• 正在加载中...
  • 震网”是“震网病毒”的同义词。

    震网病毒

    震网病毒又名Stuxnet病毒,是一个席卷全球工业界的病毒。

    震网(Stuxnet)病毒于2010年6月首次被检测出来,是第一个专门定向攻击真实世界中基础(能源)设施的“蠕虫”病毒,比如核电站,水坝,国家电网。互联网安全专家对此表示担心。

    作为世界上首个网络“超级破坏性武器”,Stuxnet的计算机病毒已经感染了全球超过 45000个网络,伊朗遭到的攻击最为严重,60%的个人电脑感染了这种病毒。计算机安防专家认为,该病毒是有史以来最高端的“蠕虫”病毒。蠕虫是一种典型的计算机病毒,它能自我复制,并将副本通过网络传输,任何一台个人电脑只要和染毒电脑相连,就会被感染。

    编辑摘要

    目录

    概念/震网病毒 编辑

    震网(Stuxnet),指一种蠕虫病毒。它的复杂程度远超一般电脑黑客的能力。这种震网(Stuxnet)病毒于2010年6月首次被检测出来,是第一个专门定向攻击真实世界中基础(能源)设施的“蠕虫”病毒,比如核电站,水坝,国家电网。互联网安全专家对此表示担心。

    “震网”病毒利用了微软视窗操作系统之前未被发现的4个漏洞。通常意义上的犯罪性黑客会利用这些漏洞盗取银行和信用卡信息来获取非法收入。而“震网”病毒不像一些恶意软件那样可以赚钱,它需要花钱研制。这是专家们相信“震网”病毒出自情报部门的一个原因。

    据全球最大网络保安公司赛门铁克(Symantec)和微软(Microsoft)公司的研究,近60%的感染发生在伊朗,其次为印尼(约20%)和印度(约10%), 阿塞拜疆、美国与巴基斯坦等地亦有小量个案。

    震网 震网

    由于“震网”感染的重灾区集中在伊朗境内。美国和以色列因此被怀疑是“震网”的发明人。

    这种新病毒采取了多种先进技术,因此具有极强的隐身和破坏力。只要电脑操作员将被病毒感染的U盘插入USB接口,这种病毒就会在神不知鬼不觉的情况下(不会有任何其他操作要求或者提示出现)取得一些工业用电脑系统的控制权。

    发现历史/震网病毒 编辑

    2010年6月,“震网”病毒首次被发现,它被称为有史以来最复杂的网络武器,因为它悄然袭击伊朗核设施的手法极其阴险。  

    2010年9月,瑞星公司监测到这个席卷全球工业界的病毒已经入侵中国。瑞星反病毒专家警告说,我国许多大型重要企业在安全制度上存在缺失,可能促进Stuxnet病毒在企业中的大规模传播。 [1]

    2010年12月15日,一位德国计算机高级顾问表示,“震网”计算机病毒令德黑兰的核计划拖后了两年。这个恶意软件2010年一再以伊朗核设施为目标,通过渗透进“视窗”(Windows)操作系统,并对其进行重新编程而造成破坏。

    2011年1月26日,俄罗斯常驻北约代表罗戈津表示,这种病毒可能给伊朗布什尔核电站造成严重影响,导致有毒的放射性物质泄漏,其危害将不亚于1986年发生的切尔诺贝利核电站事故。 [2]

    震网传播 震网传播

    2012年6月1日的美国《纽约时报》报道,揭露“震网”病毒 起源于2006年前后由美国前总统小布什启动的“奥运会计划”。2008年,奥巴马上任后下令加速该计划。 [3]

    2013年3月,中国解放军报报道,美国曾利用“震网”蠕虫病毒攻击伊朗的铀浓缩设备,已经造成伊朗核电站推迟发电,目前国内已有近500万网民、及多个行业的领军企业遭此病毒攻击。 这种病毒可能是新时期电子战争中的一种武器。震网病毒,截止2011年,感染了全球超过45000个网络,60%的个人电脑感染了这种病毒。

    特点/震网病毒 编辑

    与传统的电脑病毒相比,“震网”病毒不会通过窃取个人隐私信息牟利。

    由于它的打击对象是全球各地的重要目标,因此被一些专家定性为全球首个投入实战舞台的“网络武器”。

    无需借助网络连接进行传播。这种病毒可以破坏世界各国的化工、发电和电力传输企业所使用的核心生产控制电脑软件,并且代替其对工厂其他电脑“发号施令”。

    极具毒性和破坏力。“震网”代码非常精密,主要有两个功能,一是使伊朗的离心机运行失控,二是掩盖发生故障的情况,“谎报军情”,以“正常运转”记录回传给管理部门,造成决策的误判。在2011年2月的攻击中,伊朗纳坦兹铀浓缩基地至少有1/5的离心机因感染该病毒而被迫关闭。

