当前位置:文档之家› 对Stuxnet蠕虫攻击工业控制系统事件的综合报告 - 安天实验室

对Stuxnet蠕虫攻击工业控制系统事件的综合报告 - 安天实验室

对Stuxnet蠕虫攻击工业控制系统事件的综合报告 - 安天实验室
对Stuxnet蠕虫攻击工业控制系统事件的综合报告 - 安天实验室

对Stuxnet蠕虫攻击工业控制系统事件的综合报告

2010年9月27日21时 首次发布

2010年9月30日14时 最新修订

安天实验室 安全研究与应急处理中心

Antiy CERT

目 录

第1章 事件背景 (3)

第2章 样本典型行为分析 (4)

2.1 运行环境 (4)

2.2 本地行为 (4)

2.3 传播方式 (6)

2.4 攻击行为 (9)

2.5 样本文件的衍生关系 (10)

第3章 解决方案与安全建议 (12)

3.1 抵御本次攻击 (12)

3.2 安全建议 (12)

第4章 攻击事件的特点 (14)

4.1 专门攻击工业系统 (14)

4.2 利用多个零日漏洞 (14)

4.3 使用有效的数字签名 (14)

4.4 明确的攻击目标 (15)

第5章 综合评价 (16)

5.1 工业系统安全将面临严峻挑战 (16)

5.2 展望和思考 (17)

附录 (19)

安天应急响应时间表 (19)

相关链接 (19)

第1章事件背景

近日,国内外多家媒体相继报道了Stuxnet蠕虫对西门子公司的数据采集与监控系统SIMATIC WinCC进行攻击的事件,称其为“超级病毒”、“超级工厂病毒”,并形容成“超级武器”、“潘多拉的魔盒”。

Stuxnet蠕虫(俗称“震网”、“双子”)在今年7月开始爆发。它利用了微软操作系统中至少4个漏洞,其中有3个全新的零日漏洞;为衍生的驱动程序使用有效的数字签名;通过一套完整的入侵和传播流程,突破工业专用局域网的物理限制;利用WinCC系统的2个漏洞,对其展开攻击。它是第一个直接破坏现实世界中工业基础设施的恶意代码。据赛门铁克公司的统计,目前全球已有约45000个网络被该蠕虫感染,其中60%的受害主机位于伊朗境内。伊朗政府已经确认该国的布什尔核电站遭到Stuxnet蠕虫的攻击。

安天实验室于7月15日捕获到Stuxnet蠕虫的第一个变种,在第一时间展开分析,发布了分析报告及防范措施,并对其持续跟踪。截止至本报告发布,安天已经累计捕获13个变种、 600多个不同哈希值的样本实体。

第2章样本典型行为分析

2.1运行环境

Stuxnet蠕虫在下列操作系统中可以激活运行:

●Windows 2000、Windows Server 2000

●Windows XP、Windows Server 2003

●Windows Vista

●Windows 7、Windows Server 2008

当它发现自己运行在非Windows NT系列操作系统中,会即刻退出。

被攻击的软件系统包括:

●SIMATIC WinCC 7.0

●SIMATIC WinCC 6.2

但不排除其他版本的WinCC被攻击的可能。

2.2本地行为

样本被激活后,典型的运行流程如图1所示。

样本首先判断当前操作系统类型,如果是Windows 9X/ME,就直接退出。

接下来加载一个DLL模块,后续要执行的代码大部分都在其中。为了躲避反病毒软件的监视和查杀,样本并不将DLL模块释放为磁盘文件,而是直接拷贝到内存中,然后模拟正常的DLL加载过程。

具体而言,样本先申请一块内存空间,然后Hook ntdll.dll导出的6个系统函数:

●ZwMapViewOfSection

●ZwCreateSection

●ZwOpenFile

●ZwClose

●ZwQueryAttributesFile

●ZwQuerySection

为此,样本先修改自身进程内存映像中ntdll.dll模块PE头的保护属性,然后将偏移0x40字节处的一段数据改写为跳转代码表,用以实现对上述函数的hook。

进而,样本就可以使用修改过的ZwCreateSection在内存空间中创建一个新的PE节,并将要加载的DLL模块拷贝到内存中,最后使用LoadLibraryW来获取模块句柄。

图1 样本的典型运行流程

此后,样本跳转到被加载的DLL中执行,衍生下列文件:

●%System32%\drivers\mrxcls.sys

●%System32%\drivers\mrxnet.sys

●%Windir%\inf\oem7A.PNF

●%Windir%\inf\mdmeric3.PNF

●%Windir%\inf\mdmcpq3.PNF

●%Windir%\inf\oem6C.PNF

其中有两个驱动程序mrxcls.sys和mrxnet.sys,分别被注册成名为MRXCLS和MRXNET 的系统服务,实现开机自启动。这两个驱动程序都使用了Rootkit技术,并使用了数字签名。

mrxcls.sys负责查找主机中安装的WinCC系统,并进行攻击。具体地说,它监控系统进程的镜像加载操作,将存储在%Windir%\inf\oem7A.PNF中的一个模块注入到

services.exe、S7tgtopx.exe、CCProjectMgr.exe三个进程中,后两者是WinCC系统运行

时的进程。

mrxnet.sys通过修改一些内核调用来隐藏被拷贝到U盘的lnk文件和DLL文件(图2)。

图2 驱动程序隐藏某些lnk文件

2.3传播方式

Stuxnet蠕虫的攻击目标是SIMATIC WinCC软件。后者主要用于工业控制系统的数据采集与监控,一般部署在专用的内部局域网中,并与外部互联网实行物理上的隔离。为了实现

攻击,Stuxnet蠕虫采取多种手段进行渗透和传播,如图3

所示。

图3 样本的多种传播方式

整体的传播思路是:首先感染外部主机;然后感染U盘,利用快捷方式文件解析漏洞,传播到内部网络;在内网中,通过快捷方式解析漏洞、RPC远程执行漏洞、打印机后台程序

服务漏洞,实现联网主机之间的传播;最后抵达安装了WinCC软件的主机,展开攻击。 1.快捷方式文件解析漏洞(MS10‐046)

这个漏洞利用Windows在解析快捷方式文件(例如.lnk文件)时的系统机制缺陷,使系统加载攻击者指定的DLL文件,从而触发攻击行为。具体而言,Windows在显示快捷方式文件时,会根据文件中的结构信息寻找它所需的图标资源,并将其作为文件的图标展现给用户。如果图标资源在一个DLL文件中,系统就会加载这个DLL文件。攻击者可以构造一个这样快捷方式文件,使系统加载他指定的恶意DLL文件,从而触发后者中的恶意代码。快捷方式文件的显示是系统自动执行,无需用户交互,因此漏洞的利用效果很好。

Stuxnet蠕虫搜索计算机中的可移动存储设备(图4)。一旦发现,就将快捷方式文件和DLL文件拷贝到其中(图5)。如果用户将这个设备再插入到内部网络中的计算机上使用,就会触发漏洞,从而实现所谓的“摆渡”攻击,即利用移动存储设备对物理隔离网络的渗入。

图4 查找U盘

图5 拷贝文件到U盘

拷贝到U盘的DLL文件有两个:~wtr4132.tmp和~wtr4141.tmp。后者Hook了kernel32.dll和ntdll.dll中的下列导出函数:

●FindFirstFileW

●FindNextFileW

●FindFirstFileExW

●NtQueryDirectoryFile

ZwQueryDirectoryFile

实现对U盘中lnk文件和DLL文件的隐藏。因此,Stuxnet一共使用了两种措施(内核态驱动程序、用户态Hook API)来实现对U盘文件的隐藏,使攻击过程很难被用户发觉,也能一定程度上躲避杀毒软件的扫描。

2.RPC远程执行漏洞(MS08‐067)与提升权限漏洞

这是2008年爆发的最严重的一个微软操作系统漏洞,具有利用简单、波及范围广、危害程度高等特点。

图6 发动RPC攻击

具体而言,存在此漏洞的系统收到精心构造的RPC请求时,可能允许远程执行代码。在Windows 2000、Windows XP和Windows Server 2003系统中,利用这一漏洞,攻击者可以通过发送恶意构造的网络包直接发起攻击,无需通过认证地运行任意代码,并且获取完整的权限。因此该漏洞常被蠕虫用于大规模的传播和攻击。

Stuxnet蠕虫利用这个漏洞实现在内部局域网中的传播(图6)。利用这一漏洞时,如果权限不够导致失败,还会使用一个尚未公开的漏洞来提升自身权限(图1),然后再次尝试攻击。截止本报告发布,微软尚未给出该提权漏洞的解决方案。

3.打印机后台程序服务漏洞(MS10‐061)

这是一个零日漏洞,首先发现于Stuxnet蠕虫中。

Windows打印后台程序没有合理地设置用户权限。攻击者可以通过提交精心构造的打印请求,将文件发送到暴露了打印后台程序接口的主机的%System32%目录中。成功利用这个漏洞可以以系统权限执行任意代码,从而实现传播和攻击。

图7 利用打印服务漏洞

Stuxnet蠕虫利用这个漏洞实现在内部局域网中的传播。如图7所示,它向目标主机发送两个文件:winsta.exe、sysnullevnt.mof。后者是微软的一种托管对象格式(MOF)文件,在一些特定事件驱动下,它将执行winsta.exe,也就是蠕虫自身。

