基于内存取证进行stuxnet 病毒分析(上)

最新推荐文章于 2024-01-15 16:59:31 发布
最新推荐文章于 2024-01-15 16:59:31 发布
阅读量1.9k 收藏 3
点赞数
分类专栏: 病毒分析 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46286477/article/details/121343841
版权

基于内存取证进行stuxnet 病毒分析(上)

stuxnet病毒翻译过来又叫震网病毒,是美国针对伊朗核电站进行的有组织开发的恶意病毒。主要是利用Windows操作系统未被发现的四个漏洞,可以通过U盘,打印机等进行传播,无需借助网络连接。通过提权的操作可以进行对其设备发送命令,造成严重的破坏。
下面本文从内存取证的角度对震网病毒进行分析。

1.扫描进程之间的关系

前提知识:一个普通的 Windows XP 安装只有一个 Lsass.exe 实例,Winlogon 进程在系统启动时创建它。
下面使用volatility中Pstree来查看进程。
代码: python vol.py -f stuxnet.vmem --profile WinXPSP2x86 pstree
显示结果:
在这里插入图片描述

可以看到一共有三个lsass.exe,其中父 pid 为 668属于 services.exe 。父 pid 为 624,它属于 winlogon.exe。进程树显示两个新的 Lsass.exe 实例都是由Services.exe…服务控制管理器,这意味着 Stuxnet 以某种方式将其代码放入了 Services.exe 进程中。

2.进程优先级

前提知识:一些 Windows 系统进程(例如会话管理器、服务控制器和本地安全认证服务器)的基本进程优先级略高于 Normal 类的默认值 (8)。进程基本优先级存储在 EPROCESS.Pcb.BasePriority 中。
下面用一个脚本来查看一下进程的优先级。
代码:python vol.py -f stuxnet.vmem --profile WinXPSP2x86 volshell
import volatility.win32.tasks as tasks

import volatility.utils as utils
addr_spac = utils.load_as(self._config)
all_tasks = list(tasks.pslist(addr_spac))
for task in all_tasks:
… if task.UniqueProcessId in (680, 868, 1928):
… print “Pid: {0} Priority: {1}”.format(task.UniqueProcessId, task.Pcb.BasePriority)

显示结果:在这里插入图片描述
合法的本地安全认证服务器 (lsass.exe) 将比普通进程具有更高的优先级,包括由 Stuxnet 创建的进程。BasePriority合法的 lsass.exe (pid 680) 为 9,而 Stuxnet 创建的 lsass.exe (pid 868、1928)为 8。

3.查看震网病毒的DLL

震网病毒创建的恶意进程加载的DLL比合法进程要少很多,使用插件dlllist显示恶意进程的dll。
代码:python vol.py -f stuxnet.vmem --profile WinXPSP2x86 dlllist -p 680,868,1928
结果:
lsass.exe pid: 680
Command line : C:\WINDOWS\system32\lsass.exe
Service Pack 3

Base Size LoadCount LoadTime Path

0x01000000 0x6000 0xffff C:\WINDOWS\system32\lsass.exe
0x7c900000 0xaf000 0xffff C:\WINDOWS\system32\ntdll.dll
0x7c800000 0xf6000 0xffff C:\WINDOWS\system32\kernel32.dll
0x77dd0000 0x9b000 0xffff C:\WINDOWS\system32\ADVAPI32.dll
0x77e70000 0x92000 0xffff C:\WINDOWS\system32\RPCRT4.dll
… …60个

lsass.exe pid: 868
Command line : “C:\WINDOWS\system32\lsass.exe”
Service Pack 3

Base Size LoadCount LoadTime Path

0x01000000 0x6000 0xffff C:\WINDOWS\system32\lsass.exe
0x7c900000 0xaf000 0xffff C:\WINDOWS\system32\ntdll.dll
0x7c800000 0xf6000 0xffff C:\WINDOWS\system32\kernel32.dll
0x77dd0000 0x9b000 0xffff C:\WINDOWS\system32\ADVAPI32.dll
0x77e70000 0x92000 0xffff C:\WINDOWS\system32\RPCRT4.dll
0x77fe0000 0x11000 0xffff C:\WINDOWS\system32\Secur32.dll
0x7e410000 0x91000 0xffff C:\WINDOWS\system32\USER32.dll
0x77f10000 0x49000 0xffff C:\WINDOWS\system32\GDI32.dll

lsass.exe pid: 1928
Command line : “C:\WINDOWS\system32\lsass.exe”
Service Pack 3

