第五章蠕蟲引言近年來(lái)，隨著軟件分析、漏洞挖掘技術(shù)的發(fā)展，各種漏洞層出不窮。攻擊者利用信息系統(tǒng)和軟件存在的漏洞，制造蠕蟲、木馬等攻擊程序，可以在短時(shí)間內(nèi)控制大量主機(jī)，進(jìn)行非法活動(dòng)，對(duì)網(wǎng)絡(luò)安全構(gòu)成重大威脅。本章詳細(xì)介紹蠕蟲的相關(guān)概念、工作原理以及傳播模型，通過對(duì)典型蠕蟲“震網(wǎng)”的剖析使大家深入了解蠕蟲如何在現(xiàn)實(shí)應(yīng)用中傳播和工作，并對(duì)防范蠕蟲提供相應(yīng)的指導(dǎo)。蠕蟲概述蠕蟲的工作原理典型蠕蟲分析蠕蟲防范1

基本概念4定義：計(jì)算機(jī)蠕蟲可以獨(dú)立運(yùn)行，并能把自身的一個(gè)包含所有功能的版本傳播到另外的計(jì)算機(jī)上。特征：強(qiáng)調(diào)自身副本的完整性和獨(dú)立性

。

病毒蠕蟲存在形式寄生獨(dú)立個(gè)體復(fù)制機(jī)制插入到宿主程序(文件)中自身的拷貝傳染機(jī)制宿主程序運(yùn)行漏洞、郵件傳染目標(biāo)主要是針對(duì)本地文件主要針對(duì)網(wǎng)絡(luò)主機(jī)觸發(fā)傳染計(jì)算機(jī)使用者程序自身/漏洞影響重點(diǎn)文件系統(tǒng)網(wǎng)絡(luò)性能、系統(tǒng)性能用戶角色病毒傳播中的關(guān)鍵環(huán)節(jié)可能無(wú)關(guān)防治措施從宿主程序中摘除漏洞打補(bǔ)丁(Patch)定義與特征1

基本概念根據(jù)利用漏洞的類型，可以分類：郵件蠕蟲：利用MIME漏洞進(jìn)行傳播；網(wǎng)頁(yè)蠕蟲：利用IFrame漏洞和MIME漏洞或?yàn)g覽器下載漏洞進(jìn)行傳播；系統(tǒng)蠕蟲：利用RPC、LSASS、IIS等漏洞傳播，造成被感染系統(tǒng)性能迅速降低，甚至系統(tǒng)崩潰。5分類郵件蠕蟲MIME協(xié)議:電子郵件規(guī)范，提供了一種可以在郵件中附加多種不同編碼文件的方法。------=_NextPart_001_007B_01C3115F.80DFC5E0--

Content-Type:application/msword;name="readme.doc"Content-Transfer-Encoding:base64Content-Disposition:attachment;filename="readme.doc"

--content--6漏洞？如果附件與命名不一致，瀏覽器如何處理？Content-Type:audio/x-wav

;name="read.exe"1

基本概念分類1

基本概念網(wǎng)頁(yè)蠕蟲Iframe：iframe是用于在網(wǎng)頁(yè)中加入一個(gè)或多個(gè)頁(yè)面的技術(shù)，它用來(lái)實(shí)現(xiàn)“框架”結(jié)構(gòu)。分類<iframesrc=“URL”width=“w”height=“h”style=“s”

frameborder="b"></iframe>蠕蟲利用過程：攻擊者構(gòu)造一個(gè)惡意網(wǎng)頁(yè)并通過iframe引用，并設(shè)置iframe的長(zhǎng)寬高和線框?yàn)?以隱藏其頁(yè)面，使得瀏覽該網(wǎng)頁(yè)的用戶成為受害者。