2.4攻击行为

Stuxnet蠕虫查询两个注册表键来判断主机中是否安装WinCC系统(图8):

●HKLM\SOFTWARE\SIEMENS\WinCC\Setup

●HKLM\SOFTWARE\SIEMENS\STEP7

图8 查询注册表,判断是否安装WinCC

一旦发现WinCC系统,就利用其中的两个漏洞展开攻击:

一是WinCC系统中存在一个硬编码漏洞,保存了访问数据库的默认账户名和密码,Stuxnet利用这一漏洞尝试访问该系统的SQL数据库(图9)。

二是在WinCC需要使用的Step7工程中,在打开工程文件时,存在DLL加载策略上的缺陷,从而导致一种类似于“DLL预加载攻击”的利用方式。最终,Stuxnet通过替换Step7软件中的s7otbxdx.dll,而将原来的同名文件修改为s7otbxsx.dll,并对这个文件的导出函数进行一次封装,从而实现对一些查询、读取函数的Hook。

图9 查询WinCC的数据库

2.5样本文件的衍生关系

本节综合介绍样本在上述复制、传播、攻击过程中,各文件的衍生关系。

如图10所示。样本的来源有多种可能。

对原始样本、通过RPC漏洞或打印服务漏洞传播的样本,都是exe文件,它在自己的.stud

节中隐形加载模块,名为“kernel32.dll.aslr.<随机数字>.dll”。

对U盘传播的样本,当系统显示快捷方式文件时触发漏洞,加载~wtr4141.tmp文件,

后者加载一个名为“shell32.dll.aslr.<随机数字>.dll”的模块,这个模块将另一个文件

~wtr4132.tmp加载为“kernel32.dll.aslr.<随机数字>.dll”。

模块“kernel32.dll.aslr.<随机数字>.dll”负责实现后续的大部分攻击行为,它导出

了22个函数来完成恶意代码的主要功能;在其资源节中,包含了一些衍生文件,它们以加

密的形式被保存。

其中,第16号导出函数用于衍生一些本地文件,包括资源编号201的mrxcls.sys和编

号242的mrxnet.sys两个驱动程序,以及4个.pnf文件。

图10 样本文件衍生的关系

第17号导出函数用于攻击WinCC系统的第二个漏洞,它释放一个s7otbxdx.dll。

第19号导出函数负责利用快捷方式解析漏洞进行传播。它释放多个lnk文件和两个扩展名为tmp的DLL文件。

第22号导出函数负责利用RPC漏洞和打印服务漏洞进行传播。它释放的文件中,资源编号221的文件用于RPC攻击、编号222的文件用于打印服务攻击、编号250的文件用于提权。

第3章解决方案与安全建议

3.1抵御本次攻击

西门子公司对此次攻击事件给出了解决方案,链接地址见附录。下面根据我们的分析结果,给出更具体的措施。

1、使用相关专杀工具或手工清除Stuxnet蠕虫

手工清除的步骤为:

1.使用安天Atool工具,结束系统中的父进程不是winlogon.exe的所有lsass.exe

进程;

2.强行删除下列衍生文件:

●%System32%\drivers\mrxcls.sys

●%System32%\drivers\mrxnet.sys

●%Windir%\inf\oem7A.PNF

●%Windir%\inf\mdmeric3.PNF

●%Windir%\inf\mdmcpq3.PNF

●%Windir%\inf\oem6C.PNF

3.删除下列注册表项:

●HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxCls

●HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxNET

2、安装被利用漏洞的系统补丁

安装微软提供的下列补丁文件:

●RPC远程执行漏洞(MS08-067)

●快捷方式文件解析漏洞(MS10-046)

●打印机后台程序服务漏洞(MS10-061)

此外,需要注意还有一个尚未修补的提升权限(EoP)漏洞,以及微软随后发现的另一个类似漏洞。用户需对这两个漏洞的修补情况保持关注。

3、安装软件补丁

安装西门子发布的WinCC系统安全更新补丁,下载地址见附录。

3.2安全建议

此次攻击事件凸显了两个问题:

1、即便是物理隔离的专用局域网,也并非牢不可破;

2、专用的软件系统,包括工业控制系统,也有可能被攻击。

因此,我们对有关部门和企业提出下列安全建议:

●加强主机(尤其是内网主机)的安全防范,即便是物理隔离的计算机也要及时更新

操作系统补丁,建立完善的安全策略;

●安装安全防护软件,包括反病毒软件和防火墙,并及时更新病毒数据库;

●建立软件安全意识,对企业中的核心计算机,随时跟踪所用软件的安全问题,及时

更新存在漏洞的软件;

●进一步加强企业内网安全建设,尤其重视网络服务的安全性,关闭主机中不必要的

网络服务端口;

●所有软件和网络服务均不启用弱口令和默认口令;

●加强对可移动存储设备的安全管理,关闭计算机的自动播放功能,使用可移动设备

前先进行病毒扫描,为移动设备建立病毒免疫,使用硬件式U盘病毒查杀工具。

第4章攻击事件的特点

相比以往的安全事件,此次攻击呈现出许多新的手段和特点,值得特别关注。

4.1专门攻击工业系统

Stuxnet蠕虫的攻击目标直指西门子公司的SIMATIC WinCC系统。这是一款数据采集与监视控制(SCADA)系统,被广泛用于钢铁、汽车、电力、运输、水利、化工、石油等核心工业领域,特别是国家基础设施工程;它运行于Windows平台,常被部署在与外界隔离的专用局域网中。

一般情况下,蠕虫的攻击价值在于其传播范围的广阔性、攻击目标的普遍性。此次攻击与此截然不同,最终目标既不在开放主机之上,也不是通用软件。无论是要渗透到内部网络,还是挖掘大型专用软件的漏洞,都非寻常攻击所能做到。这也表明攻击的意图十分明确,是一次精心谋划的攻击。

4.2利用多个零日漏洞

Stuxnet蠕虫利用了微软操作系统的下列漏洞:

1.RPC远程执行漏洞(MS08-067)

2.快捷方式文件解析漏洞(MS10-046)

3.打印机后台程序服务漏洞(MS10-061)

4.尚未公开的一个提升权限漏洞

后三个漏洞都是在Stuxnet中首次被使用,是真正的零日漏洞。如此大规模的使用多种零日漏洞,并不多见。

这些漏洞并非随意挑选。从蠕虫的传播方式来看,每一种漏洞都发挥了独特的作用。比如基于自动播放功的U盘病毒被绝大部分杀毒软件防御的现状下,就使用快捷方式漏洞实现U盘传播。

另一方面,在安天捕获的样本中,有一部分实体的时间戳是今年3月。这意味着至少在3月份,上述零日漏洞就已经被攻击者掌握。但直到7月份大规模爆发,漏洞才首次披露出来。这期间要控制漏洞不泄露,有一定难度。

4.3使用有效的数字签名

Stuxnet在运行后,释放两个驱动文件:

●%System32%\drivers\mrxcls.sys

●%System32%\drivers\mrxnet.sys

这两个驱动文件使用了RealTek的数字签名(图11)以躲避杀毒软件的查杀。目前,这一签名已经被颁发机构吊销,无法再通过在线验证,但目前反病毒产品大多使用静态方法判定可执行文件是否带有数字签名,因此有可能被欺骗。

图11 Stuxnet使用的数字签名

4.4明确的攻击目标

根据赛门铁克公司的统计,7月份,伊朗感染Stuxnet蠕虫的主机只占25%,到9月下旬,这一比例达到60%。

WinCC被伊朗广泛使用于基础国防设施中。9月27日,伊朗国家通讯社向外界证实该国的第一座核电站“布什尔核电站”已经遭到攻击。据了解,该核电站原计划于今年8月开始正式运行。而Stuxnet编写于3月,直到7月才大规模爆发,与这一计划不谋而合。因此,有充分的理由相信此次攻击具有明确的地域性和目的性。

第5章综合评价

5.1工业系统安全将面临严峻挑战

在我国,WinCC系统已经广泛应用于很多重要行业,一旦受到攻击,可能造成相关企业和工程项目的基础设施运转出现异常,甚至发生机密失窃、停工停产等严重事故。

对Stuxnet蠕虫的出现,我们并未感到十分意外。早在一年多以前,安天就接受用户委托,对化工行业仪表的安全性展开过类似的分析研究,结论不容乐观。

工业控制网络,包括工业以太网、现场总线控制系统,在工业企业中早已应用多年。目前在电力、钢铁、化工等大型重化工业企业中,工业以太网、DCS(集散控制系统)、现场总线等技术早已渗透到控制系统的方方面面。工业控制网络的核心现在都是工控PC,大多数同样基于Windows-Intel平台;工业以太网与民用以太网在技术上并无本质差异;现场总线技术更是将单片机与嵌入式系统应用到了每一个控制仪表上。工业控制网络除了可能遭到与攻击民用或商用网络手段相同的攻击,例如通过局域网传播的恶意代码之外,还可能遭到针对现场总线的专门攻击。