    “震网”定向明确,具有精确制导的“网络导弹”能力。它是专门针对工业控制系统编写的恶意病毒,能够利用Windows系统和西门子SIMATICWinCC系统的多个漏洞进行攻击,不再以刺探情报为己任,而是能根据指令,定向破坏伊朗离心机等要害目标。

    震网病毒 震网病毒

    “震网”采取了多种先进技术,具有极强的隐身性。它打击的对象是西门子公司的SIMATICWinCC监控与数据采集 (SCADA)系统。尽管这些系统都是独立与网络而自成体系运行,也即“离线”操作的,但只要操作员将被病毒感染的U盘插入该系统USB接口,这种病毒就会在神不知鬼不觉的情况下 (不会有任何其他操作要求或者提示出现)取得该系统的控制权。

    “震网”病毒结构非常复杂,计算机安全专家在对软件进行反编译后发现,它不可能是黑客所为,应该是一个“受国家资助的高级团队研发的结晶”。美国《纽约时报》称,美国和以色列情报机构合作制造出“震网”病毒。 [2]

    深度分析/震网病毒 编辑

    第一章

    2010年10月,国内外多家媒体相继报道了Stuxnet蠕虫对西门子公司的数据采集与监控系统SIMATIC WinCC进行攻击的事件,称其为“超级病毒”、“超级工厂病毒”,并形容成“超级武器”、“潘多拉的魔盒”。

    Stuxnet蠕虫(俗称“震网”、“双子”)在2010年7月开始爆发。它利用了微软操作系统中至少4个漏洞,其中有3个全新的零日漏洞;伪造驱动程序的数字签名;通过一套完整的入侵和传播流程,突破工业专用局域网的物理限制;利用WinCC系统的2个漏洞,对其开展破坏性攻击。它是第一个直接破坏现实世界中工业基础设施的恶意代码。据赛门铁克公司的统计,截止到2010年09月全球已有约45000个网络被该蠕虫感染, [4]其中60%的受害主机位于伊朗境内。伊朗政府已经确认该国的布什尔核电站遭到Stuxnet蠕虫的攻击。

    安天实验室于7月15日捕获到Stuxnet蠕虫的第一个变种,在第一时间展开分析,发布了分析报告及防范措施,并对其持续跟踪。截止至本报告发布,安天已经累计捕获13个变种、600多个不同哈希值的样本实体。

    第二章

    2.1 运行环境

    Stuxnet蠕虫在以下操作系统中可以激活运行:

    • Windows 2000、Windows Server 2000

    • Windows XP、Windows Server 2003

    • Windows Vista

    • Windows 7、Windows Server 2008

    当它发现自己运行在非Windows NT系列操作系统中,即刻退出。

    被攻击的软件系统包括:

    • SIMATIC WinCC 7.0

    • SIMATIC WinCC 6.2

    但不排除其他版本存在这一问题的可能。

    2.2 本地行为

    样本被激活后,典型的运行流程如图1 所示。

    样本首先判断当前操作系统类型,如果是Windows 9X/ME,就直接退出。

    接下来加载一个主要的DLL模块,后续的行为都将在这个DLL中进行。为了躲避查杀,样本并不将DLL模块释放为磁盘文件然后加载,而是直接拷贝到内存中,然后模拟DLL的加载过程。

    具体而言,样本先申请足够的内存空间,然后hookntdll.dll导出的6个系统函数:

    ZwMapViewOfSection

    ZwCreateSection

    ZwOpenFile

    ZwClose

    ZwQueryAttributesFile

    ZwQuerySection

    1.

    ZwMapViewOfSection

    2.

    ZwCreateSection

    3.

    ZwOpenFile

    4.

    ZwClose

    5.

    ZwQueryAttributesFile

    6.

    ZwQuerySection

    为此,样本先修改ntdll.dll文件内存映像中PE头的保护属性,然后将偏移0x40处的无用数据改写为跳转代码,用以实现hook。

    进而,样本就可以使用ZwCreateSection在内存空间中创建一个新的PE节,并将要加载的DLL模块拷贝到其中,最后使用LoadLibraryW来获取模块句柄。

    震网病毒 震网病毒

    图1 样本的典型运行流程

    此后,样本跳转到被加载的DLL中执行,衍生下列文件:

