2024年3月13日发(作者:)

Stuxnet蠕虫驱动分析

这里只是分析文字, 贴图影响速度, 就不贴了, 具体看附件pdf文档, 难免有错误之处,

欢迎指正!

一. Stuxnet蠕虫(超级工厂病毒)简单说明

能够利用对windows系统和西门子SIMATIC WinCC系统的7个漏洞进行攻击,被称

为是新时代网络战争开始的标志,

也有人宣称是"政府发动的网路战争、带有圣经讯息、最高机密等",呵呵,有点雷人!

windows下最主要的传播途径是攻击快捷方式自动执行漏洞(MS10-046),

WindowsServer服务的远程溢出漏洞

(MS08-067)以及打印后台程序服务中的远程代码执行漏洞(MS10-061)。

病毒成功攻击了伊朗核电站,造成伊朗核电站推迟发电.由于能够对西门子公司的

SIMATIC WinCC监控与数据采集

(SCADA) 系统进行攻击,因此也能攻击我国的钢铁、电力、能源、化工等重要行业,

Stuxnet超级工厂病毒直到2010-09-25,才在传入国内网络.我是在近两个月前才收

到的,当时只需要简单分析用户态的部分样本,因此没有对驱动进行分析.后来闲着没事时,就

分析了驱动部分.不过,此病毒强大之处大部分都在用户态实现.

二.Stuxnet蠕虫(超级工厂病毒)驱动()分析

从Stuxnet蠕虫病毒样本中提取出了两个驱动文件,(17k),(26k),

其中驱动在蠕

虫通过u盘驱动器传播时被用来隐藏特定文件,这个驱动是一个文件系统过滤驱动,支

持三种文件系统ntfs,

fastfat和cdfs文件系统.驱动文件则被用于向用户空间中注入代码,被注入

的模块被放在一个配

置文件中,这应该就是最初让卡巴斯基头痛的"父进程注入"技术,轻松地绕过卡巴.这里

单就只分析驱动.

入口处开始分析:

1.此驱动首先创建一个设备类型为FILE_DEVICE_DISK_FILE_SYSTEM,设备特征为

FILE_DEVICE_SECURE_OPEN,

设备扩展为8字节的无名设备对象.这个驱动没有控制设备,因此不会跟用户态交换信

息.

其中设备扩展的类似如下定义:

DeviceExtension