入到定制代碼后面，）

? 感染OB35；（和OB1相同，采用code-prepending感染技術）

執行緒2：（每5分鐘查詢一次；保證攻擊同時進行）

1. 監控、查詢總線上的每個特定PLC（如S7-315）中被執行緒1成功注入的資料塊DB890；
2. 當達到特定條件，啟動破壞例程時，該執行緒向所有監控的PLC中的DB890寫入資料，使同一總線上的PLC同時發起破壞攻擊，

(4) 某些條件下，會將序列C寫入PLC，針對6ES7-417，更為復雜；

(5) 破壞：（在不同時間降低或增加馬達頻率）

1. 確定正常的操作頻率：807-1210Hz；
2. 將頻率設定為1410Hz；
3. 恢復正常操作；
4. 大約27天后，先將頻率設為2Hz，然后設為1064Hz；
5. 恢復正常操作；

重復上述程序，

第三章 震網病毒重現

【篇幅原因，請關注后續文章】

點擊關注，第一時間了解華為云新鮮技術~

標籤：其他

上一篇：如何做研發效能提升

下一篇：【提升團隊運營效率】交易履約之訂單中心實踐