针对民用或商用计算机和网络的攻击,目前多以获取经济利益为主要目标;但针对工业控制网络和现场总线的攻击,则可能破坏企业重要装置和设备的正常测控,由此引起的后果将是灾难性的。以化工行业为例,针对工业控制网络的攻击可能破坏反应器的正常温度与压力测控,导致反应器超温或超压,最终就会导致冲料、起火甚至爆炸等灾难性事故,还可能造成次生灾害和人道主义灾难。因此,这种袭击工业网络的恶意代码一般带有信息武器的性质,目标是对重要工业企业的正常生产进行干扰甚至严重破坏,其发起者一般不是个人或者普通地下黑客组织。

目前,工业以太网和现场总线标准均为公开标准,熟悉工控系统的程序员开发针对性的恶意攻击代码并不存在很高的技术门槛。因此,对下列可能的工业网络安全薄弱点进行增强和防护是十分必要的:

1、基于Windows-Intel平台的工控PC和工业以太网。可能遭到与攻击民用或商用PC

和网络手段相同的攻击,例如通过U盘传播恶意代码和网络蠕虫。

2、DCS和现场总线控制系统中的组态软件(测控软件的核心)。针对组态软件的攻击

会从根本上破坏测控体系。目前,这类产品,特别是行业产品,被少数公司所垄断,

例如电力行业常用的西门子SIMATIC WinCC、石化行业常用的浙大中控等。

3、随着现场总线的进一步广泛应用,基于数字通信的现场总线将成为新的攻击目标,

攻击现场总线的危害性不次于攻击工业以太网。基于RS-485总线以及光纤物理层

的现场总线,例如PROFIBUS和MODBUS(串行链路协议),其安全性相对较好;但

短程无线网络,尤其是不使用Zigbee等通用短程无线协议(有一定的安全性),而

使用自定义专用协议的短程无线通信测控仪表,安全性较差。特别是国内一些小企

业生产的“无线传感器”等测控仪表,其无线通信部分采用通用2.4GHz短程无线

通信芯片,连基本的加密通信都没有使用,可以说毫无安全性可言,极易遭到窃听

和攻击,如果使用,将成为现场总线中最容易被攻击的薄弱点。

相对信息网络而言,传统工业网络的安全一直是凭借内网隔离,而疏于防范。因此,针对工业系统的安全检查和安全加固迫在眉睫。

5.2展望和思考

在传统工业与信息技术的融合不断加深、传统工业体系的安全核心从物理安全向信息安全转移的趋势和背景下,此次Stuxnet蠕虫攻击事件尤为值得我们深入思考。

这是一次极为不同寻常的攻击,其具体体现是:

●传统的恶意攻击追求影响范围的广泛性,而这次攻击极富目的性;

●传统的攻击大都利用通用软件的漏洞,而这次攻击则完全针对行业专用软件;

●这次攻击使用了多个全新的零日漏洞进行全方位攻击,这是传统攻击难以企及的;

●这次攻击通过恰当的漏洞顺利渗透到内部专用网络中,这也正是传统攻击的弱项;

●从时间、技术、手段、目的、攻击行为等多方面来看,完全可以认为发起此次攻击

的不是个人或者普通地下黑客组织。

因此,这次攻击中所采用的多个新漏洞和传播手段,将在接下来很长一段时间内给新的攻击提供最直接的动力。至少有两种新的攻击趋势值得注意:

1、针对行业专用软件的漏洞挖掘和攻击,特别是对上升到国家战略层面的关键行业和

敏感行业的专用软件的攻击。安天实验室在今年年初发布的《多家企业网络入侵事

件传言的同源木马样本分析报告》中就明确指出:“目前的漏洞分析挖掘的注意点

已经不集中于主流厂商,而开始普遍扩散”。另一方面,这些攻击虽然针对软件,

但并不一定就是利用软件本身的缺陷,安全是全方位的问题,攻击可能来自于任何

一个角度。

2、针对企业内部网络,特别是物理隔离的内部专用网络的攻击。这类网络具有较高的

安全要求,也更具攻击价值。通过U盘等可移动存储设备渗入这类网络的常用方法

和技术包括感染、欺骗、自动播放等。本次出现的快捷方式文件解析漏洞,为此类

攻击提供了一种更有效的方法。此外,这种内部网络也将因为本次事件而被攻击者

关注和研究,不能排除出现新的攻击方式的可能。

在对病毒未来发展的种种预言中,最令人恐惧的还不是它对计算机节点自身数据的影响,而在于它对相关环节可能产生的关联影响,比如对武器系统的非法控制等等。不幸的是,此次Stuxnet蠕虫攻击事件就证明:如果没有有效的防范,上述预言就一定会变成事实。

工业电子化体系的第一次进步是模拟电子技术与机械制造技术的结合。此后,随着数字化技术的不断引入,依托单片机、嵌入式程序及早期数字化工业控制协议,它完成了第二次跳跃。此时的工业控制系统与办公信息网络异构并且分离,其安全考虑以物理安全为主。

随着PC环境、互联网络的成本逐渐降低,越来越多的工业系统和其它信息系统开始走向标准的x86环境,越来越多的控制信号和采集传输开始采用TCP/IP协议标准甚至使用公网传输,这就让庞大的x86病毒种群找到了可能带来更致命威胁的新目标。因此,即便采用基于传统物理隔离的数据交换也不能绝对保证安全,本次事件中,U盘这种非实时传播途径带来的威胁就再次凸显。另一方面,出于内网隔离和稳定性考虑,工业系统常使用版本较老的操作系统,且没有有效的补丁条件,这更加剧了安全隐患。

传统工业系统的设计者和使用者,在物理安全方面已经作出了很多考量,通过足够多的传感器、大量的流程、文献、以及人的积极努力来保证工业系统的正常运行。而本次事件中,系统开发人员把连接数据库的用户名和口令做成硬编码,而不是与程序独立的可配置内容,这是软件开发中的一种低级失误,却可能普遍存在于目前的专用软件系统中。我们可以看到,在安全方面,传统PC开发走过的每一条弯路,在工业控制系统基本都会重演。也可以判定,在未来的20年内,工业系统的安全问题核心已不再是孤立的物理和实体安全问题,而是作为其运转灵魂的信息系统的安全问题。而这个问题更大地存在于人类视为未来发展和前进方向的物联网之上。

安全厂商并没有被视为传统工业安全体系中的一员。因此,本次事件的初期,安全厂商与攻击者处在信息不对称的位置。攻击者针对目标工业系统进行了长期的分析和准备,然后发动攻击;而当安全厂商面对突发事件,却并不能像常用操作系统或互联网软件出现漏洞时一样,在第一时间重现问题并跟进分析,而必须得到有关软件开发商的配合。从这个角度来看,利用PC环境的通用性传播,然后对相对封闭的工业系统或者其他专用系统展开攻击,利用制造厂商与安全厂商之间的信息不对称来获得有效攻击时间,这将成为一种新的、具有极大挑战和讽刺意味的攻击方法。因此,认为专有体系独立于安全威胁之外的错误观念,导致对安全厂商的拒之门外的行为,实际上反而是对攻击者的开门揖盗。

作为职业的安全工程师,我们将积极主动地承担更大的责任。未来将证明,我们的工作不仅是在保护一个虚拟的世界,也在保护着我们赖以生存的真实世界。

附录

安天应急响应时间表

2010.07.15 安天捕获到Stuxnet的第一个变种,随即更新安天防线病毒库,实现查杀 2010.07.20 对Stuxnet样本和快捷方式漏洞展开分析

2010.07.23 形成初步分析报告

2010.08.18 正式发布分析报告与防范措施

2010.07.15 — 2010.09.28 持续捕获样本,跟踪事件变化

2010.09.27 发布本报告第一版

2010.09.28 发布本报告第二版、第三版

2010.09.29 修订本报告第三版,发布本报告英文版

2010.09.30 再次修订本报告第三版

相关链接

1.西门子公司就此次攻击给出的解决方案:

https://www.doczj.com/doc/0f6631873.html,/WW/llisapi.dll?func=cslib.csinfo&obji d=43876783

2.微软提供的补丁文件下载地址如下:

●RPC远程执行漏洞(MS08-067)

https://www.doczj.com/doc/0f6631873.html,/technet/security/bulletin/MS08-067.mspx

●快捷方式文件解析漏洞(MS10-046)

https://www.doczj.com/doc/0f6631873.html,/technet/security/bulletin/MS10-046.mspx

●打印机后台程序服务漏洞(MS10-061)

https://www.doczj.com/doc/0f6631873.html,/technet/security/bulletin/MS10-061.mspx

3.西门子公司给出的WinCC系统安全更新补丁的下载地址:

https://www.doczj.com/doc/0f6631873.html,/WW/llisapi.dll/csfetch/43876783/SIMAT IC_Security_Update_V1_0_0_11.exe?func=cslib.csFetch&nodeid=44473682