Base Size LoadCount LoadTime Path

0x01000000 0x6000 0xffff C:\WINDOWS\system32\lsass.exe
0x7c900000 0xaf000 0xffff C:\WINDOWS\system32\ntdll.dll
0x7c800000 0xf6000 0xffff C:\WINDOWS\system32\kernel32.dll
0x77dd0000 0x9b000 0xffff C:\WINDOWS\system32\ADVAPI32.dll
0x77e70000 0x92000 0xffff
…12个
C:\WINDOWS\system32\WININET.dll
0x77a80000 0x95000 0x2 C:\WINDOWS\system32\CRYPT32.dll
0x77b20000 0x12000 0x2 C:\WINDOWS\system32\MSASN1.dll
0x71ad0000 0x9000 0x2 C:\WINDOWS\system32\WSOCK32.dll
0x773d0000 0x103000 0x2 C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll
0x5d090000 0x9a000 0x1 C:\WINDOWS\system32\comctl32.dll

4.代码注入

前提知识:合法的 Lsass 没有可执行数据区域,但两个新的 Lsass 进程在它们的地址空间中都具有相同位置和相同大小的具有执行和写入权限的区域。
代码: python vol.py -f stuxnet.vmem --profile WinXPSP2x86 malfind
结果显示:
在这里插入图片描述
在这里插入图片描述
Malfind 在两个进程的基地址 0x80000 处找到了两个可疑区域。它们具有 MM_EXECUTE_READWRITE 权限并以 MZ 开头,这意味着 PE 可能存储在这里。

5.DLL怎么隐藏的呢?

W32.Stuxnet 已钩住 Ntdll.dll 以监视加载特制文件名的请求。这些特制文件名被映射到另一个位置 - W32.Stuxnet 指定的位置。该位置通常是内存中的一个区域,其中 .dll 文件先前已被威胁解密并存储。使用的文件名具有 KERNEL32.DLL.ASLR 模式。
代码: python vol.py -f stuxnet.vmem --profile WinXPSP2x86 dlllist | grep ASLR
显示结果:
在这里插入图片描述接下来使用ldrmodules插件,该插件可以将内存中的PE文件与映射文件以及PEB中的3个DLL列表进行比较。
代码:python vol.py -f stuxnet.vmem --profile WinXPSP2x86 ldrmodules -p 1928 -v
显示结果:
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
那么多地址为什么要选择这三个呢?是因为在没-v之前,这三个地址对应的PEB列表中路径名是空白。
显示结果:
在这里插入图片描述
从上可以确认0x01000000是主模块C:\ WINDOWS \ system32 \ lsass.exe的ImageBase。接下来使用使用procexedump或procmemdump提取此内存区域中存在的内容并将其与合法的lsass.exe进行比较来进行确认。
代码:python vol.py -f stuxnet.vmem --profile WinXPSP2x86 procdump -p 680,868,1928 -D out
显示结果:
在这里插入图片描述
通过命令:strings out/executable.680.exe 来查看具体内容
1.首先看正常的lsass.exe
代码:strings out/executable.680.exe
显示结果:
在这里插入图片描述
2.查看注入的lsass.exe
代码:strings out/executable.868.exe
显示结果:
![在这里插入图片描述](https://img-blog.csdnimg.cn/58ad588a8a524991a9d81858f3be39d6.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBA5biI5aeQ55qE5bCP5biI5aa5,size_16,color_FFFFFF,t_70,g_se,x_16
结论:恶意的 lsass.exe 二进制文件的内容明显不同。这实际上是进程hollow的效果——Stuxnet 使用的第二种代码注入。红色框中的 API 的名称是被恶意软件钩住的 API(参见 Artifact 6),其他 API 可能来自文件的导入地址表。

6.API挂钩

通过apihooks进行分析。
代码:python vol.py -f stuxnet.vmem --profile WinXPSP2x86 apihooks -p 668
显示结果:总共12个,上一节看到有六个APIhook函数。如果有6个连接的 api,为什么有12行的输出?由于 Ntdll.dll 将每个函数导出两次(一次用于 Nt * ,一次用于 Zw *) ,因此 apihooks 插件将两者都显示出来。另外,很明显 Stuxnet 使用类似于“ syscall”挂接技术,而不是更常见的 Inline/IAT/EAT 挂接技术。要以交互方式探索钩子地址周围的代码,请使用以下命令。这一次,我们将使用它来跟踪调用已挂钩的 API 时的执行流。
在这里插入图片描述