    %System32%\drivers\mrxcls.sys %System32%\drivers\mrxnet.sys%Windir%\inf\oem7A.PNF%Windir%\inf\mdmeric3.PNF %Windir%\inf\mdmcpq3.PNF%Windir%\inf\oem6C.PNF  其中有两个驱动程序mrxcls.sys和mrxnet.sys,分别被注册成名为MRXCLS和MRXNET的系统服务,实现开机自启动。这两个驱动程序都使用了Rootkit技术,并有数字签名。

    mrxcls.sys负责查找主机中安装的WinCC系统,并进行攻击。具体地说,它监控系统进程的镜像加载操作,将存储在%Windir%\inf\oem7A.PNF中的一个模块注入到services.exe、S7tgtopx.exe、CCProjectMgr.exe三个进程中,后两者是WinCC系统运行时的进程。

    mrxnet.sys通过修改一些内核调用来隐藏被拷贝到U盘的lnk文件和DLL文件(图2 )。

    震网病毒 震网病毒

    图2驱动程序隐藏某些lnk文件

    震网病毒 震网病毒

    图3 样本的多种传播方式

    2.3 传播方式 Stuxnet蠕虫的攻击目标是SIMATIC WinCC软件。后者主要用于工业控制系统的数据采集与监控,一般部署在专用的内部局域网中,并与外部互联网实行物理上的隔离。为了实现攻击,Stuxnet蠕虫采取多种手段进行渗透和传播,如图3所示。

    整体的传播思路是:首先感染外部主机;然后感染U盘,利用快捷方式文件解析漏洞,传播到内部网络;在内网中,通过快捷方式解析漏洞、RPC远程执行漏洞、打印机后台程序服务漏洞,实现联网主机之间的传播;最后抵达安装了WinCC软件的主机,展开攻击。

    2.3.1. 快捷方式文件解析漏洞(MS10-046)

    这个漏洞利用Windows在解析快捷方式文件(例如.lnk文件)时的系统机制缺陷,使系统加载攻击者指定的DLL文件,从而触发攻击行为。具体而言,Windows在显示快捷方式文件时,会根据文件中的信息寻找它所需的图标资源,并将其作为文件的图标展现给用户。如果图标资源在一个DLL文件中,系统就会加载这个DLL文件。攻击者可以构造这样一个快捷方式文件,使系统加载指定的DLL文件,从而执行其中的恶意代码。快捷方式文件的显示是系统自动执行,无需用户交互,因此漏洞的利用效果很好。

    Stuxnet蠕虫搜索计算机中的可移动存储设备(图4)。一旦发现,就将快捷方式文件和DLL文件拷贝到其中(图5)。如果用户将这个设备再插入到内部网络中的计算机上使用,就会触发漏洞,从而实现所谓的“摆渡”攻击,即利用移动存储设备对物理隔离网络的渗入。

    震网病毒 震网病毒

    图4 查找U盘

    拷贝到U盘的DLL文件有两个:~wtr4132.tmp和~wtr4141.tmp。后者Hook了kernel32.dll和ntdll.dll中的下列导出函数:

    FindFirstFileW FindNextFileW FindFirstFileExWNtQueryDirectoryFile ZwQueryDirectoryFile 实现对U盘中lnk文件和DLL文件的隐藏。因此,Stuxnet一共使用了两种措施(内核态驱动程序、用户态Hook API)来实现对U盘文件的隐藏,使攻击过程很难被用户发觉,也能一定程度上躲避杀毒软件的扫描。

    震网病毒 震网病毒

    图5 拷贝文件到U盘

    2.3.2. RPC远程执行漏洞(MS08-067)与提升权限漏洞

    这是2008年爆发的最严重的一个微软操作系统漏洞,具有利用简单、波及范围广、危害程度高等特点。

    震网病毒 震网病毒

    图6 发动RPC攻击

    具体而言,存在此漏洞的系统收到精心构造的RPC请求时,可能允许远程执行代码。在Windows 2000、Windows XP和Windows Server 2003系统中,利用这一漏洞,攻击者可以通过恶意构造的网络包直接发起攻击,无需通过认证地运行任意代码,并且获取完整的权限。因此该漏洞常被蠕虫用于大规模的传播和攻击。

    Stuxnet蠕虫利用这个漏洞实现在内部局域网中的传播(图6)。利用这一漏洞时,如果权限不够导致失败,还会使用一个尚未公开的漏洞来提升自身权限(图1),然后再次尝试攻击。截止本报告发布,微软尚未给出该提权漏洞的解决方案。

    2.3.3. 打印机后台程序服务漏洞(MS10-061)

    这是一个零日漏洞,首先发现于Stuxnet蠕虫中。

    Windows打印后台程序没有合理地设置用户权限。攻击者可以通过提交精心构造的打印请求,将文件发送到暴露了打印后台程序接口的主机的%System32%目录中。成功利用这个漏洞可以以系统权限执行任意代码,从而实现传播和攻击。

    震网病毒 震网病毒

    图7 利用打印服务漏洞

    Stuxnet蠕虫利用这个漏洞实现在内部局域网中的传播。如图7所示,它向目标主机发送两个文件:winsta.exe、sysnullevnt.mof。后者是微软的一种托管对象格式(MOF)文件,在一些特定事件驱动下,它将驱使winsta.exe被执行。

    2.3.4.内核模式驱动程序(MS10-073)

    2.3.5.任务计划程序漏洞(MS10-092)