4.安天Atool工具下载地址:

https://www.doczj.com/doc/0f6631873.html,/download/atool.zip

5.安天实验室发布的《多家企业网络入侵事件传言的同源木马样本分析报告》:

https://www.doczj.com/doc/0f6631873.html,/cn/security/2010/s100128_002.htm

蠕虫病毒有什么危害如何杀

蠕虫病毒有什么危害如何杀 时间:2013-01-15 19:26来源:https://www.doczj.com/doc/0f6631873.html,作者:xp系统下载点击:170次电脑的蠕虫病毒是什么,会给电脑系统造成什么危害呢?“2003蠕虫王”(https://www.doczj.com/doc/0f6631873.html,Killer2003)感染该蠕虫病毒后网络带宽被大量占用,导致网络瘫痪,该蠕虫是利用SQL SERVER 2000 的解析端口1434的缓冲区溢出漏洞,对其网络进行攻击。由于“2003蠕虫王”具有极强的传播能力,目前在亚洲、美洲、澳大利亚等地迅速传播,已经造成了全球性的网络灾害。由于1月25日正值周末,其造成的恶果首先表现为公用互联网络的瘫痪,预计在今后几天继续呈迅速蔓延之势。 小编建议您使用360免费杀毒进行查杀,然后再根据查杀情况进行相应措施。 蠕虫病毒传播过程 2003蠕虫病毒是一个极为罕见的具有极其短小病毒体却具有极强传播性的蠕虫病毒。该蠕虫利用Microsoft SQL Server 2000缓冲区溢出漏洞进行传播,详细传播过程如下: 该病毒入侵未受保护的机器后,取得三个Win32 API地址,GetTickCount、socket、sendto,接着病毒使用GetTickCount获得一个随机数,进入一个死循环继续传播。在该循环中蠕虫使用获得的随机数生成一个随机的ip地址,然后将自身代码发送至1434端口(Microsoft SQL Server开放端口),该蠕虫传播速度极快,其使用广播数据包方式发送自身代码,每次均攻击子网中所有255 台可能存在机器。易受攻击的机器类型为所有安装有Microsoft SQL Server 2000的NT系列服务器,包括WinNT/Win2000/WinXP等。所幸该蠕虫并未感染或者传播文件形式病毒体,纯粹在内存中进行蔓延。病毒体内存在字符串 “h.dllhel32hkernQhounthickChGet”、“Qh32.dhws2_f”、“etQhsockf”、“toQhsend”。该病毒利用的安全漏洞于2002年七月被发现并在随后的MS SQL Server2000补丁包中得到修正。 蠕虫病毒的特征 该蠕虫攻击安装有Microsoft SQL 的NT系列服务器,该病毒尝试探测被攻击机器的1434/udp端口,如果探测成功,则发送376个字节的蠕虫代码。1434/udp 端口为Microsoft SQL开放端口。该端口在未打补丁的SQL Server平台上存在缓冲区溢出漏洞,使蠕虫的后续代码能够得以机 会在被攻击机器上运行进一步传播。 该蠕虫入侵MS SQL Server系统,运行于MS SQL Server 2000主程序sqlservr.exe应用程序进程空间,而MS SQL Server 2000拥有最高级别System 权限,因而该蠕虫也获得System级别权限。受攻击系统:未安装MS SQL

蠕虫的行为特征描述和工作原理分析

蠕虫的行为特征描述和工作原理分析* 郑辉** 李冠一 涂菶生  (南开大学 20-333# ,天津,300071) E-mail: zhenghui@https://www.doczj.com/doc/0f6631873.html, https://www.doczj.com/doc/0f6631873.html,/students/doctor/spark/zhenghui.htm 摘要:本文详细讨论了计算机蠕虫和计算机病毒的异同,指出它们除了在复制和传染方面具有相似性之外,还有很多不同点,如蠕虫主要以计算机为攻击目标,病毒主 要以文件系统为攻击目标;蠕虫具有主动攻击特性,而病毒在传播时需要计算机 使用者的触发。通过详细区分它们的不同行为特征,确定了在计算机网络安全防 范体系中不同角色的责任。然后描述了蠕虫发展的历史,从中可以看到,蠕虫产 生了越来越大的危害。通过分析计算机蠕虫的工作原理、功能结构、实体组成, 提出了蠕虫的统一功能结构模型,并给出了有针对性的对计算机蠕虫攻击进行防 范的措施。最后本文分析了一些新的蠕虫技术发展趋势,指出计算机蠕虫本质上 是黑客入侵行为的自动化,更多的黑客技术将被用到蠕虫编写当中来,由此可以 看出对蠕虫攻击的防治和对抗将是长期而困难的工作。 关键词:蠕虫,计算机病毒,计算机网络安全,蠕虫定义,蠕虫历史,行为特征,功能模型 一、 引言 计算机病毒给世界范围内的计算机系统带来了不可估量的危害,给人们留下了深刻的印象。同时给人们一种误解,认为危害计算机的程序就是病毒。从而不加区分把计算机病毒(Virus)、计算机蠕虫(Worm)、木马程序(Trojan Horse)、后门程序(Backdoor)、逻辑炸弹(Logic Bomb)等等这些概念都称为计算机病毒。这种误解不仅体现在媒体的宣传中,而且体现在病毒技术研究人员的文章[1][2]中,反病毒厂商对产品的介绍说明中,甚至政府部门制定的法律法规[3]当中。这种相近概念上的误解导致不能有效的给出针对不同类型危害计算机安全的程序的有效防治措施,也为整体的计算机安全防护带来了一定困难。另外,同一程序的不同分类也不利于对其性质的进一步研究和分析。 计算机病毒和计算机蠕虫在传播、复制等特性上非常相似,尤其容易造成人们的误解。导致误解的原因有很多,一方面由于反病毒技术人员自身知识的限制,无法对这两种程序进行清楚细致的区分;另一方面虽然病毒的命名有一定的规范[4][5],但病毒编写者在为自己的程序起名字的时候并不一定遵循这个规范,利用网络功能如电子邮件进行传播的病毒常常被病毒编写者冠以蠕虫的名字,这也给人们带来一些误导。为了照顾这种病毒的命名,曾有文献试图将蠕虫细分为活动蠕虫和邮件蠕虫[6]。由于用计算机病毒这个称谓不能涵盖所有危害计算机的程序的特征,而且容易产生误导,所以有的文献采用了含义更广泛的称谓“恶意软件”(malware)[7]来统一称呼它们。从蠕虫产生开始,十几年来,很多研究人员对蠕 *高等学校博士点学科点专项科研基金资助课题(编号:2000005516)。 **作者简介:郑辉(1972~),男,吉林伊通人,博士研究生,主要研究领域为网络与信息安全。李冠一(1978~),女,辽宁鞍山人,硕士研究生,主要研究领域为模式识别,计算机视觉与图像处理等。涂奉生(1937~),江西南昌人,博士生导师,主要研究领域为CIMS, DEDS理论,制造系统及通讯理论。

蠕虫病毒的症状

蠕虫病毒是自包含的程序(或是一套程序),它能传播它自身功能的拷贝或它的某些部分到其蠕虫病毒 他的计算机系统中(通常是经过网络连接)。请注意,与一般病毒不同,蠕虫不需要将其自身附着到宿主程序,有两种类型的蠕虫:主机蠕虫与网络蠕虫。主计算机蠕虫完全包含在它们运行的计算机中,并且使用网络的连接仅将自身拷贝到其他的计算机中,主计算机蠕虫在将其自身的拷贝加入到另外的主机后,就会终止它自身(因此在任意给定的时刻,只有一个蠕虫的拷贝运行),这种蠕虫有时也叫"野兔",蠕虫病毒一般是通过1434端口漏洞传播。 --------下面是蠕虫病毒的症状看看是不是蠕虫病毒------- 病毒类型:蠕虫病毒 攻击对象:Windows NT 4.0,Windows 2000,Windows XP,Windows Server 2003等传播途径:“冲击波”是一种利用Windows系统的RPC(远程过程调用,是一种通信协议,程序可使用该协议向网络中的另一台计算机上的程序请求服务)漏洞进行传播、随机发作、破坏力强的蠕虫病毒。它不需要通过电子邮件(或附件)来传播,更隐蔽,更不易察觉。它使用IP扫描技术来查找网络上操作系统为Windows 2000/XP/2003的计算机,一旦找到有漏洞的计算机,它就会利用DCOM(分布式对象模型,一种协议,能够使软件组件通过网络直接进行通信)RPC缓冲区漏洞植入病毒体以控制和攻击该系统。 如果真的是蠕虫病毒的话,可以按下面的方法操作: 1.中止进程 按“Ctrl+Alt+Del”组合键,在“Windows 任务管理器”中选择“进程”选项卡,查找“msblast.exe”(或“teekids.exe”、“penis32.exe”),选中它,然后,点击下方的“结束进程”按钮。 提示:如不能运行“Windows 任务管理器”,可以在“开始→运行”中输入“cmd”打开“命令提示符”窗口,输入以下命令“taskkill.exe /im msblast.exe”(或“taskkill.exe /im teekids.exe”、“taskkill.exe /im penis32.exe”)。 2.删除病毒体 依次点击“开始→搜索”,选择“所有文件和文件夹”选项,输入关键词“msblast.exe”,将查找目标定在操作系统所在分区。搜索完毕后,在“搜索结果”窗口将所找到的文件彻底删除。然后使用相同的方法,查找并删除“teekids.exe“和“penis32.exe”文件。 提示:在Windows XP系统中,应首先禁用“系统还原”功能,方法是:右击“我的电脑”,选择“属性”,在“系统属性”中选择“系统还原”选项卡,勾选“在所有驱动器上关闭系统还原”即可。 如不能运行“搜索”,可以在“开始→运行”中输入“cmd”打开“命令提示符” 窗口,输入以下命令: “del 系统盘符winntsystem32msblast.exe”(Windows 2000系统)或“del系统盘符windowssystemmsblast.exe”(Windows XP系统) 3.修改注册表 点击“开始→运行”,输入“regedit”打开“注册表编辑器”,依次找到“HKEY_LOCAL_MACHINESOFTWARE MicrosoftWindowsCurrentVersionRun”,删除“windows auto update=msblast.exe”(病毒变种可能会有不同的显示内容)。 4.重新启动计算机 重启计算机后,“冲击波”(也就是蠕虫病毒)病毒就已经从系统中完全清除了。