1

基本概念行為特征主動(dòng)攻擊；行蹤隱蔽；利用系統(tǒng)、網(wǎng)絡(luò)應(yīng)用服務(wù)漏洞；造成網(wǎng)絡(luò)擁塞；降低系統(tǒng)性能；產(chǎn)生安全隱患；反復(fù)性/破壞性。8蠕蟲概述蠕蟲的工作原理典型蠕蟲分析蠕蟲防范2工作原理與傳播模型蠕蟲的組成與結(jié)構(gòu)組成結(jié)構(gòu)2工作原理與傳播模型工作流程一般分為“掃描→攻擊→復(fù)制”三個(gè)階段。11工作流程2工作原理與傳播模型傳統(tǒng)IP掃描策略的不足傳統(tǒng)的IP掃描策略是隨機(jī)選取某一段IP地址，然后對(duì)這一地址段上的主機(jī)進(jìn)行掃描。但是對(duì)于某一目標(biāo)網(wǎng)段，大量蠕蟲程序的掃描容易引起嚴(yán)重的網(wǎng)絡(luò)擁塞，導(dǎo)致被檢測(cè)。12改進(jìn)掃描對(duì)象隨機(jī)；掃描次數(shù)限制；掃描時(shí)間分散。工作流程2工作原理與傳播模型13確定蠕蟲傳播的弱點(diǎn)預(yù)測(cè)大規(guī)模爆發(fā)的時(shí)機(jī)預(yù)估可能造成的損失經(jīng)典的傳播模型SIS模型SIR模型節(jié)點(diǎn)狀態(tài)易感染被感染易感染被感染免疫傳播模型為什么要研究蠕蟲的網(wǎng)絡(luò)傳播模型？2工作原理與傳播模型14SIR模型(Kermack-Mckendrick)：三個(gè)假設(shè)：(1)網(wǎng)絡(luò)內(nèi)主機(jī)為常數(shù)N，即不考慮關(guān)機(jī)斷網(wǎng)等情況；(2)在t時(shí)刻，感染率為β，即1臺(tái)已感染的主機(jī)掃描到易感染主機(jī)的數(shù)量與網(wǎng)絡(luò)內(nèi)主機(jī)數(shù)量之比.(3)在t時(shí)刻，恢復(fù)率為γ，即從已感染主機(jī)轉(zhuǎn)換為免疫的主機(jī)數(shù)量與已感染主機(jī)數(shù)量之比。三種主機(jī)狀態(tài)的遷移關(guān)系：Susceptible易感染狀態(tài)Infective已感染狀態(tài)Recovered被清除免疫狀態(tài)傳播模型2工作原理與傳播模型15蠕蟲爆發(fā)定理：一個(gè)大規(guī)模蠕蟲爆發(fā)的充分必要條件是初始易感主機(jī)的數(shù)目S(t)>ρ。結(jié)論：采取各種防治手段降低蠕蟲感染率，通過先進(jìn)的治療手段提高恢復(fù)率，使S(t)≤ρ。I(t)表示在時(shí)刻t被感染的主機(jī)數(shù)；R(t)表示在時(shí)刻t被恢復(fù)的主機(jī)數(shù)；S(t)表示在時(shí)刻t尚未感染的主機(jī)數(shù)；N表示主機(jī)總數(shù)。感染的主機(jī)數(shù)與感染強(qiáng)度示意圖傳播模型2工作原理與傳播模型16蠕蟲技術(shù)的發(fā)展趨勢(shì)1.網(wǎng)絡(luò)技術(shù)：通信模式的發(fā)展—分布式；傳播模式的發(fā)展—綜合傳播手段；2.功能：動(dòng)態(tài)功能升級(jí)技術(shù)；與其它惡意代碼技術(shù)的結(jié)合3.專用性：新型應(yīng)用的蠕蟲：如工業(yè)控制系統(tǒng)發(fā)展趨勢(shì)蠕蟲概述蠕蟲的工作原理典型蠕蟲分析蠕蟲防范3震網(wǎng)蠕蟲剖析Stuxnet蠕蟲是世界上首個(gè)專門針對(duì)工業(yè)控制系統(tǒng)編寫的破壞性病毒，能夠利用windows系統(tǒng)和西門子SIMATICWinCC系統(tǒng)的7個(gè)漏洞進(jìn)行攻擊。破壞性：造成伊朗核電站用于鈾濃縮的離心機(jī)高故障率，阻礙了伊朗核開發(fā)計(jì)劃。Stuxnet開啟了惡意代碼的新時(shí)代，是首款用于實(shí)戰(zhàn)的代碼型武器。18（1）特點(diǎn)傳播特點(diǎn)：定向內(nèi)含IP地址路徑，清晰表明主要針對(duì)中東地區(qū)的網(wǎng)絡(luò)；傳播媒介為U盤和內(nèi)部局域網(wǎng)，說明目標(biāo)不是互聯(lián)網(wǎng)機(jī)器；形態(tài)特點(diǎn)：復(fù)雜體積大結(jié)構(gòu)復(fù)雜驅(qū)動(dòng)有簽名載荷加密保護(hù)193震網(wǎng)蠕蟲剖析3震網(wǎng)蠕蟲剖析20（2）組織架構(gòu)主Dropper加載執(zhí)行后將釋放主Stuxnet模塊；主模塊初始化執(zhí)行，注入到合法進(jìn)程；安裝模塊檢測(cè)配置和環(huán)境，執(zhí)行安裝動(dòng)作，加載驅(qū)動(dòng)程序；感染模塊負(fù)責(zé)USB和網(wǎng)絡(luò)的傳播控制；ROOTKIT模塊負(fù)責(zé)文件的隱藏；加載模塊由LNK漏洞觸發(fā)，安裝主Dropper文件。3震網(wǎng)蠕蟲剖析（3）主Dropper模塊主Dropper模塊即~WTR4132.TMP文件，是一個(gè)DLL文件，由Explorer.exe加載。21疑問：如何讓explorer.exe加載dll？3震網(wǎng)蠕蟲剖析22WTR4132.TMP結(jié)構(gòu).stub節(jié)Main.dllPE結(jié)構(gòu)，DLL系統(tǒng)配置主要功能rootkit如何將這個(gè)動(dòng)態(tài)庫(kù)加載到內(nèi)存運(yùn)行？3震網(wǎng)蠕蟲剖析傳統(tǒng)的加載DLL手段--LoadLibrary：其參數(shù)要求被加載的動(dòng)態(tài)庫(kù)在磁盤中以文件的形態(tài)存在。與當(dāng)前的maindll在內(nèi)存的形態(tài)并不相符。23Stunet的獨(dú)特方式1—內(nèi)存加載dll：在內(nèi)存中申請(qǐng)一個(gè)存放dll的空間；Hookntdll.dll的6個(gè)函數(shù)；利用LoadLibrary直接從內(nèi)存指定位置加載main.dll.