    2.4 攻击行为

    Stuxnet蠕虫查询两个注册表键来判断主机中是否安装WinCC系统(图8):

    HKLM\SOFTWARE\SIEMENS\WinCC\Setup

    HKLM\SOFTWARE\SIEMENS\STEP7

    震网病毒 震网病毒

    图8 查询注册表,判断是否安装WinCC

    一旦发现WinCC系统,就利用其中的两个漏洞展开攻击:

    一是WinCC系统中存在一个硬编码漏洞,保存了访问数据库的默认账户名和密码,Stuxnet利用这一漏洞尝试访问该系统的SQL数据库(图9)。

    二是在WinCC需要使用的Step7工程中,在打开工程文件时,存在DLL加载策略上的缺陷,从而导致一种类似于“DLL预加载攻击”的利用方式。最终,Stuxnet通过替换Step7软件中的s7otbxdx.dll,实现对一些查询、读取函数的Hook。

    震网病毒 震网病毒

    图9 查询WinCC的数据库

    2.5 样本文件的衍生关系

    本节综合介绍样本在上述复制、传播、攻击过程中,各文件的衍生关系。

    如图10所示。样本的来源有多种可能。

    对原始样本、通过RPC漏洞或打印服务漏洞传播的样本,都是exe文件,它在自己的.stud节中隐形加载模块,名为“kernel32.dll.aslr.<随机数字>.dll”。

    对U盘传播的样本,当系统显示快捷方式文件时触发漏洞,加载~wtr4141.tmp文件,后者加载一个名为“shell32.dll.aslr.<随机数字>.dll”的模块,这个模块将另一个文件~wtr4132.tmp加载为“kernel32.dll.aslr.<随机数字>.dll”。

    震网病毒 震网病毒

    图10 样本文件衍生的关系

    模块“kernel32.dll.aslr.<随机数字>.dll”将启动后续的大部分操作,它导出了22个函数来完成恶意代码的主要功能;在其资源节中,包含了一些要衍生的文件,它们以加密的形式被保存。

    其中,第16号导出函数用于衍生本地文件,包括资源编号201的mrxcls.sys和编号242的mrxnet.sys两个驱动程序,以及4个.pnf文件。

    第17号导出函数用于攻击WinCC系统的第二个漏洞,它释放一个s7otbxdx.dll,而将WinCC系统中的同名文件修改为s7otbxsx.dll,并对这个文件的导出函数进行一次封装,从而实现Hook。

    第19号导出函数负责利用快捷方式解析漏洞进行传播。它释放多个lnk文件和两个扩展名为tmp的文件。

    第22号导出函数负责利用RPC漏洞和打印服务漏洞进行传播。它释放的文件中,资源编号221的文件用于RPC攻击、编号222的文件用于打印服务攻击、编号250的文件用于提权。

    第三章

    3.1 抵御本次攻击

    西门子公司对此次攻击事件给出了一个解决方案,链接地址见附录。下面根据我们的分析结果,给出更具体的措施。

    1.使用相关专杀工具或手工清除Stuxnet蠕虫

    手工清除的步骤为:

    使用Atool管理工具,结束系统中的父进程不是winlogon.exe的所有lsass.exe进程;

    强行删除下列衍生文件:

    %System32%\drivers\mrxcls.sys

    %System32%\drivers\mrxnet.sys

    %Windir%\inf\oem7A.PNF

    %Windir%\inf\mdmeric3.PNF

    %Windir%\inf\mdmcpq3.PNF

    %Windir%\inf\oem6C.PNF

    删除下列注册表项:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxCls

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxNET

    1.

    使用Atool管理工具,结束系统中的父进程不是winlogon.exe的所有lsass.exe进程;

    2.

    强行删除下列衍生文件:

    %System32%\drivers\mrxcls.sys

    %System32%\drivers\mrxnet.sys

    %Windir%\inf\oem7A.PNF

    %Windir%\inf\mdmeric3.PNF

    %Windir%\inf\mdmcpq3.PNF

    %Windir%\inf\oem6C.PNF

    3.

    删除下列注册表项:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxCls

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxNET

    2. 安装被利用漏洞的系统补丁

    安装微软提供的下列补丁文件:

    • RPC远程执行漏洞(MS08-067)

    • 快捷方式文件解析漏洞(MS10-046)

    • 打印机后台程序服务漏洞(MS10-061)

    • 内核模式驱动程序漏洞(MS10-073)

    • 任务计划程序程序漏洞(MS10-092)

    3. 安装软件补丁

    安装西门子发布的WinCC系统安全更新补丁,地址见附录。

    3.2 安全建议

    此次攻击事件凸显了两个问题:

    即便是物理隔离的专用局域网,也并非牢不可破;

    专用的软件系统,包括工业控制系统,也有可能被攻击。

    1.

    即便是物理隔离的专用局域网,也并非牢不可破;

    2.

    专用的软件系统,包括工业控制系统,也有可能被攻击。

    因此,我们对有关部门和企业提出下列安全建议:

    加强主机(尤其是内网主机)的安全防范,即便是物理隔离的计算机也要及时更新操作系统补丁,建立完善的安全策略;

    安装安全防护软件,包括反病毒软件和防火墙,并及时更新病毒数据库;

    建立软件安全意识,对企业中的核心计算机,随时跟踪所用软件的安全问题,及时更新存在漏洞的软件;

    进一步加强企业内网安全建设,尤其重视网络服务的安全性,关闭主机中不必要的网络服务端口;

    所有软件和网络服务均不启用弱口令和默认口令;

    加强对可移动存储设备的安全管理,关闭计算机的自动播放功能,使用可移动设备前先进行病毒扫描,为移动设备建立病毒免疫,使用硬件式U盘病毒查杀工具。

    第四章

    相比以往的安全事件,此次攻击呈现出许多新的手段和特点,值得我们特别关注。

    4.1 专门攻击工业系统

    Stuxnet蠕虫的攻击目标直指西门子公司的SIMATIC WinCC系统。这是一款数据采集与监视控制(SCADA)系统,被广泛用于钢铁、汽车、电力、运输、水利、化工、石油等核心工业领域,特别是国家基础设施工程;它运行于Windows平台,常被部署在与外界隔离的专用局域网中。

    一般情况下,蠕虫的攻击价值在于其传播范围的广阔性、攻击目标的普遍性。此次攻击与此截然相反,最终目标既不在开放主机之上,也不是通用软件。无论是要渗透到内部网络,还是挖掘大型专用软件的漏洞,都非寻常攻击所能做到。这也表明攻击的意图十分明确,是一次精心谋划的攻击。

    4.2 利用多个零日漏洞

    Stuxnet蠕虫利用了微软操作系统的下列漏洞:

    • RPC远程执行漏洞(MS08-067)

    • 快捷方式文件解析漏洞(MS10-046)

    • 打印机后台程序服务漏洞(MS10-061)

    • 内核模式驱动程序漏洞(MS10-073)

    • 任务计划程序程序漏洞(MS10-092)

    后四个漏洞都是在Stuxnet中首次被使用,是真正的零日漏洞。如此大规模的使用多种零日漏洞,并不多见。

    这些漏洞并非随意挑选。从蠕虫的传播方式来看,每一种漏洞都发挥了独特的作用。比如基于自动播放功的U盘病毒被绝大部分杀毒软件防御的现状下,就使用快捷方式漏洞实现U盘传播。

    另一方面,在安天捕获的样本中,有一部分实体的时间戳是2010年3月。这意味着至少在3月份,上述零日漏洞就已经被攻击者掌握。但直到7月份大规模爆发,漏洞才首次披露出来。这期间要控制漏洞不泄露,有一定难度。

    4.3 使用数字签名

    Stuxnet在运行后,释放两个驱动文件:

    %System32%\drivers\mrxcls.sys

    %System32%\drivers\mrxnet.sys

    震网病毒 震网病毒

    这两个驱动文件伪装RealTek的数字签名(图7)以躲避杀毒软件的查杀。目前,这一签名的数字证书已经被颁发机构吊销,无法再通过在线验证,但目前反病毒产品大多使用静态方法判定可执行文件是否带有数字签名,因此有可能被欺骗。 图11 Stuxnet伪造的数字签名

    4.4 明确的攻击目标

    根据赛门铁克公司的统计,7月份,伊朗感染Stuxnet蠕虫的主机只占25%,到9月下旬,这一比例达到60%。

    WinCC被伊朗广泛使用于基础国防设施中。9月27日,伊朗国家通讯社向外界证实该国的第一座核电站“布什尔核电站”已经遭到攻击。据了解,该核电站原计划于2010年8月开始正式运行。因此,此次攻击具有明确的地域性和目的性。

    第五章

    5.1 工业系统安全将面临严峻挑战

    在我国,WinCC已被广泛应用于很多重要行业,一旦受到攻击,可能造成相关企业的设施运行异常,甚至造成商业资料失窃、停工停产等严重事故。

    对于Stuxnet蠕虫的出现,我们并未感到十分意外。早在去年,安天就接受用户委托,对化工行业仪表的安全性展开过研究,情况不容乐观。

    工业控制网络,包括工业以太网,以及现场总线控制系统早已在工业企业中应用多年,目前在电力、钢铁、化工等大型重化工业企业中,工业以太网、DCS(集散控制系统)、现场总线等技术早已渗透到控制系统的方方面面。工业控制网络的核心现在都是工控PC,大多数同样基于Windows-Intel平台,工业以太网与民用以太网在技术上并无本质差异,现场总线技术更是将单片机/嵌入式系统应用到了每一个控制仪表上。工业控制网络除了可能遭到与攻击民用/商用网络手段相同的攻击,例如通过局域网传播的恶意代码之外,还可能遭到针对现场总线的专门攻击,不可轻视。

    针对民用/商用计算机和网络的攻击,目前多以获取经济利益为主要目标,但针对工业控制网络和现场总线的攻击,可能破坏企业重要装置和设备的正常测控,由此引起的后果可能是灾难性的。以化工行业为例,针对工业控制网络的攻击可能破坏反应器的正常温度/压力测控,导致反应器超温/超压,最终就会导致冲料、起火甚至爆炸等灾难性事故,还可能造成次生灾害和人道主义灾难。因此,这种袭击工业网络的恶意代码一般带有信息武器的性质,目标是对重要工业企业的正常生产进行干扰甚至严重破坏,其背景一般不是个人或者普通地下黑客组织。

    目前,工业以太网和现场总线标准均为公开标准,熟悉工控系统的程序员开发针对性的恶意攻击代码并不存在很高的技术门槛。因此,对下列可能的工业网络安全薄弱点进行增强和防护是十分必要的:

    基于Windows-Intel平台的工控PC和工业以太网,可能遭到与攻击民用/商用PC和网络手段相同的攻击,例如通过U盘传播恶意代码和网络蠕虫,这次的Stuxnet病毒就是一个典型的例子。

    DCS和现场总线控制系统中的组态软件(测控软件的核心),目前其产品,特别是行业产品被少数公司所垄断,例如电力行业常用的西门子SIMATIC WinCC,石化行业常用的浙大中控等。针对组态软件的攻击会从根本上破坏测控体系,Stuxnet病毒的攻击目标正是WinCC系统。

    基于RS-485总线以及光纤物理层的现场总线,例如PROFIBUS和MODBUS(串行链路协议),其安全性相对较好;但短程无线网络,特别是不使用Zigbee等通用短程无线协议(有一定的安全性),而使用自定义专用协议的短程无线通信测控仪表,安全性较差。特别是国内一些小企业生产的“无线传感器”等测控仪表,其无线通信部分采用通用2.4GHz短程无线通信芯片,连基本的加密通信都没有使用,可以说毫无安全性可言,极易遭到窃听和攻击,如果使用,将成为现场总线中极易被攻击的薄弱点。

    1.

    基于Windows-Intel平台的工控PC和工业以太网,可能遭到与攻击民用/商用PC和网络手段相同的攻击,例如通过U盘传播恶意代码和网络蠕虫,这次的Stuxnet病毒就是一个典型的例子。

    2.

    DCS和现场总线控制系统中的组态软件(测控软件的核心),目前其产品,特别是行业产品被少数公司所垄断,例如电力行业常用的西门子SIMATIC WinCC,石化行业常用的浙大中控等。针对组态软件的攻击会从根本上破坏测控体系,Stuxnet病毒的攻击目标正是WinCC系统。

    3.

    基于RS-485总线以及光纤物理层的现场总线,例如PROFIBUS和MODBUS(串行链路协议),其安全性相对较好;但短程无线网络,特别是不使用Zigbee等通用短程无线协议(有一定的安全性),而使用自定义专用协议的短程无线通信测控仪表,安全性较差。特别是国内一些小企业生产的“无线传感器”等测控仪表,其无线通信部分采用通用2.4GHz短程无线通信芯片,连基本的加密通信都没有使用,可以说毫无安全性可言,极易遭到窃听和攻击,如果使用,将成为现场总线中极易被攻击的薄弱点。

    工业控制网络通常是独立网络,相对民用/商用网络而言,数据传输量相对较少,但对其实时性和可靠性的要求却很高,因而出现问题的后果相当严重。

    传统工业网络的安全相对信息网络来说,一直是凭借内网隔离,而疏于防范。因此,针对工业系统的安全检查和防范加固迫在眉睫。

    展望和思考/震网病毒 编辑

    在传统工业与信息技术的融合不断加深、传统工业体系的安全核心从物理安全向信息安全转移的趋势和背景下,此次Stuxnet蠕虫攻击事件尤为值得我们进一步思考。

    这是一次极为不同寻常的攻击,其具体体现是:

    • 传统的恶意代码追求影响范围的广泛性,而这次攻击极富目的性;

    • 传统的攻击大都利用通用软件的漏洞,而这次攻击则完全针对行业专用软件;

    • 这次攻击使用了多个全新的零日漏洞进行全方位攻击,这是传统攻击难以企及的;

    • 这次攻击通过恰当的漏洞顺利渗透到内部专用网络中,这也正是传统攻击的弱项;

    从时间、技术、手段、目的、攻击行为等多方面来看,完全可以认为发起此次攻击的不是一般的攻击者或组织。

    因此,这次攻击中所采用的多个新漏洞和传播手段,将在接下来很长一段时间内给新的攻击提供最直接的动力。而更大的影响是,事件中显露出来的攻击思路和攻击视野会带来长久的示范效应。它给攻击者、安全研究人员、企业管理者带来的更多是一种安全观念和安全意识上的冲击。一些传统的认识已经略显陈旧,谁能在这一次观念和意识赛跑中认识得更清、看得更远,谁就能在未来一段时间内保持优势。

    至少有以下两种新的攻击趋势值得特别关注:

    针对行业专用软件的漏洞挖掘和攻击,特别是上升到国家战略层面的关键行业和敏感行业。安天实验室在2013年年初发布的《多家企业网络入侵事件传言的同源木马样本分析报告》中就明确指出:“目前的漏洞分析挖掘的注意点已经不集中于主流厂商,而开始普遍扩散”。另一方面,这些攻击虽然针对软件,但并不一定是利用软件本身的缺陷,安全是一个全方位的问题,攻击可能来自于任何一个角度。

    针对企业内部网络,特别是物理隔离的内部专用网络的攻击。这类网络具有较高的安全要求,也更具攻击价值。一般通过U盘等可移动存储设备渗入这类网络的方法是感染式病毒、欺骗、自动播放(Autorun.inf)等。本次出现的快捷方式文件解析漏洞,为此类攻击提供了一种更有效的方法。此外,这种内部网络也将因为本次事件而被攻击者关注和研究,不能排除出现新的攻击方式的可能。

    1.

    针对行业专用软件的漏洞挖掘和攻击,特别是上升到国家战略层面的关键行业和敏感行业。安天实验室在2013年年初发布的《多家企业网络入侵事件传言的同源木马样本分析报告》中就明确指出:“目前的漏洞分析挖掘的注意点已经不集中于主流厂商,而开始普遍扩散”。另一方面,这些攻击虽然针对软件,但并不一定是利用软件本身的缺陷,安全是一个全方位的问题,攻击可能来自于任何一个角度。

    2.

    针对企业内部网络,特别是物理隔离的内部专用网络的攻击。这类网络具有较高的安全要求,也更具攻击价值。一般通过U盘等可移动存储设备渗入这类网络的方法是感染式病毒、欺骗、自动播放(Autorun.inf)等。本次出现的快捷方式文件解析漏洞,为此类攻击提供了一种更有效的方法。此外,这种内部网络也将因为本次事件而被攻击者关注和研究,不能排除出现新的攻击方式的可能。

    基于上述认识,建议有关部门和企业以此次攻击事件为鉴,进一步加强信息网络和计算机设备的安全管理、制定完善的安全管理方案、形成合理的安全策略、提高安全意识,与安全厂商一同构建坚实的防线,抵御安全威胁。

    专家称其高端性显示攻击应为国家行为

    一些专家认为,Stuxnet病毒是专门设计来攻击伊朗重要工业设施的,包括上个月竣工的布什尔核电站。它在入侵一台个人电脑后,会寻找广泛用于控制工业系统如工厂、发电站自动运行的一种西门子软件。它通过对软件重新编程实施攻击,给机器编一个新程序,或输入潜伏极大风险的指令。专家指出,病毒能控制关键过程并开启一连串执行程序,最终导致整个系统自我毁灭。

    2008年,“震网”病毒攻击就开始奏效,伊朗核计划被显著拖延。根据电脑安全公司赛门铁克公司的一份详细报告,到2010年9月29日为止,“震网”病毒在世界范围内感染了10万台主机,其中有6万台位于伊朗,之后伊朗采取了行动,从而无法评估后来的数据。 [5]伊朗半官方的通讯社报道称,这种代号为“震网”的“电脑蠕虫”病毒很可能是伊朗的敌人专门为破坏布什尔核电站而“量身定做”的。(2010年9月30日《中国青年报》)

    根据科学和国际安全研究所的统计,位于纳坦兹的大约8000台离心机里有1000台已在2009年底和2010年初被换掉。国际原子能机构说,伊朗在2010年11月中旬暂停了纳坦兹的铀浓缩活动,因为离心机发生技术故障。

    2013年3月,中国解放军报再次披露,美国曾利用“震网”蠕虫病毒攻击伊朗的铀浓缩设备。 [6]

    卡巴斯基的高级安防研究员戴维·爱姆说,Stuxnet与其它病毒的不同之处,就在于它瞄准的是现实世界。他们公司已经和微软联手,查找程序中的编码漏洞,防止新病毒找到它。

    爱姆说,通常的大部分病毒像个大口径短枪到处开火,而Stuxnet像个狙击手,只瞄准特定的系统。一旦它们发现了编码缺陷,就好比找到了房子上的天窗,然后用一把羊头镐撬开一个更大的洞。Stuxnet被设计出来,纯粹就是为了搞破坏。