对Stuxnet蠕虫攻击工业控制系统事件的综合报告 - 安天实验室

对Stuxnet蠕虫攻击工业控制系统事件的综合报告 2010年9月27日21时 首次发布 2010年9月30日14时 最新修订 安天实验室 安全研究与应急处理中心 Antiy CERT

目 录 第1章 事件背景 (3) 第2章 样本典型行为分析 (4) 2.1 运行环境 (4) 2.2 本地行为 (4) 2.3 传播方式 (6) 2.4 攻击行为 (9) 2.5 样本文件的衍生关系 (10) 第3章 解决方案与安全建议 (12) 3.1 抵御本次攻击 (12) 3.2 安全建议 (12) 第4章 攻击事件的特点 (14) 4.1 专门攻击工业系统 (14) 4.2 利用多个零日漏洞 (14) 4.3 使用有效的数字签名 (14) 4.4 明确的攻击目标 (15) 第5章 综合评价 (16) 5.1 工业系统安全将面临严峻挑战 (16) 5.2 展望和思考 (17) 附录 (19) 安天应急响应时间表 (19) 相关链接 (19)

第1章事件背景 近日,国内外多家媒体相继报道了Stuxnet蠕虫对西门子公司的数据采集与监控系统SIMATIC WinCC进行攻击的事件,称其为“超级病毒”、“超级工厂病毒”,并形容成“超级武器”、“潘多拉的魔盒”。 Stuxnet蠕虫(俗称“震网”、“双子”)在今年7月开始爆发。它利用了微软操作系统中至少4个漏洞,其中有3个全新的零日漏洞;为衍生的驱动程序使用有效的数字签名;通过一套完整的入侵和传播流程,突破工业专用局域网的物理限制;利用WinCC系统的2个漏洞,对其展开攻击。它是第一个直接破坏现实世界中工业基础设施的恶意代码。据赛门铁克公司的统计,目前全球已有约45000个网络被该蠕虫感染,其中60%的受害主机位于伊朗境内。伊朗政府已经确认该国的布什尔核电站遭到Stuxnet蠕虫的攻击。 安天实验室于7月15日捕获到Stuxnet蠕虫的第一个变种,在第一时间展开分析,发布了分析报告及防范措施,并对其持续跟踪。截止至本报告发布,安天已经累计捕获13个变种、 600多个不同哈希值的样本实体。

蠕虫病毒的特征与防治.doc

研究生课程论文 蠕虫病毒的特征与防治 摘要 随着网络的发展,以网络传播的蠕虫病毒利用网络全球互联的优势和计算机系统及网络系统安全性上的漏洞,己经成为计算机系统安全的一大的威胁。采用网络传播的蠕虫病毒与传统的计算机病毒在很多方面都有许多不同的新特点。本文对蠕虫病毒的特征和防御策略进行了研究,透彻分析了几个流行的蠕虫病毒的本质特征和传播手段,并提出了防治未知病毒以及变形病毒的解决方案与虚拟机相结合的基于攻击行为的着色判决PN机蠕虫检测方法。 关键词: 蠕虫,病毒特征,病毒防治

1引言 “蠕虫”这个生物学名词于1982年由Xerox PARC的John F. Shoeh等人最早引入计算机领域,并给出了计算机蠕虫的两个最基本的特征:“可以从一台计算机移动到另一台计算机”和“可以自我复制”。最初,他们编写蠕虫的目的是做分布式计算的模型试验。1988年Morris蠕虫爆发后,Eugene H. Spafford为了区分蠕虫和病毒,给出了蠕虫的技术角度的定义。“计算机蠕虫可以独立运行,并能把自身的一个包含所有功能的版本传播到另外的计算机上。”计算机蠕虫和计算机病毒都具有传染性和复制功能,这两个主要特性上的一致,导致二者之间是非常难区分的。近年来,越来越多的病毒采取了蠕虫技术来达到其在网络上迅速感染的目的。因而,“蠕虫”本身只是“计算机病毒”利用的一种技术手段[1]。 2蠕虫病毒的特征及传播 1、一般特征: (1)独立个体,单独运行; (2)大部分利用操作系统和应用程序的漏洞主动进行攻击; (3)传播方式多样; (4)造成网络拥塞,消耗系统资源; (5)制作技术与传统的病毒不同,与黑客技术相结合。 2、病毒与蠕虫的区别 (l)存在形式上病毒寄生在某个文件上,而蠕虫是作为独立的个体而存在;

蠕虫病毒

【摘要】:凡能够引起计算机故障,破坏计算机数据的程序统称为计算机病毒。所以从这个意义上说,蠕虫也是一种病毒。蠕虫病毒,作为对互联网危害严重的一种计算机程序,其破坏力和传染性不容忽视。与传统的病毒不同,蠕虫病毒以计算机为载体,以网络为攻击对象。本文主要介绍蠕虫病毒的分类、概念、特点传播途径、典型蠕虫、防范措施和发展趋势等。 【关键词】:蠕虫病毒影响防范发展

目录 第一章蠕虫病毒概述 (1) 1.1 蠕虫病毒的概念 (1) 1.2 蠕虫病毒的成因 (1) 1.3 蠕虫病毒的特性 (1) 第二章蠕虫病毒分析 (2) 2.1 蠕虫病毒分类分析 (2) 2.1.1主机蠕虫 (2) 2.1.2 网络蠕虫 (2) 2.2 蠕虫病毒传播途径 (2) 2.3 典型蠕虫病毒 (3) 2.3.1 熊猫烧香病毒的概念 (3) 2.3.2 熊猫烧香病毒的危害 (3) 2.3.3熊猫烧香病毒的现象 (3) 第三章蠕虫病毒的防范 (5) 3.1 怎样防范蠕虫病毒 (5) 3.2 蠕虫病毒的解决方案(例:熊猫烧香病毒) (6) 第四章蠕虫病毒发展趋势 (11) 参考文献 (12)

第一章蠕虫病毒概述 1.1 蠕虫病毒的概念 1.2 蠕虫病毒的成因 利用操作系统和应用程序的漏洞主动进行攻击此类病毒主要是“红色代码”和“尼姆亚”,以及依然肆虐的“求职信”等。由于IE浏览器的漏洞(IFRAMEEXECCOMMAND),使得感染了“尼姆亚”病毒的邮件在不去手工打开附件的情况下病毒就能激活,而此前即便是很多防病毒专家也一直认为,带有病毒附件的邮件,只要不去打开附件,病毒不会有危害。“红色代码”是利用了微软IIS服务器软件的漏洞(idq.dll远程缓存区溢出)来传播,SQL蠕虫王病毒则是利用了微软的数据库系统的一个漏洞进行大肆攻击。 1.3 蠕虫病毒的特性 蠕虫和传统病毒都具有传染性和复制功能,这两个主要特性上的一致,导致人们在二者之间非常难区分。尤其是近年来,越来越多的传统病毒采取了部分蠕虫的技术,而具有破坏性的蠕虫也采取了部分传统病毒的技术,从而更加剧了这种情况。表1-2给出了传统病毒和蠕虫病毒的一些差别。

局域网蠕虫病毒的传播方式和保护方法

局域网蠕虫病毒的传播方式和保护方法 近来,威金(w32.looked系列)、熊猫烧香(w32.fujacks系列)等局域网蠕虫病毒大肆流行,这种病毒具有传播速度快,覆盖面广,破坏性大,自我恢复功能强等特点,并且还会自动连接到Internet升级变种并下载其它木马和恶意软件,给广大计算机用户带来了很大的麻烦。良好的基本安全习惯配合具有最新病毒定义和扫描引擎的杀毒软件,能够最大限度地保护您的电脑不受此类蠕虫病毒的影响,以及重复感染。了解蠕虫病毒的在局域网内传播机制,能让我们采用更有针对性的防护,下面就介绍这种局域网蠕虫的传播机制和保护方法:局域网蠕虫的传播安先后顺序分为扫描、攻击、复制三个过程。假设您局域网中有一台电脑感染了蠕虫,而这台脑又没有安装杀毒软件或者杀毒软件的病毒定义比较旧,没有办法检测出这个蠕虫病毒,那么它就会成为一个局域网内的攻击源。 第一步:扫描的过程就是用扫描器扫描主机,探测主机的操作系统类型、版本,主机名,用户名,开放的端口,开放的服务,开放的服务器软件版本等。这一过程中,扫描的范围一般是随机选取某一段IP地址,然后对这一地址段上的主机扫描。但是有些蠕虫会不断的重复扫描过程,就会造成发送大量的数据包,造成网络拥塞,影响网络通信速度等危害。但是这样,管理员也会很快找出感染源所在的地址,因此有些蠕虫会有意的减少数据发送量,包括不重复扫描几次以上,随机选择扫描时间段,随机选择小段IP地址段等等。根据扫描返回的结果确定可以攻击的电脑。