如：KERNEL32.DLL.ASLR.XXXXZwMapViewofSectionZwCreateSectionZwOpenFileZwCloseZwQueryAttributesFileZwQuerySection3震網(wǎng)蠕蟲剖析（4）安裝機(jī)制Maindll已在內(nèi)存中，為什么還要進(jìn)一步安裝？安全性考慮：存在explorer.exe沒有保護(hù)，很容易被發(fā)現(xiàn)；權(quán)限：explorer只有用戶權(quán)限，不具有最高權(quán)限；24步驟：脫殼UPX檢測(cè)環(huán)境以決定是否執(zhí)行將自已注入到其它進(jìn)程，目標(biāo)如何選擇？如何注入？配置文件是否完整目標(biāo)系統(tǒng)32或64位是否為管理員權(quán)限1.Csrss.exe-Win32.sys2.Taskscheduler否目標(biāo)進(jìn)程的選擇：1.殺毒軟件：KAV、Trend等，則以其主程序?yàn)槟繕?biāo)2.其它：lsass.exe,winlogon.exe3震網(wǎng)蠕蟲剖析25安裝后生成文件：C:\WINDOWS\inf\oem7A.PNFC:\WINDOWS\inf\oem6C.PNFC:\WINDOWS\inf\mdmcpq3.PNFC:\WINDOWS\inf\mdmeric3.PNFC:\WINDOWS\system32\Drivers\mrxnet.sysC:\WINDOWS\system32\Drivers\mrxcls.sys驅(qū)動(dòng)加載方式：偽造簽名。首次安裝合法使用ZwLoadDriver，以后利用注冊(cè)表實(shí)現(xiàn)自動(dòng)加載。通過設(shè)置防火墻的相關(guān)注冊(cè)表項(xiàng)，關(guān)閉防火墻報(bào)警！3震網(wǎng)蠕蟲剖析26（5）傳播機(jī)制Stuxnet病毒首先侵入位于互聯(lián)網(wǎng)中的主機(jī)感染U盤，利用LNK漏洞傳播到工業(yè)專用內(nèi)部網(wǎng)絡(luò)利用LNK漏洞、RPC遠(yuǎn)程執(zhí)行漏洞、打印機(jī)后臺(tái)程序服務(wù)漏洞在內(nèi)網(wǎng)滲透抵達(dá)安裝了WinCC系統(tǒng)的主機(jī)，展開攻擊3震網(wǎng)蠕蟲剖析27Stuxnet會(huì)在移動(dòng)存儲(chǔ)設(shè)備的根目錄下創(chuàng)建如下病毒文件：~WTR4132.tmp和~WTR4141.tmp同時(shí)還會(huì)創(chuàng)建下列快捷方式文件，指向~WTR4141.tmp文件：CopyofShortcutto.lnkCopyofCopyofShortcutto.lnkCopyofCopyofCopyofShortcutto.lnkCopyofCopyofCopyofCopyofShortcutto.lnk有必要存在這么多的LNK文件嗎？3震網(wǎng)蠕蟲剖析28不同版本的Windows操作系統(tǒng)中~WTR4141.TMP的路徑不同。Win7：\\.\STORAGE#Volume#_??_USBSTOR#Disk&Ven_____USB&Prod_FLASH_DRIVE&Rev_#12345000100000000173&0#{53f56307-b6bf-11d0-94f2-1300a0c91efb8b}#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}\~WTR4141.tmpWindowsXP,WindowsServer2003andWindows2000:\\.\STORAGE#RemovableMedia#8&1c5235dc&0&RM#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}\~WTR4141.tmpExplorer調(diào)用“Shell32.LoadCPLModule”API裝載快捷方式的圖標(biāo)icon，該API調(diào)用LoadLibraryA執(zhí)行~wtr4141.tmp的主函數(shù)。3震網(wǎng)蠕蟲剖析29基于U盤的傳播過程技巧:Hook函數(shù)以隱藏U盤中的代碼文件FindFirstFileWFindNextFileWFindFirstFileExWNtQ