2021-09-28 网安实验-取证分析-Stuxnet病毒
时光隧道
09-28 4万+
相关知识点 震网(Stuxnet病毒于2010年6月首次被检测出来,是第一个专门定向攻击真实世界中基础(能源)设施的“蠕虫”病毒,比如核电站,水坝,国家电网。互联网安全专家对此表示担心。 作为世界上首个网络“超级破坏性武器”,“震网”病毒利用了微软视窗操作系统之前未被发现的4个漏洞,Stuxnet的计算机病毒已经感染了全球超过 45000个网络,伊朗遭到的攻击最为严重,60%的个人电脑感染了这种病毒。计算机安防专家认为,该病毒是有史以来最高端的“蠕虫”病毒。蠕虫是一种典型的计算机病毒,它能自我复制,并将副
[系统安全] 七.逆向分析之PE病毒原理、C++实现文件加解密及OllyDbg逆向
杨秀璋的专栏
12-26 6418
系统安全系列作者将深入研究恶意样本分析、逆向分析、攻防实战和Windows漏洞利用等,通过在线笔记和实践操作的形式分享与博友们学习,希望能与您一起进步。前文介绍了条件语句和循环语句源码还原及流程控制逆向。这篇文章将分享勒索病毒,通过编写程序实现获取Windows系统目录文件,并对其进行加密和解密的过程;第二部分详细讲解了OllyDbg和在线沙箱的逆向分析过程。希望对入门的同学有帮助。
stuxnet(震网)的详细分析
06-12
stuxnet(震网)的详细分析文档,详细分析stuxnet的每个阶段。
震网(Stuxnet病毒深度解析:首个攻击真实世界基础设施的病毒
华为云官方博客
01-16 7328
震网病毒主要是通过改变离心机的转速,来破坏离心机,并影响生产的浓缩铀质量。
stuxnet震网病毒科普
qq_43369406的博客
03-07 2521
震网病毒 本文通过病毒排查方式,几个0day漏洞,病毒执行逻辑对stuxnet进行讲解。 参考“人类第一次网络战争行为,震网病毒是怎么被发现的,是怎么进行攻击的” https://www.bilibili.com/video/BV1r3411q7ff?from=search&seid=17833200498424434879&spm_id_from=333.337.0.0 排查方式 赛门铁克通过反汇编进行 0Day漏洞 平均一个0day漏洞价格100w rmb。 震网中发现4个0day漏
Stuxnet病毒引发的嵌入式系统安全
07-26
Stuxnet是一种高级的病毒,曾破坏伊朗的核能,近日引起极大关注。这也成为了交织国际政治斗争和核科学的著名故事。但由此产生的许多疑问是错误的,极具误导性,并未解决根本问题。本文讨论我们为什么不应该纠缠于Stuxnet本身,我们应该思考哪些问题,以及我们何去何从。
[网络安全自学篇] 七十九.Windows PE病毒原理、分类及感染方式详解
杨秀璋的专栏
05-20 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了XSS跨站脚本攻击案例,主要内容包括XSS原理、不同类型的XSS、XSS靶场9道题目、如何防御XSS。这篇文章将介绍Windows PE病毒, 包括PE病毒原理、分类及感染方式详解,并通过案例进行介绍。基础性文章,希望对您有所帮助~
2021年下半年软考信息安全工程师上午选择题及解析
qq_68147327的博客
09-20 8549
2021年下半年软考信息安全工程师上午选择题
信息安全工程师第二版考试总结+笔记
热门推荐
IT技术
11-29 2万+
信息安全工程师第二版考试总结+笔记
网络空间安全——总结
LinYuan
09-10 1万+
1 绪论 课程目标: 系统而全面的了解网络空间安全方面的基础知识、认识安全隐患、掌握相应的防范方法、提高大家的安全意识。 课程重点: 勾勒网络空间安全的框架。 课程内容安排: 安全法律法规 物理设备安全 网络攻防技术 恶意代码及防护 操作系统安全 无线网络安全 数据安全 信息隐藏 隐私保护 区块链 物联网安全 密码学基础 网络空间安全概念由来 欧洲信息安全局:网络空间安全和信息安全概...
Stuxnet_Malware_Analysis_Paper.pdf
05-10
Stuxnet恶意软件分析报告
stuxnet, stuxnet/myrtus的开源反编译.zip
09-18
stuxnet, stuxnet/myrtus的开源反编译 stuxnet最终,这将是对Stuxnet的综合反编译。最终。由 https://github.com/Christian-Roggia/open-myrtus 提供的初始基础提供程序我已经开始使用以下的研究来帮助( 更多) 完整
震网(Stuxnet),又称作超级工厂,是一种Windows平台上的计算机蠕虫
weixin_40191861的博客
08-20 945