第二步:攻击的过程一般分为两种类型。一种是利用漏洞的攻击,如果扫描返回的操作系统信息或者某些软件的信息是具有漏洞的版本,那么就可以直接用对该漏洞的攻击代码获得相应的权限。例如利用windows的MS04-011漏洞的震荡波(w32.sasser系列)病毒,利用MS06-040漏洞的魔鬼波 (w32.ircbot系列)等。另外一种就是基于文件共享和弱密钥的功击,这种攻击需要根据搜集的信息试探猜测用户密码,一般的蠕虫都有试探空密码,简单密码,与已知密码相同密码等机制。猜出正确的密码后也就有了对远端主机的控制权。威金、熊猫烧香等病毒都基于这种攻击方式。 第三步:复制的实际上就是一个文件传输的过程,就是用相应的文件传输的协议和端口进行网络传输。 为了防止您的电脑受到局域网蠕虫病毒的攻击而感染此类病毒,赛门铁克现建议用户采取以下基本安全措施:1)开启个人防火墙:无论是SCS的防火墙,还是其它安全厂商的个人防火墙,还是windows系统自带的防火 墙,都可以对扫描、攻击、复制三个过程起到保护的 作用。例如,在一般的默认规则下,供击者扫描后不 会得到返回结果;攻击代码不会到达被防火墙保护的 电脑;无法向被防火墙保护的电脑复制病毒文件等。 如果管理员根据公司的应用情况和针对某类病毒,设 定诸如一些协议、端口、程序、入侵检测等的防护规 则,其防护效果就会更佳。 2)尽量关闭不需要的文件共享。除了用户自行设定的共享文件windows操作系统一般都有C$, D$,ADMIN$, IPC$等默认的共享,而一般情况下普通用户不一定需

蠕虫和普通病毒的区别 及防范措施

蠕虫和普通病毒的区别及防范措施 蠕虫和普通病毒区别 对于防毒杀毒长久以来都是计算机使用者比较头疼的问题,很多人都存在以上的疑问和误区。针对近年来,病毒开始由传统形向网络蠕虫和隐蔽的木马病毒发展,笔者这篇文章就以这两个祸害开刀,和大家一步一步谈谈从杀到防搞定病毒。 一、先来看看蠕虫 随着我国宽带爆炸式的发展,蠕虫病毒引起的危害开始快速的显现!蠕虫是一种通过网络传播的恶性病毒,它具有病毒的一些共性,如传播性,隐蔽性,破坏性等等,同时具有自己的一些特征,如不利用文件寄生(有的只存在于内存中),快速的自身复制并通过网络感染,以及和黑客技术相结合等等!在产生的破坏性上,蠕虫病毒也不是普通病毒所能比拟的,网络的发展使得蠕虫可以在短短的时间内蔓延整个网络,造成网络瘫痪。相信以前的冲击波、震荡波大家一定还没忘记吧。 1、蠕虫和普通病毒区别 2、传播特点 蠕虫一般都是通过变态的速度复制自身并在互联网环境下进行传播,目标是互联网内的所有计算机。这样一来局域网内的共享文件夹,电子邮件,网络中的恶意网页,大量安装了存在漏洞操作系统的服务器就都成为蠕虫传播的良好途径,使得蠕虫病毒可以在几个小时内蔓延全球!而且蠕虫的主动攻击性和突然爆发性将使得人们手足无策!这其中通过操作系统漏洞或者通过IE漏洞攻击的方式最为常见。 3、蠕虫的预防解决 蠕虫和普通病毒不同的一个特征是蠕虫病毒往往能够利用漏洞,这里的漏洞或者说是缺陷,我们分为2种:软件的和人为的。 软件上的缺陷,如系统漏洞,微软IE和outlook的自动执行漏洞等等,需要大家经常更新系统补丁或者更换新版本软件。而人为的缺陷,主要是指的是计算机用

户的疏忽。例如,当收到QQ好友发来的照片、游戏的时候大多数人都会报着好奇去点击的,从而被感染上了病毒。 蠕虫病毒的防范措施 二、个人用户对蠕虫病毒的防范措施 通过上述的分析,我们了解蠕虫的特点和传播的途径,因此防范需要注意以下几点: 1、选择合适的杀毒软件 杀毒软件必须提供内存实时监控和邮件实时监控以及网页实时监控!国产软件无论是在功能和反应速度以及病毒更新频率上都做的不错,相对国外的反病毒软件他们对于像QQ这类国产病毒具有明显优势,同时消耗系统资源也比较少,大家可以放心使用。 2、经常升级病毒库 没有最新病毒库的杀毒软件就好比没有瞄准器的狙击枪,病毒每天都层出不穷,再加上如今的网络时代,蠕虫病毒的传播速度快,变种多,所以必须随时更新病毒库,以便能够查杀最新的病毒! 3、提高防患意识 不要轻易接受任何陌生人的邮件附件或者QQ上发来的图片,软件等等。必须经过对方的确认(因为一旦对方中毒后他的QQ会自动向好友发送病毒,他自己根本不知道,这个时候只要问一问他本人就真相大白!),或者此人是你绝对可以相信的人!另外对于收发电子邮件,笔者强烈建议大家通过WEB方式(就是登陆邮箱网页)打开邮箱收发邮件(这样比使用Outlook和foxmail更安全)。虽然杀毒软件可以实时监控但是那样不仅耗费内存,也会影响网络速度! 4、必要的安全设置 运行IE时,点击“工具→Internet选项→安全”,把其中各项安全级别调高一级。在IE设置中将ActiveX插件和控件、Java脚本等全部禁止就可以大大减少被网页恶意代码感染的几率。具体操作是:在IE窗口中点击“工具”→“Internet 选项”,在弹出的对话框中选择“安全”标签,再点击“自定义级别”按钮,就会弹出“安全设置”对话框,把其中所有ActiveX插件和控件以及与Java相关全部选项选择“禁用”。但是,这样做在以后的网页浏览过程中有可能会使一些正常应用ActiveX的网站无法浏览。 5、第一时间打上系统补丁 虽然看上去可怕,但是细心的朋友注意蠕虫攻击系统的途径可以看出:最主要的方式就是利用系统漏洞,因此微软的安全部门已经加大了系统补丁的推出频率,大家一定要养成好习惯,经常的去微软网站更新系统补丁,消除漏洞(通过点击开始上端的“windows Update”)

蠕虫和病毒传播处置预案

XX公司 蠕虫和病毒传播处置预案 2019年12月

文档控制 更改记录

一、总则 第一条目的 本预案为蠕虫和病毒攻击和传播的安全事件处理专项预案,其目的主要是为了进一步规范对蠕虫和病毒攻击和传播安全事件的处理方法和处理程序,提高对此类安全事件的反应速度。 第二条基本原则 1.防范为主,加强监控。通过加强信息安全防范意识,提高网络系统的安全性。完善信息安全事件的日常监测、发现机制,及时采取有效的应对措施,迅速控制事件影响范围,力争将损失降到最低程度,从而缓解或抵御病毒爆发事件的安全威胁。 2.以人为本,协同作战。把保障公共利益以及本单位和其他组织的合法权益的安全作为首要任务。相关部门协同配合、具体实施,及时获取充分而准确的信息。通过跟踪研判,果断决策,迅速处置,以最大程度地减少危害和影响。 3.规范操作,常备不懈。加强防病毒技术储备,规范应急处置措施与操作流程,确保应急预案切实有效,实现信息安全突发事件应急处置的科学化、程序化与规范化。 第三条适用范围 本预案适用于本单位中遇到病毒攻击情况下的应急响应工作。

二、术语与定义 第四条计算机病毒 计算机病毒(Computer Virus)是编制者在计算机程序中插入的破坏计算机功能或者数据的代码,能影响计算机使用,能自我复制的一组计算机指令或者程序代码。计算机病毒有独特的复制能力,能够快速蔓延,并难以根除。 第五条蠕虫病毒 蠕虫病毒(worm)和一般的病毒有着很大的区别。对于蠕虫,现在还没有一个成套的理论体系。一般认为:蠕虫是一种通过网络传播的恶性病毒,它具有病毒的一些共性,如传播性、隐蔽性、破坏性等等,同时具有自己的一些特征,如不利用文件寄生(有的只存在于内存中),对网络造成拒绝服务,以及和黑客技术相结合等。在产生的破坏性上,蠕虫病毒也不是普通病毒所能比拟的,网络快速发展使得蠕虫可以在短短的时间内蔓延整个网络,造成整个网络瘫痪! 三、病毒分析阶段 第六条事件分析 (1)使用netstat –ano命令查看操作系统是否存在异常连接。 (2)查看windows、recycle目录下是否存在异常文件。 (3)通过Pchunter等进程查看工具,查看是否存在异常进程在运行,定位至程序存放目录。 (4)分析病毒传播机制,如通过文件共享传播、通过邮件或文

蠕虫病毒与普通病毒的区别

蠕虫病毒和一般的病毒有着很大的区别。对于蠕虫,现在还没有一个成套的理论体系。一般认为:蠕虫是一种通过网络传播的恶性病毒,它具有病毒的一些共性,如传播性、隐蔽性、破坏性等等,同时具有自己的一些特征,如不利用文件寄生(有的只存在于内存中),对网络造成拒绝服务,以及和黑客技术相结合,等等。在产生的破坏性上,蠕虫病毒也不是普通病毒所能比拟的,网络的发展使得蠕虫可以在短短的时间内蔓延整个网络,造成网络瘫痪!根据使用者情况将蠕虫病毒分为两类:一种是面向企业用户和局域网而言,这种病毒利用系统漏洞,主动进行攻击,可以对整个互联网可造成瘫痪性的后果。以“红色代码”、“尼姆达”以及最新的“SQL蠕虫王”为代表。另外一种是针对个人用户的,通过网络(主要是电子邮件、恶意网页形式)迅速传播的蠕虫病毒,以爱虫病毒、求职信病毒为代表。在这两类蠕虫中,第一类具有很大的主动攻击性,而且爆发也有一定的突然性,但相对来说,查杀这种病毒并不是很难。第二种病毒的传播方式比较复杂和多样,少数利用了微软的应用程序的漏洞,更多的是利用社会工程学对用户进行欺骗和诱使,这样的病毒造成的损失是非常大的,同时也是很难根除的,比如求职信病毒,在2001年就已经被各大杀毒厂商发现,但直到2002年底依然排在病毒危害排行榜的首位就是证明。 蠕虫一般不采取利用pe格式插入文件的方法,而是复制自身在互联网环境下进行传播,病毒的传染能力主要是针对计算机内的文件系统而言,而蠕虫病毒的传染目标是互联网内的所有计算机。局域网条件下的共享文件夹、电子邮件Email、网络中的恶意网页、大量存在着漏洞的服务器等,都成为蠕虫传播的良好途径。网络的发展也使得蠕虫病毒可以在几个小时内蔓延全球,而且蠕虫的主动攻击性和突然爆发性将使得人们手足无措。 木马就是在没有授权的条件下,偷偷运行的程序。 木马与病毒有两点本质的不同: 1、木马不会自动传染,病毒一定会自动传染; 2、木马是窃取资料的,病毒是破坏文件的 简单的木马只能盗取帐号、密码,很多木马可以窃取对方计算机上的全部资料,以达到完全监视完全控制的目的。 蠕虫通常是网络操作系统进行传播,目的是攻击服务器或子网,形成DDos攻击(拒绝服务)。蠕虫会开启多个线程大面积传播,在传播过程中占用宽带资源,从而达到攻击的目的,其实本身对计算机没有太大伤害。 由于蠕虫是通过网络或操作系统漏洞进行感染,所以安装防火墙筛选端口可以有效防止蠕虫的感染和攻击。

案例-飞客蠕虫攻击

飞客蠕虫攻击案例 1.1 异常发现 某单位最近一段时间应用维护人员发现网络应用比较慢,数据库服务器查看系统日志发现很多相似网络共享访问请求,最高时平均每秒有近几十次的这种请求,而数据库服务器并没有任何网络共享资源;内网中的其他几台主机如监控PC使用感觉比较慢;网络中最近一个月才出现这种状况,以前网络是正常的。 根据网管人员的反应情况,我们初步认为网络中确实存在异常,而且异常状况出现在重要的内网中。因此决定对内网服务器区的流量进行分析,找出引起网络异常的根源。 内网服务器大多集中连接到华为S8505的一块线卡上,因此对该线卡1-47口inbound方向和数据库服务器的双向流量进行镜像 在正确部署了回溯式后,收集了内网服务器一周的数据(10/12---10/19)对这一周的数据进行分析。 1.2 蠕虫攻击分析 首先,我们选择7天的数据查看其网络协议的使用情况,如图: 如上图,我们看到,网络中流量最大的是TCP other流量,经过分析发现都是该单位自定义的协议流量。FTP,HTTP的访问流量分别占第2,第3位是正常的网络应用。而排名第四

的竟然是netBIOS流量,而netBIOS流量在现今的应用中很少使用了,多被黑客作为后门传播各种危险病毒和蠕虫使用。因此该协议流量比较大十分可疑。此外网络协议中CIFS协议也占很大比重,而此协议主要是使用网络邻居做网络共享使用的,而管理员告之网络中并没有使用网络邻居的方式做为网络共享,因此该协议应该是没有流量的,这也是比较可疑的。 然后我们对网络中的TCP访问情况进行分析,选择10/12-10/14日两天的数据进行分析。按照“发tcp同步包”进行排名,如图: 我们看到IP 172.16.1.68 ;172.16.1.95;172.16.1.69;172.16.1.10;172.16.1.54等几个IP的TCP发TCP同步包很大,要远远大于其他IP,但流量却很小,两天以来流量大多都在60MB左右。也就是说这些IP的TCP会话很多,但流量却很小。从分析上我们认为这些IP是比较可疑的,于是我们选择172.16.1.68 进行下载分析。从海量数据中抽取1.68 这个IP两天来的所有流量。 查看1.68的TCP会话我们发现此IP的TCP会话具有明显的异常现象,如图:

蠕虫病毒深度解析

蠕虫病毒深度解析 https://www.doczj.com/doc/0f6631873.html,日期:2004-11-22 15:44 作者:天极网来源:天极网 1.引言 近年来,蠕虫、病毒的引发的安全事件此起彼伏,且有愈演愈烈之势。从2001年爆发的CodeRed蠕虫、Nimda蠕虫,SQL杀手病毒(SQL SLAMMER蠕虫),到近日肆掠的“冲击波” 蠕虫病毒,无不有蠕虫的影子,并且开始与病毒相结合了。蠕虫病毒通常会感染Windows 2000/ XP/Server 2003系统,如果不及时预防,它们就可能会在几天内快速传播、大规模感染网络,对网络安全造成严重危害。看来,蠕虫病毒不再 是黑暗中隐藏的"黑手",而是已露出凶相的"狼群"。 各类病毒各有特色,大有长江后浪推前浪之势:CodeRed蠕虫侵入系统后留下后门,Nimda一开始就结合了病毒技术,而SQL杀手病毒与“冲击波”病毒有着惊人的相似之处,此次病毒大规模爆发是从装有WINDOWS 2000以上操作系统的计算机,尤其是从网络服务器上向外扩散的,利用微软存在的系统漏洞,不同的是,SQL杀手病毒用“缓存区溢出”进行攻击,病毒传播路径都是内存到内存,不向硬盘上写任何文件。“冲击波”病毒则会发送指令到远程计算机,使其连接被感染的主机,下载并运行Msblast.exe。 由此可见,计算机蠕虫和计算机病毒联系越来越紧密,许多地方把它们混为一谈,然而,二者还是有很大不同的,因此,要真正地认识并对抗它们之前,很有必要对它们进行区分。只有通过对它们之间的区别、不同功能特性的分析,才可以确定谁是对抗计算机蠕虫的主要因素、谁是对抗计算机病毒的主要因素; 可以找出有针对性的有效对抗方案;同时也为对它们的进一步研究奠定初步的理论基础。 2.蠕虫原始定义 蠕虫这个生物学名词在1982年由Xerox PARC 的John F. Shoch等人最早引入计算机领域,并给出了计算机蠕虫的两个最基本特征:“可以从一台计算机移动到另一台计算机”和“可以自我复制”。他们编写蠕虫的目的是做分布式计算的模型试验,在他们的文章中,蠕虫的破坏性和不易控制已初露端倪。1988年Morris 蠕虫爆发后,Eugene H. Spafford 为了区分蠕虫和病毒,给出了蠕虫的技术角度的定义,“计算机蠕虫可以独立运行,并能把自身的一个包含所有功能的版本传播到另外的计算机上。”(Worm is a program that can run by itself and can propagate a fully working version of itself to other machines. )。 3.病毒原始定义 在探讨计算机病毒的定义时,常常追溯到David Gerrold在1972年的发表的科幻小说《When Harlie Was One》,但计算机病毒从技术角度的定义是由Fred Cohen在1984年给出的,“计算机病毒是一种程序,它可以感染其它程序,感染的方式为在被感染程序中加入计算机病毒的一个副本,这个副本可能是在原病毒基础上演变过来的。” (A program that can infect other programs by modifying them to include a possibly evolved copy of itself.)。1988年Morris蠕虫爆发后,Eugene H. Spafford 为了区分蠕虫和病毒,将病毒的含义作了进一步的解释。“计算机病毒是一段代码,能把自身加到其它程序包括操作系统上。它不能独立运行,需要由它的宿主程序运行来激活它。”(virus is a piece of code that adds itself to other programs, including operating systems. It cannot run independently and it requires that its host program be run to activate it.)。 4.蠕虫/病毒

