Stuxnet -背景函数

Question

Stuxnet是一种聪明的蠕虫，旨在使核网络上的可编程逻辑控制器失灵(伊朗是受影响最严重的国家)。核网络是私人网络，不受“因特网议定书”的支持(出于安全原因)。Stuxnet会感染拥有IP的计算机。不管是谁插上USB，都会感染Stuxnet。目的是让来自核电站的人在他们的计算机上插入USB接口，然后进入核子网络，从而使核网络受到感染。(阅读更多关于它的这里)

我的问题是，在没有合法用户下载Stuxnet的情况下，如何使蠕虫发送数据包在计算机上执行字节？什么样的服务，什么端口，什么样的连接，它是如何被利用的？这是如何实现的.

例如，Stuxnet只是在互联网上到处发送，并在它到达的任何计算机上运行，但这些计算机的合法用户从未亲自运行过它。通常，在设备上运行的任何东西都需要下载。木马病毒需要下载，但是这个蠕虫不是吗？

我注意到这是相当先进的东西，但我不能只想着这是怎么回事

Answer 1

在没有合法用户下载Stuxnet的情况下，如何使蠕虫发送数据包在计算机上执行字节？

据广泛报道，Stuxnet在Windows中至少使用了4个0天的漏洞，以规避可能在用户不知情的情况下执行任意代码的措施。在Stuxnet被发现和分析之前，这些基本上都是微软和普通社区未知的漏洞。

以下是Stuxnet造成的0天漏洞：

允许本地用户或远程攻击者通过巧尽心思构建的(1) .LNK或(2) .PIF快捷文件执行任意代码，该快捷文件在Windows中图标显示期间处理不当

CVE-2010-2568

启用打印机共享时，无法正确验证假脱机程序访问权限，从而允许远程攻击者在系统目录中创建文件，从而执行任意代码。

CVE-2010-2729

不正确地管理窗口类，该类允许本地用户通过创建窗口获得权限，然后使用(1) SetWindowLongPtr函数修改弹出菜单结构，或(2)使用开关窗口信息指针的SwitchWndProc函数

CVE-2010-2744

未正确确定计划任务的安全上下文，该任务允许本地用户通过精心编制的应用程序获得权限。

CVE-2010-3338

使用这些漏洞Stuxnet可以在远程计算机上执行代码，提高其权限，然后一次又一次地重复循环。这就是蠕虫的基本运作方式。

此外，Stuxnet还使用了两个被盗的证书来签署Windows将信任的驱动程序，使其能够访问内核。

这是如何实现的。

如果不能使用相同的漏洞来构建像Stuxnet这样的蠕虫，那么就必须找到新的漏洞。正如您可以想象的那样，这类漏洞对于攻击者来说是非常罕见和宝贵的。

木马病毒需要下载，但是这个蠕虫不是吗？

从经济学的角度来看，如果每个恶意软件的创建者都能接触到这些漏洞，那么我相信他们会制造蠕虫而不是特洛伊木马。另一方面，特洛伊木马的成本可能更低，而且效果也取决于场景。

如果您只是想传播广告软件，那么使用这样一个宝贵的漏洞将是一种浪费，因为您可以让大量的人愿意安装您的恶意软件，只需向他们展示一个横幅广告，上面写着“今日双倍RAM！”

然而，如果你的目标是渗透到一个外国的核设施，那么弹出广告不会削减它。