    德国网络安全研究员拉尔夫·朗纳(Ralph Langner)已经破解了Stuxnet的编码,并将之公布于众。他坚信Stuxnet被设计出来,就是为了寻找基础设施并破坏其关键部分。他说,这是一种百分之百直接面向现实世界中工业程序的网络攻击。它绝非所谓的间谍病毒,而是纯粹的破坏病毒。

    朗纳说,Stuxnet病毒的高端性,意味着只有一个“国家”才能把它开发出来。根据我们所掌握的计算机法医方面证据,它的意图很明显,就是执行破坏性攻击,毁掉大量的内部信息。这并非某个坐在父母家里的地下室里的骇客能干得出来的,这种攻击的来源指向的是一个国家。Stuxnet很可能已经攻击了它的目标,只不过我们还没有接到消息而已。

    近日,某国内知名安全公司监测到一个席卷全球工业界的病毒已经入侵我国,这种名为Stuxnet的蠕虫病毒已经造成伊朗核电站推迟发电,目前国内已有近 500万网民、及多个行业的领军企业遭此病毒攻击。某国内知名安全软件公司反病毒专家警告说,我们许多大型重要企业在安全制度上存在缺失,可能促进Stuxnet病毒在企业中的大规模传播。

    某国内知名安全软件公司专家表示,这是世界上首个专门针对工业控制系统编写的破坏性病毒,它同时利用包括MS10-046、MS10-061、MS08-067等 7个最新漏洞进行攻击。这7个漏洞中,有5个是针对windows系统,2个是针对西门子SIMATIC WinCC系统。另外在关于微软的5个漏洞中,目前有两个本地提权漏洞仍未修复。

    病毒肆虐将影响我国众多企业

    该病毒通过伪装RealTek 与JMicron两大公司的数字签名,从而顺利绕过安全产品的检测。从编写手法上看,该病毒还有很大的改进余地,将来很可能出现同样原理的复杂病毒。

    据某国内知名安全软件公司技术部门分析,Stuxnet病毒专门针对西门子公司的SIMATIC WinCC监控与数据采集 (SCADA) 系统进行攻击,由于该系统在我国的多个重要行业应用广泛,被用来进行钢铁、电力、能源、化工等重要行业的人机交互与监控,一旦攻击成功,则可能造成使用这些企业运行异常,甚至造成商业资料失窃、停工停产等严重事故。

    该病毒主要通过U盘和局域网进行传播,由于安装SIMATIC WinCC系统的电脑一般会与互联网物理隔绝,因此黑客特意强化了病毒的U盘传播能力。如果企业没有针对U盘等可移动设备进行严格管理,导致有人在局域网内使用了带毒U盘,则整个网络都会被感染。

    Stuxnet病毒被多国安全专家形容为全球首个“超级工厂病毒”。截至目前,Stuxnet病毒已经感染了全球超过 45000个网络,伊朗、印尼、美国、台湾等多地均不能幸免,其中,以伊朗遭到的攻击最为严重,60%的个人电脑感染了这种病毒。

    据悉,早在今年7月,某国内知名安全软件公司就监测到了Stuxnet的出现,一直进行跟踪并积极研发出了解决方案,某国内知名安全软件公司安全专家提醒广大政府及企业级用户:一定要严格限制U盘在密级网络中的应用,如果必须使用的,则应该建立使用登记和责任追究制度。另外,某国内知名安全软件公司杀毒软件网络版也针对此病毒,提供了完善的U盘病毒预防、网络内安全管理、恶性病毒扫描.

    作为安全厂商,安天呼吁各兄弟厂商一起共建良好的行业环境,不断促进安全技术的良性发展。同时,安天也期盼公众和用户能够对信息安全给予更多的关注。安天坚信保障公众和社会的安全是一家安全厂商义不容辞的使命,但在现阶段仅靠厂商的力量尚不足以解决目前的所有问题。只有各方齐心协力,才能迎来一个更加美好的世界。

    添加视频 | 添加图册相关影像

    参考资料
    [1]^引用日期:2018-12-21
    [2]^引用日期:2018-12-21
    [3]^引用日期:2013-04-03
    [4]^引用日期:2018-12-21
    [5]^引用日期:2018-12-21
    [6]^引用日期:2018-12-21

    互动百科的词条(含所附图片)系由网友上传,如果涉嫌侵权,请与客服联系,我们将按照法律之相关规定及时进行处理。未经许可,禁止商业网站等复制、抓取本站内容;合理使用者,请注明来源于www.baike.com。

    登录后使用互动百科的服务,将会得到个性化的提示和帮助,还有机会和专业认证智愿者沟通。

    互动百科用户登录注册
    此词条还可添加  信息模块

    WIKI热度

    1. 编辑次数:18次 历史版本
    2. 参与编辑人数:13
    3. 最近更新时间:2019-07-11 08:14:01

    相关词条