课件：震网病毒.ppt

1、 工业控制系统破坏性病毒 Stuxnet蠕虫病毒 Stuxnet简介 Stuxnet特点 Stuxnet运行环境 攻击原理及传染方式 查杀及预防stuxnet目录 Stuxnet Stuxnet蠕虫病毒（超级工厂病毒蠕虫病毒（超级工厂病毒）又名）又名“震网震网”，是世，是世界上首个专门针对工业控制系统编写的破坏性病毒。界上首个专门针对工业控制系统编写的破坏性病毒。Stuxnet Stuxnet已经感染了全球超过已经感染了全球超过 45000 45000个网络，个网络，60%60%的个的个 人电脑感染了这种病毒人电脑感染了这种病毒。传播途径：该病毒主要通过传播途径：该病毒主要通过U盘和局域网进行

2、传播。盘和局域网进行传播。“历史贡献历史贡献”：曾造成伊朗核电站推迟发电。：曾造成伊朗核电站推迟发电。Stuxnet简介简介 Stuxnet能够利用5 5个个针对针对windows系统系统和两个两个针对针对西门子SIMATIC WinCC系统的漏洞进行攻击。特别是针对西门子公司的特别是针对西门子公司的SIMATIC WinCC过程监控与数据采集过程监控与数据采集(SCADA)(SCADA)系统的攻系统的攻击。由于该系统在我国被广泛用于钢铁、击。由于该系统在我国被广泛用于钢铁、电力、能源、化工等的人机交互与监控。电力、能源、化工等的人机交互与监控。一旦攻击成功，代价惨重。一旦攻击成功，代价惨重。

3、Stuxnet简介简介 震网病毒最大的特点：打破恶意程序只攻击用户电脑震网病毒最大的特点：打破恶意程序只攻击用户电脑的的“惯例惯例”，将攻击目标偏向于用户的生活与生存环境上，将攻击目标偏向于用户的生活与生存环境上来。来。一旦用户的电脑不幸遭受一旦用户的电脑不幸遭受超级工厂病毒超级工厂病毒Stuxnet入侵，不入侵，不但会使用户电脑变成任由其摆布的但会使用户电脑变成任由其摆布的“肉鸡肉鸡，严重影响到用，严重影响到用户的日常生活，而且还会引发户的日常生活，而且还会引发“多米诺骨牌效应多米诺骨牌效应”，导致，导致与受害用户联网的人群遭受同样攻击。与受害用户联网的人群遭受同样攻击。stuxnet特点

4、Stuxnet在以下操作系统中可以激活运行：Windows 2000、Windows Server 2000 Windows XP、Windows Server 2003 Windows Vista Windows 7、Windows Server 2008 当它发现自己运行在非Windows NT系列操作系统中，即刻退出。被攻击的软件系统包括：SIMATIC WinCC 7.0 SIMATIC WinCC 6.2 stuxnet运行环境U盘传播工具Stuxnet的攻击目标主要是SIMATIC WinCC软件，主要用于工业控制系统的数据采集与监控，一般部署在专用的内部局域网中，并与外部互联网实

5、行物理上的隔离。为了实现攻击，Stuxnet蠕虫采取多种手段进行渗透和传播，如图所示：stuxnet传播方式HKLMSOFTWARESIEMENSSTEP7 HKLMSOFTWARESIEMENSWinCCSetup WinCC stuxnet注册表是否存在DLL加载策略上的缺陷WinCC系统中硬编码漏洞硬编码漏洞：Stuxnet利用这一漏洞尝试访问该系统的SQL数据库DLL加载策略上的缺陷：Stuxnet通过替换Step7软件中的s7otbxdx.dll，实现对一些查询、读取函数的Hook。Stuxnet蠕虫查询两个注册表来判断主机中是否安装蠕虫查询两个注册表来判断主机中是否安装WinCC系

6、统：系统：HKLMSOFTWARESIEMENSWinCCSetup HKLMSOFTWARESIEMENSSTEP7一旦发现一旦发现WinCC系统，就利用其中的两个漏洞展开攻击：系统，就利用其中的两个漏洞展开攻击：1.1.WinCC系统中存在一个硬编码漏洞，保存了访问数据库的默认账户名系统中存在一个硬编码漏洞，保存了访问数据库的默认账户名和密码，和密码，Stuxnet利用这一漏洞尝试访问该系统的利用这一漏洞尝试访问该系统的SQLSQL数据库。数据库。2.2.在需要使用的在需要使用的Step7工程中，在打开工程文件时，存在工程中，在打开工程文件时，存在DLLDLL加载策略上加载策略上的缺陷，从

7、而导致一种类似于的缺陷，从而导致一种类似于“DLL“DLL预加载攻击预加载攻击”的利用方式。最终，的利用方式。最终，Stuxnet通过替换通过替换Step7软件中的软件中的s7otbxdx.dll，实现对一些查询、读取，实现对一些查询、读取函数的函数的Hook。样本的典型运行流程mrxnet.sys通过修改一些内核调用来隐藏被拷贝到U盘的lnk文件和DLL文件 特点：简单 、波及范围广、危害程度高 存在此漏洞的系统收到精心构造的RPC请求时，可允许远程执行代码。在Windows 2000、Windows XP和Windows Server 2003系统中，利用这一漏洞，攻击者可以通过恶意构造的

8、网络包直接发起攻击，无需通过认证地运行任意代码，并且获取完整的权限。因此该漏洞常被蠕虫用于大规模的传播和攻击。Stuxnet利用这一漏洞时，如果权限不够导致失败，还会使用一个尚未公开的漏洞来提升自身权限，然后再次尝试攻击。这个漏洞利用Windows在解析快捷方式文件（例如.lnk文件）时的系统机制缺陷，使系统加载攻击者指定的DLL文件，从而触发攻击行为。Stuxnet蠕虫搜索计算机中的可移动存储设备 Windows打印后台程序没有合理地设置用户权限Stuxnet蠕虫利用这个漏洞实现在内部局域网中的传播。1.使用相关专杀工具或手工清除使用相关专杀工具或手工清除Stuxnet蠕蠕虫虫 2.安装被利用漏洞的系统补丁安装被利用漏洞的系统补丁 3.安装西门子发布的WinCC系统安全更新补丁 1.使用Atool管理工具，结束系统中的父进程不是winlogon.exe的所有lsass.exe进程 2.删除下列注册表项：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMRxCls HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMRxNET