- 19
- 0
- 约4.22千字
- 约 25页
- 2018-10-22 发布于福建
- 举报
管中窥豹StuxnetDuqu和Flame分析拾遗与反思
管中窥豹——Stuxnet、Duqu和Flame的分析碎片与反思
安天实验室
2012.6.15
说在前面
第一窥:一个行为的断链拼接
本章围绕安天分析中,遇到分析报告读者提出的三个问题,而展开。
一个都知道的故事
为何不能复现U盘传播?
查找U盘
拷贝文件到U盘
传播的关键
在何种条件下满足U盘传播?
偏移0x6c、0x70、0xc8处的标记位
偏移0x78、0x7c处的时间戳
偏移0x80、0x84处的数值
WinCC之后发生了什么?
第二窥:同源性分析
Stuxnet与Duqu的结构
结构和方法的相似并不能证明具有关联
哪些才是关键比较点?
功能
Stuxnet
Duqu
模块化组件
内核rootkit
非常相似
驱动数字证书
Realtek, JMicron
C-Media
注入进程A/V列表
基于 Stuxnet.
3 个加密配置文件
几乎完全一样
键盘记录模块
Duqu
PLC 功能模块
不同于stuxnet
通过本地共享感染
利用0-day
0-day, win32k.sys
资源文件释放dll
(多个)
(一个)
RPC 通信
Port 80/443
?(80)
相似
指定魔法数字
l
错误处理
关键判据:代码片段
Duqu判定系统状态
Stuxnet判定系统状态
关键证据:数据相似
Duqu的注册表数据
Stuxnet的注册表数据
DWORD control[4]
DWORD encryption_key
DWORD sizeof_processname
BYTE processname[sizeof_processname]
DWORD sizeof_dllpath
BYTE dllpath[sizeof_dllpath]
DWORD control[4]
WORD expNumber; //注入dll调用的导出函数
WORD Flags;
DWORD encryption_key
DWORD reserved ;
//List
DWORD sizeof_processname
UNICODE processname[sizeof_processname]
DWORD sizeof_dllpath
UNICODE dllpath[sizeof_dllpath]
关键证据:共同的错误(获取XP操作系统版本)
比较总结
比较项目
Duqu木马
Stuxnet蠕虫
功能模块化
是
Ring0注入方式
PsSetLoadImageNotifyRoutine
Ring3注入方式
Hook ntdll.dll
注入系统进程
是
资源嵌入DLL模块
一个
多个
利用微软漏洞
是
使用数字签名
是
包括RPC通讯模块
是
配置文件解密密钥
0xae240682
0x01ae0000
注册表解密密钥
0xae240682
Magic number
0x90,0x05,0x79,0xae
运行模式判断代码存在Bug
是
注册表操作代码存在Bug
是
攻击工业控制系统
否
是
驱动程序编译环境
Microsoft Visual C++ 6.0
Microsoft Visual C++ 7.0
第三窥:无奈的渐进分析
让我们看看这些样本
当分析变成不可能
Flame模块共有20MB大小,大部分模块都是函数库,用来处理SSL流量,SSH链接,嗅探,攻击和拦截通讯等。我们用了几个月的时间分析Stuxnet仅500K大小的文件,那么我们将需要几年的时间去完全明白Flame 20MB大小的文件。——卡巴斯基《Flame病毒问答》
总结:重大样本的分析反思
工作汇总
文献题目
发布情况
Stuxnet木马分析报告
公开
对Stuxnet蠕虫攻击工业控制系统事件的综合报告(中英文版)
公开
对Stuxnet蠕虫的后续分析报告
公开
工业控制系统中的现场总线安全性
内部
Trojan-Win32.DuQu.a分析报告
公开
Duqu与Stuxnet:基于编码心理学的同源分析
公开
从Duqu病毒Stuxnet蠕虫的同源性看工业控制系统安全
内部
探索Duqu木马的身世之谜——Duqu和Stuxnet同源性分析
公开
对Flame病毒攻击事件的分析报告
公开
soapr32.ocx模块分析
公开
Nteps32.ocx的功能分析
公开
msglu32.ocx模块分析
公开
Win32.Stuxnet蠕虫档案
使用SCADA木马攻击电网
Flamer:针对中东的非常复杂隐秘的威胁.
Flame病毒之问与答
Skywiper--网络之战的“火焰”
基于综合分析,编写各种文献16篇,
其中10篇已在网络/媒体上公开,2篇在安天内部发布,4篇为专
原创力文档

文档评论(0)