Stuxnet),又称作,是一种平台上的,2010年6月首次被白俄罗斯安全公司VirusBlokAda发现,其名称是从代码中的关键字得来,它的传播从2009年6月或更早开始,首次大范围被报道的是Brian Krebs的安全博客。它是首个针对工业控制系统的蠕虫病毒,利用控制系统(SIMATIC WinCC/Step7)存在的漏洞感染(SCADA),能向可编程逻辑控制器(PLC)写入代码并将代码隐藏。这次事件是有史以来第一个包含PLC的电脑蠕虫,也是已知的第一个以关键工业基础设施为目标的蠕虫。
震网病毒(Stuxnet)揭秘
最新发布
bugsycrack的博客
01-15 2087
大众日报》的调查结果颇有007系列小说的传奇色彩。如果对工厂设备的布局和这套系统的运行周期等情况不了解是不可能开发出这个病毒的,根据卡巴斯基的报告病毒有五个版本针对工厂plc的攻击方式就有两个版本,如果不是间谍提供了关键信息开发人员是难以编写如此有针对性的攻击性病毒的。2010年7月,“震网”(Stuxnet)蠕虫攻击事件,引发了国际主流安全厂商和安全研究者的全面关注,卡巴斯基、赛门铁克、安天等安全厂商,Ralph Langne等著名安全研究者,以及多国的应急组织和研究机构,都投入到了全面的分析接力中。
内存取证(仅个人思路)
旺仔Sec&blog
11-23 4435
volatility -f test2.raw imageinfo 获取镜像详细信息 profile参数很重要 volatility -f test2.raw --profile=Win7SP1x64 hashdump 获取镜像的hash值及用户名 获取之后可以使用john工具进行字典解密 或者使用ophcrack破解 如果比赛的时候有mimikatz插件 可以直接使用mimikatz进行破解 直接出密码 还有一种是 lsadump 能出来断断续续的密码 不是完整的 ...
2022/03/25hackthebox取证emo病毒分析报告(上)
A的博客
03-25 1130
病毒是一个宏病毒 由vb语言编写 打开emo.doc按alt+F11 Document_open()是文件打开时执行的函数 如图 它会执行 Get4ipjzmjfvp.X8twf_cydt6点击视图里面的对象浏览器搜索 Get4ipjzmjfvp是一个窗体一个类 点关闭点旁边的复选框控件 里面有很多代码里面混淆着病毒 对象浏览器搜索,再在代码里面观察 Get4ipjzmjfvp.X8twf_cydt6的X8twf_cydt6是一个函数 先在Get4ipjzmjfvp.X8twf_cydt6 旁边打
Stuxnet 蠕虫病毒可能是有史以来最复杂的软件
csdm_cjm的专栏
06-13 2232
我们不知道 Stuxnet 的作者是谁,只知道大概是在2005年至2010年间编写的。这种病毒藏在 U 盘上。当 U 盘插入 PC,它会自动运行,将自已复制到该 PC。它至少有三种自动运行的方法。如果某种方法行不通,就尝试另一种。其中的两种运行方法是全新的,使用了 Windows 的两个无人知晓的秘密 Bug。一旦蠕虫进入 PC ,它会尝试获得该 PC 的管理员权限,使用的也是前面提到的那两个...
震网(Stuxnet),又称作超级工厂,是一种Windows平台上的计算机蠕虫,2010年6月首次被白俄罗斯安全公司VirusBlokAda发现,其名称是从代码中的关键字得来
weixin_40191861的博客
11-15 731
Stuxnet),又称作,是一种平台上的,2010年6月首次被白俄罗斯安全公司VirusBlokAda发现,其名称是从代码中的关键字得来,它的传播从2009年6月或更早开始,首次大范围被报道的是Brian Krebs的安全博客。它是首个针对工业控制系统的蠕虫病毒,利用控制系统(SIMATIC WinCC/Step7)存在的漏洞感染(SCADA),能向可编程逻辑控制器(PLC)写入代码并将代码隐藏。这次事件是有史以来第一个包含PLC的电脑蠕虫,也是已知的第一个以关键工业基础设施为目标的蠕虫。
网络战武器——震网(Stuxnet)病毒
06-06 5316
title: 网络战武器——震网(Stuxnet)病毒 date: 2021-06-06 12:00:00 categories: - 网络空间 - 网络战 tags: - 网络攻击 网络战武器——震网(Stuxnet)病毒 震网事件 2010 年 6 月 17 日,白俄罗斯一家小 公司 VirusBlockAda 的安全研究人员 发现一种能感染可移动存储设备的恶意软 件。2010年7月,“震网”(Stuxnet)蠕虫攻击事件浮出水面,引发了国际主流安全厂商和安全研究者的全面关注,卡巴斯基、赛门铁克、安.
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值