管中窥豹StuxnetDuqu和Flame分析拾遗与反思.pptVIP

管中窥豹——Stuxnet、Duqu和Flame的分析碎片与反思 安天实验室 2012.6.15 说在前面 第一窥：一个行为的断链拼接 本章围绕安天分析中，遇到分析报告读者提出的三个问题，而展开。 一个都知道的故事 为何不能复现U盘传播? 查找U盘 拷贝文件到U盘 传播的关键 在何种条件下满足U盘传播？ 偏移0x6c、0x70、0xc8处的标记位 偏移0x78、0x7c处的时间戳 偏移0x80、0x84处的数值 WinCC之后发生了什么？ 第二窥：同源性分析 Stuxnet与Duqu的结构 结构和方法的相似并不能证明具有关联 哪些才是关键比较点？ 功能 Stuxnet Duqu 模块化组件   内核rootkit   非常相似 驱动数字证书 Realtek, JMicron C-Media 注入进程A/V列表   基于 Stuxnet. 3 个加密配置文件   几乎完全一样 键盘记录模块 Duqu   PLC 功能模块   不同于stuxnet 通过本地共享感染   利用0-day  0-day, win32k.sys 资源文件释放dll  (多个)  (一个) RPC 通信   Port 80/443 ?（80）  相似 指定魔法数字   l 错误处理   关键判据：代码片段 Duqu判定系统状态 Stuxnet判定系统状态 关键证据：数据相似 Duqu的注册表数据 Stuxnet的注册表数据 DWORD control[4] DWORD encryption_key DWORD sizeof_processname BYTE processname[sizeof_processname] DWORD sizeof_dllpath BYTE dllpath[sizeof_dllpath] DWORD control[4] WORD expNumber; //注入dll调用的导出函数 WORD Flags; DWORD encryption_key DWORD reserved ; //List DWORD sizeof_processname UNICODE processname[sizeof_processname] DWORD sizeof_dllpath UNICODE dllpath[sizeof_dllpath] 关键证据：共同的错误（获取XP操作系统版本） 比较总结 比较项目 Duqu木马 Stuxnet蠕虫 功能模块化 是 Ring0注入方式 PsSetLoadImageNotifyRoutine Ring3注入方式 Hook ntdll.dll 注入系统进程 是 资源嵌入DLL模块 一个 多个 利用微软漏洞 是 使用数字签名 是 包括RPC通讯模块 是 配置文件解密密钥 0xae240682 0x01ae0000 注册表解密密钥 0xae240682 Magic number 0x90,0x05,0x79,0xae 运行模式判断代码存在Bug 是 注册表操作代码存在Bug 是 攻击工业控制系统 否 是 驱动程序编译环境 Microsoft Visual C++ 6.0 Microsoft Visual C++ 7.0 第三窥：无奈的渐进分析 让我们看看这些样本 当分析变成不可能 Flame模块共有20MB大小，大部分模块都是函数库，用来处理SSL流量，SSH链接，嗅探，攻击和拦截通讯等。我们用了几个月的时间分析Stuxnet仅500K大小的文件，那么我们将需要几年的时间去完全明白Flame 20MB大小的文件。——卡巴斯基《Flame病毒问答》 总结：重大样本的分析反思 工作汇总 文献题目 发布情况 Stuxnet木马分析报告 公开 对Stuxnet蠕虫攻击工业控制系统事件的综合报告（中英文版） 公开 对Stuxnet蠕虫的后续分析报告 公开 工业控制系统中的现场总线安全性 内部 Trojan-Win32.DuQu.a分析报告 公开 Duqu与Stuxnet：基于编码心理学的同源分析 公开 从Duqu病毒Stuxnet蠕虫的同源性看工业控制系统安全 内部 探索Duqu木马的身世之谜——Duqu和Stuxnet同源性分析 公开 对Flame病毒攻击事件的分析报告 公开 soapr32.ocx模块分析 公开 Nteps32.ocx的功能分析 公开 msglu32.ocx模块分析 公开 Win32.Stuxnet蠕虫档案 使用SCADA木马攻击电网 Flamer：针对中东的非常复杂隐秘的威胁. Flame病毒之问与答 Skywiper--网络之战的“火焰” 基于综合分析，编写各种文献16篇， 其中10篇已在网络/媒体上公开，2篇在安天内部发布，4篇为专