实验室安全检查记录表

实验室安全检查记录表公司内部编号:(GOOD-TMMT-MMUT-UUPTY-UUYY-DTTI-

实验室安全管理登记表 20 年月

说明:排查内容见附后 附:安全管理项目内容: 1 是否明确安全责任人,签订安全责任书;是否有具体可操作性的管理规章制度 上墙明示(安全管理规章制度、岗位安全责任制度、实验室操作规范流程); 是否结合实际制(修)订专用教室(含实验室)的应急预案(每学期检查)2 各种危险化学品尤其是剧毒化学品是否单独存放在专用仓库,是否严格按“五 双”(双门、双锁、双人收发、双人使用、双人记账)进行管理(每月检查)3 储存剧毒化学品的数量、地点以及管理人员的情况,是否报当地公安部门和负 责危险化学品安全监督管理综合工作的部门备案;存放各种实验室化学品(试剂)的仓库是否设在远离教室、宿舍、食堂以及水源的地方(每学期检查) 4 实验室化学品(试剂)是否经过行业部门检验检疫;化学品是否过期;实验室 化学品(试剂)的领用、消耗,安全责任人是否随时登记,建立档案备查(每学期检查) 5 是否严格按照相关规定,做好专用教室(含实验室)废弃物的分类、收集、处 置工作;是否按废弃物类别配备相应的收集容器,容器不能有破损、盖子损坏或其他可能导致废弃物泄漏的隐患(每天检查) 6 废弃物收集容器是否粘贴危险废弃物标签,明显标示其中的废弃物名称、主要 成分与性质,并保持清晰可见(每月检查) 7 是否将危险废弃物收集容器存放在符合安全与环保要求的室内特定区域,且做 好相应的记录(每天检查) 8 .是否对学生、专职教师定期进行安全教育、法制教育和岗位技术培训;专职 教师是否接受定期教育和培训,是否依法取得相应资格(每学期检查) 9 .课余、节假日期间需实习实训教学的,是否经专用教室(含实验室)安全责 任人批准,学生是否有老师带队,实习实训教学时是否有专用教室(含实验室)的专职人员在场(每月检查并随时抽查) 10.实习实训教学时是否对学生的着装穿戴提出统一要求,不按要求着装或穿戴 不符合安全的,不准进入专用教室(含实验室)等场所(随时抽查) 11. 各类设施、设备是否完好,门窗能否关闭、上锁(每月检查) 实验室安全管理 20 年月 5.是否严格按照相关规定,做好专用教室(含实验室)废弃物的分类、收集、处置工作;是否按废弃物类别配备相应的收集容器,容器不能有破损、盖子损坏或其他可能导致废弃物泄漏的隐患(每天检查)

蠕虫病毒的检测和防御研究

青岛科技大学 题目 __________________________________ 蠕虫病毒的检测和防御研究 __________________________________ 指导教师__________________________ 学生姓名__________________________ 学生学号__________________________ 院(部)____________________________专业________________班___________________________ ______年 ___月 ___日

青岛科技大学专科毕业设计论文 蠕虫病毒的检测和防御研究 摘要 随着网络技术的发展,蠕虫病毒不断扩大对网络安全构成了严重的威胁,本文基于当前蠕虫攻击破坏的严峻形势,对蠕虫病毒的检测和防御技术进行了研究。首先对蠕虫病毒相关知识作了介绍,包括蠕虫病毒的定义、工作流程以及行为特征,并简要分析了蠕虫病毒国内外研究现状;在此基础上接着研究了蠕虫病毒检测技术,提出了基于蠕虫特征码、蠕虫行为特征、蜜罐和蜜网技术以及贝叶斯蠕虫检测技术;最后对蠕虫病毒的防御技术进行了研究,从企业网络用户和个人用户的角度分析了面对当前蠕虫攻击所需要注意和采取的措施,以尽最大可能减少蠕虫的侵害,营造一个良好的网络环境。 关键词:蠕虫病毒;检测;防御;网络安全

蠕虫病毒的检测和防御研究 目录 前言 (1) 1蠕虫病毒相关知识介绍 (2) 1.1蠕虫病毒定义 (2) 1.2蠕虫病毒工作流程和行为特征 (2) 1.3蠕虫病毒国内外研究现状 (4) 2蠕虫病毒检测技术研究 (5) 2.1基于蠕虫特征码的检测技术 (5) 2.2基于蠕虫行为特征的检测技术 (5) 2.3基于蜜罐和蜜网的检测技术 (6) 2.4基于贝叶斯的网络蠕虫检测技术 (6) 3蠕虫病毒防御技术研究 (8) 3.1企业防范蠕虫病毒措施 (8) 3.2个人用户防范蠕虫病毒措施 (9) 4总结 (10) 致谢 (11) 参考文献 (12)

Internet网络中的蠕虫病毒扩散传播模型

Internet网络中的蠕虫病毒扩散传播模型 1 简单传播模型 在简单传播模型(Simple Epidemic Model)中,每台主机保持两种状态:易感染和被感染。易感个体(Susceptible)是未染病但与已感染的个体接触会被感染的一类;另一类为感染个体(Infective),这类个体已染病且其具有传染性。假定一台主机一旦被感染就始终保持被感染的状态。其状态转换关系可表示为: 由此可见这种模型的蠕虫传播速度是由初始感染数量I(0)和主机感染率这两 个参数决定的。其微分方程表达式为 dI(t)/dt=βI(t)[N-I(t)] 其中I(t)为时刻t 已被感染的主机数;N为网络中主机总数;β 为时刻t 的感染率。当t=0 时,I(0)为已感染的主机数,N-I(0)为易感染主机数。 取节点数N=10000000,感染概率因子为β=1/10000000,即K=βN=1,当蠕虫繁殖副本数量I(0)=3 时,仿真结果如图3-2 所示,横坐标为传播时间,纵坐标为整个网络被感染的百分比。 此模型能反映网络蠕虫传播初期的传播行为,但不适应网络蠕虫后期的传播状态。此外,其模型过于简单,没有体现蠕虫扫描策略和网络特性对蠕虫传播所产生的影响。 2 KM 模型 在Kermack-Mckendrick 传播模型(简称KM 模型)中,主机保持 3 种状态:易感染、被感染和免疫。用状态转换关系表示为: 对感染节点进行免疫处理,是指把此节点从整个网络中去除。因为,每当对一台主机进行免疫处理,网络节点总数在原有基础上减1,最终将使得所有被感染的主机数量减少到0,也就是所有的主机最终都将处于免疫状态。KM 模型的微分方程表达式为: dJ(t)/dt=βJ(t)[N-J(t)] dR(t)/dt=γI(t)

蠕虫病毒的传播原理资料

《计算机系统安全》 课程结课论文《蠕虫病毒的传播原理》 学生姓名陈军辉 学号5011212502 所属学院信息工程学院 专业计算机科学与技术 班级计算机16-5 指导教师李鹏 塔里木大学教务处制

摘要:蠕虫病毒发展迅速,现在的蠕虫病毒融入了黑客、木马等功能,还能阻止安全软件的运行,危害越来越大。本文介绍了蠕虫病毒的定义,特点,结构及其在传播过程中的功能,最后介绍了蠕虫病毒的传播机制。 关键词:计算机蠕虫;传播;

目录 引言 (1) 正文 (1) 1.蠕虫病毒的定义及特点 (1) 2.蠕虫病毒的构成及在传播过程中的功能 (2) 3. 攻击模式 (3) 3.1 扫描-攻击-复制 (3) 3.2模式的使用 (5) 3.3蠕虫传播的其他可能模式 (5) 4.从安全防御的角度看蠕虫的传播模式 (5) 总结 (6) 参考文献: (7)

蠕虫病毒的传播原理 引言 蠕虫病毒是一种常见的计算机病毒。它是利用网络进行复制和传播,传染途径是通过网络和电子邮件。最初的蠕虫病毒定义是因为在DOS环境下,病毒发作时会在屏幕上出现一条类似虫子的东西,胡乱吞吃屏幕上的字母并将其改形。蠕虫病毒是自包含的程序(或是一套程序),它能传播自身功能的拷贝或自身的某些部分到其他的计算机系统中(通常是经过网络连接)。 正文 1.蠕虫病毒的定义及特点 蠕虫病毒的定义:蠕虫是一种可以自我复制的代码,并且通过网络传播,通常无需人为干预就能传播。蠕虫病毒入侵完全控制一台计算机之后,就会把这台机器作为宿主,进而扫描并感染其他计算机。当这些新的被蠕虫入侵的计算机被控制之中后,蠕虫会以这些计算机为宿主继续扫描并感染其他计算机,这种行为会一直延续下去。蠕虫使用这种递归的方法进行传播,按照指数增长的规律分布自己,进而及时控制越来越多的计算机。蠕虫病毒有如下特点:(1)较强的独立性。计算机病毒一般都需要宿主程序,病毒将自己的代码写到宿主程序中,当该程序运行时先执行写入的病毒程序,从而造成感染和破坏。而蠕虫病毒不需要宿主程序,它是一段独立的程序或代码,因此也就避免了受宿主程序的牵制,可以不依赖于宿主程序而独立运行,从而主动地实施攻击。 (2)利用漏洞主动攻击。由于不受宿主程序的限制,蠕虫病毒可以利用操作系统的各种漏洞进行主动攻击。例如,“尼姆达”病毒利用了 IE 浏览器的漏洞,使感染了病毒的邮件附件在不被打开的情况下就能激活病毒;“红色代码”利用了微软 IIS 服务器软件的漏洞(idq.dll 远程缓存区溢出)来传播;而蠕虫王病毒则是利用了微软数据库系统的一个漏洞进行攻击。 (3)传播更快更广。蠕虫病毒比传统病毒具有更大的传染性,它不仅仅感染本地计算机,而且会以本地计算机为基础,感染网络中所有的服务器和客户

相关主题
相关文档 最新文档