管中窥豹StuxnetDuqu和Flame的分析拾遗与反思PPT资料.pptx

1、查找查找U盘盘拷贝文件到拷贝文件到U盘盘传播的关键在何种条件下满足U盘传播？偏移偏移0 x6c、0 x70、0 xc8处的的标记位位偏移偏移0 x78、0 x7c处的的时间戳戳偏移偏移0 x80、0 x84处的的数数值WinCC之后发生了什么？偏差控制器（WinCC）执行器（调速器）控制器输出离心机转子离心机转速转速传感器和变送器转速测量数据测控装置工艺对象设定转速攻击目标第二窥：同源性分析Stuxnet与Duqu的结构结构和方法的相似并不能构和方法的相似并不能证明具有关明具有关联哪些才是关键比较点？哪些才是关键比较点？功能功能Stuxnet Duqu 模块化组件内核rootkit 非常相似驱

2、动数字证书Realtek,JMicronC-Media注入进程A/V列表 基于 Stuxnet.3 个加密配置文件 几乎完全一样键盘记录模块Duqu PLC 功能模块 不同于stuxnet通过本地共享感染利用0-day0-day,win32k.sys资源文件释放dll（多个）（一个）RPC 通信Port 80/443?（80）相似指定魔法数字 l错误处理关键判据：代码片段Duqu判定系判定系统状状态Stuxnet判定系判定系统状状态关键证据：数据相似Duqu的注册表数据的注册表数据Stuxnet的注册表数据的注册表数据DWORDcontrol4DWORDencryption_keyDWORDs

3、izeof_processnameBYTEprocessnamesizeof_processnameDWORDsizeof_dllpathBYTEdllpathsizeof_dllpathDWORDcontrol4WORDexpNumber;/注入dll调用的导出函数WORDFlags;DWORDencryption_keyDWORDreserved;/ListDWORDsizeof_processnameUNICODEprocessnamesizeof_processnameDWORDsizeof_dllpathUNICODEdllpathsizeof_dllpath关键证据：共同的错误（获

4、取XP操作系统版本）比较总结比比较项目目Duqu木木马Stuxnet蠕虫蠕虫功能模功能模块化化是Ring0注入方式注入方式PsSetLoadImageNotifyRoutineRing3注入方式注入方式Hookntdll.dll注入系注入系统进程程是资源嵌入源嵌入DLL模模块一个多个利用微利用微软漏洞漏洞是使用数字使用数字签名名是包括包括RPC通通讯模模块是配置文件解密密配置文件解密密钥0 xae2406820 x01ae0000注册表解密密注册表解密密钥0 xae240682Magic number0 x90,0 x05,0 x79,0 xae运行模式判断代运行模式判断代码存在存在Bug是注

5、册表操作代注册表操作代码存在存在Bug是攻攻击工工业控制系控制系统否是驱动程序程序编译环境境MicrosoftVisualC+6.0MicrosoftVisualC+7.0第三窥：无奈的渐进分析让我们看看这些样本当分析变成不可能Flame模模块共有共有20MB大小，大小，大部分模大部分模块都是函数都是函数库，用，用来来处理理SSL流量，流量，SSH链接，接，嗅探，攻嗅探，攻击和和拦截通截通讯等。等。我我们用了几个月的用了几个月的时间分析分析Stuxnet仅500K大小的文件，大小的文件，那么我那么我们将需要几年的将需要几年的时间去完全明白去完全明白Flame 20MB大大小的文件小的文件。卡巴

6、斯基卡巴斯基Flame病毒问答总结：重大样本的分析反思工作汇总文献文献题目目发布情况布情况Stuxnet木马分析报告公开对Stuxnet蠕虫攻击工业控制系统事件的综合报告（中英文版）公开对Stuxnet蠕虫的后续分析报告公开工业控制系统中的现场总线安全性内部Trojan-Win32.DuQu.a分析报告公开Duqu与Stuxnet：基于编码心理学的同源分析公开从Duqu病毒Stuxnet蠕虫的同源性看工业控制系统安全内部探索Duqu木马的身世之谜Duqu和Stuxnet同源性分析公开对Flame病毒攻击事件的分析报告公开soapr32.ocx模块分析公开Nteps32.ocx的功能分析公开ms

7、glu32.ocx模块分析公开Win32.Stuxnet蠕虫档案使用SCADA木马攻击电网Flamer：针对中东的非常复杂隐秘的威胁.Flame病毒之问与答Skywiper-网络之战的“火焰”基于基于综合分析，合分析，编写各种文献写各种文献16篇，篇，其中其中10篇已在网篇已在网络/媒体上公开，媒体上公开，2篇在安天内部篇在安天内部发布，布，4篇篇为专项呈呈报。根据管理部根据管理部门的需求，翻的需求，翻译文献文献5篇。篇。累累计人工分析人工分析样本文件近百个本文件近百个提取网提取网络检测规则多条多条编写写专杀工具一个工具一个制作工控系制作工控系统安全威安全威胁实景模景模拟系系统一套一套反思之一

8、：人力投入KasperskySymantecAntiy（安天）（安天）NicolasFalliere,高级软件工程师LiamOMurchu,开发经理EricChien,Symantec安全响应技术总监PatrickFitzgerald，高级工程师AniketAmdekar，高级工程师FergalLadley，高级工程师AlexanderGostev,全球研发与分析部，首席安全专家RoelSchouwenberg,高级反病毒研究员CostinRaiu,全球研发与分析部，总监RyanNaraine，高级工程师RoelSchouwenberg，高级工程师GAo,病毒分析组组长Bughouse,病毒分

9、析工程师Shuat,病毒分析工程师Skyriver,病毒分析工程师Tbsoft,高级电子工程师人人员层级？人人员构成？构成？人月投入？反思之二：成果对比KasperskySymantecAntiy（安天）博客与单点分析数量13211首发时间2010.07.15 2010.07.162010.08.18结束时间2011.12.28 2011.07.11N/A时间跨度一年半一年N/A正式报告篇幅7篇系列69页16页结束时间N/A2010.09.302010.09.27结束时间N/A2011.02.112010.09.30更新次数N/A4次5次公开演讲首次时间2010.09.30 2010.09.3

10、02011.04.28首次场景VB2010VB2010部委汇报反思之三：时间线分析时间阶段时间事件2010.06.17Virusblokada上报样本2010.07.13Symantec检测样本为W32.Temphid2010.07.15Kaspersky三篇博文讨论LNK漏洞和签名驱动2010.07.15安天捕获第一个样本，并添加检测规则。2010.07.16微软发布LNK漏洞预警2010.07.16Symantec博文介绍Stuxnet基本情况2010.07.19Kaspersky博文介绍LNK漏洞原理2010.07.20Symantec检测到C&C流量2010.07.20Kaspersk

11、y博文介绍Stuxnet的证书，2010.07.20Symantec博文介绍Stuxnet传播方法2010.07.19西门子报告Stuxnet攻击其SCADA系统2010.07.23Kaspersky发表系列博文MyrtusandGuava的第四篇和第五篇，开始研究工控系统2010.08.06Symantec发布博文称其是第一个针对工控系统的rootkit2010.08.18安天发布一篇样本分析报告2010.09.21Symantec发表博文介绍Stuxnet感染PLC的过程2010.09.26Kaspersky发布系列博文MyrtusandGuava，介绍与伊朗的关系2010.09.26Sy

12、mantec发布博文，介绍Stuxnet感染Step7工程的方法2010.09.27安天发布第一版大报告。2010.09.30Symantec在VB大会上演示PLC系统2010.10.11安天补充了一篇后续报告。2010.11.16Symantec发布博文，称Stuxnet的攻击目标是伊朗某核电站中铀的浓缩设施2011.02Kaspersky公布对Stuxnet时间戳的关联分析2011.12.28Kaspersky公布Stuxnet与Duqu的关联分析2012.01.23安天完成关于WINCC对铀浓缩具体影响的有关分析。2012.01.23安天完成Suxnet与Duqu的同源性分析并发布报告漏洞和漏洞和证书工控系工控系统具象目具象目标攻攻击朔源朔源特别感怀安天面安天面临的的问题是国内厂商普是国内厂商普遍遍问题。面面对大玩家入大玩家入场，我，我们还没有没有做好准做好准备。人是在斗争中人是在斗争中变得正确，得正确，而不是等到正确了才去斗争。而不是等到正确了才去斗争。谢谢各位专家领导