1. <progress id="f3loa"><big id="f3loa"></big></progress>

    2. <tbody id="f3loa"></tbody>

      <ol id="f3loa"><strike id="f3loa"></strike></ol>
      <rp id="f3loa"></rp>
      武器百科大全  > 所屬分類  >  網絡病毒   
      [1] 評論[0] 編輯
      震網病毒(Stuxnet病毒),是一個席卷全球工業界的病毒,該病毒與2010年6月首次被檢測出來,也是第一個專門定向攻擊真實世界中基礎(能源)設施的“蠕蟲”病毒。該病毒是有史以來最高端的“蠕蟲”病毒。蠕蟲病毒是一種典型的計算機病毒,它能自我復制,并將副本通過網絡傳輸,任何一臺個人電腦只要和染毒電腦相連,就會被感染。震網病毒作為世界上首個網絡“超級破壞性武器”,已經感染了全球超過 45000個網絡,伊朗遭到的攻擊最為嚴重,60%的個人電腦感染了這種病毒。

      武器性能

    3. 中文名:震網病毒
    4. 對象:全球工業界
    5. 外文名:Stuxnet
    6. 發現時間:2010年6月
    7. 別稱:Stuxnet病毒
    8. 類型:蠕蟲病毒
    9. 最嚴重國家:伊朗
    10. 目錄

      概述編輯本段

      震網病毒,于2010年發現,瑞星公司監測到一個席卷全球工業界的病毒已經入侵中國,伊朗遭到的攻擊最為嚴重,2013年3月,中國解放軍報報道,美國曾利用“震網”蠕蟲病毒攻擊伊朗的鈾濃縮設備,已經造成伊朗核電站推遲發電,目前國內已有近500萬網民、及多個行業的領軍企業遭此病毒攻擊。 這種病毒可能是新時期電子戰爭中的一種武器。震網病毒,截止2011年,感染了全球超過45000個網絡,60%的個人電腦感染了這種病毒。

      來源編輯本段

      震網(Stuxnet),指一種蠕蟲病毒。它的高級程度遠超一般電腦黑客的能力?!罢鹁W”病毒利用了微軟視窗操作系統之前未被發現的4個漏洞。通常意義上的犯罪性黑客會利用這些漏洞盜取銀行和信用卡信息來獲取非法收入。而“震網”病毒不像一些惡意軟件那樣可以賺錢,它需要花錢研制。這是專家們相信“震網”病毒出自情報部門的一個原因。
      震網 震網
      微軟公司的研究發現,“震網”感染的重災區集中在伊朗境內。美國和以色列因此被懷疑是“震網”的發明人。
      2012年6月1日的美國《紐約時報》報道,揭露“震網”病毒起源于2006年前后由美國前總統小布什啟動的“奧運會計劃”。2008年,奧巴馬上任后下令加速該計劃。 
      2010年,因美方操作失誤,原本用于攻擊伊朗核設施的“震網”病毒,擴散到互聯網上,伊朗、印度尼西亞和印度等國部分電腦用戶受到攻擊,一些工業系統的安全也受到威脅。

      發現歷史編輯本段

      2010年6月,“震網”病毒首次被發現,它被稱為有史以來最復雜的網絡武器,因為它悄然襲擊伊朗核設施的手法極其陰險。 
        2010年12月15日,一位德國計算機高級顧問表示,“震網”計算機病毒令德黑蘭的核計劃拖后了兩年。這個惡意軟件2010年一再以伊朗核設施為目標,通過滲透進“視窗”操作系統,并對其進行重新編程而造成破壞。
        據全球最大網絡保安公司Symantec初步研究,近60%的感染發生在伊朗,其次為印尼(約20%)和印度(約10%), 阿塞拜疆、美國與巴基斯坦等地亦有小量個案。這種新病毒采取了多種先進技術,因此具有極強的隱身和破壞力。只要電腦操作員將被病毒感染的U盤插入USB接口,這種病毒就會在神不知鬼不覺的情況下(不會有任何其他操作要求或者提示出現)取得一些工業用電腦系統的控制權。
      2011年1月26日,俄羅斯常駐北約代表羅津表示,這種病毒可能給伊朗布什爾核電站造成嚴重影響,導致有毒的放射性物質泄漏,其危害將不亞于1986年發生的切爾諾貝利核電站事故。 

      特點編輯本段

      1、與傳統的電腦病毒相比,“震網”病毒不會通過竊取個人隱私信息牟利。
      震網 震網
      2、由于它的打擊對象是全球各地的重要目標,因此被一些專家定性為全球首個投入實戰舞臺的“網絡武器”。
      3、無需借助網絡連接進行傳播。
      這種病毒可以破壞世界各國的化工、發電和電力傳輸企業所使用的核心生產控制電腦軟件,并且代替其對工廠其他電腦“發號施令”。
      4、極具毒性和破壞力?!罢鹁W”代碼非常精密,主要有兩個功能,一是使伊朗的離心機運行失控,二是掩蓋發生故障的情況,“謊報軍情”,以“正常運轉”記錄回傳給管理部門,造成決策的誤判。在2011年2月的攻擊中,伊朗納坦茲鈾濃縮基地至少有1/5的離心機因感染該病毒而被迫關閉。
        5,“震網”定向明確,具有精確制導的“網絡導彈”能力。它是專門針對工業控制系統編寫的惡意病毒,能夠利用Windows系統和西門子SIMATICWinCC系統的多個漏洞進行攻擊,不再以刺探情報為己任,而是能根據指令,定向破壞伊朗離心機等要害目標。
        6,“震網”采取了多種先進技術,具有極強的隱身性。
      它打擊的對象是西門子公司的SIMATICWinCC監控與數據采集 (SCADA)系統。盡管這些系統都是獨立與網絡而自成體系運行,也即“離線”操作的,但只要操作員將被病毒感染的U盤插入該系統USB接口,這種病毒就會在神不知鬼不覺的情況下 (不會有任何其他操作要求或者提示出現)取得該系統的控制權。
        7,“震網”病毒結構非常復雜,計算機安全專家在對軟件進行反編譯后發現,它不可能是黑客所為,應該是一個“受國家資助的高級團隊研發的結晶”。美國《紐約時報》稱,美國和以色列情報機構合作制造出“震網”病毒。 

      傳播編輯本段

      1、日前世界上首個網絡“超級武器”,一種名為Stuxnet的計算機病毒已經感染了全球超過 45000個網絡,伊朗遭到的攻擊最為嚴重,60%的個人電腦感染了這種病毒。計算機安防專家認為,該病毒是有史以來最高端的“蠕蟲”病毒,其目的可能是 要攻擊伊朗的布什爾核電站。布什爾核電站目前正在裝備核燃料,按照計劃,它本應在2010年8月開始運行。
      震網傳播 震網傳播
      2、蠕蟲是一種典型的計算機病毒,它能自我復制,并將副本通過網絡傳輸,任何一臺個人電腦只要和染毒電腦相連,就會被感染。這種 Stuxnet病毒于2010年6月首次被檢測出來,是第一個專門攻擊真實世界中基礎設施的“蠕蟲”病毒,比如發電站和水廠?;ヂ摼W安全專家對此表示擔心。

      深度分析編輯本段

      第一章 事件背景
      2010年10月,國內外多家媒體相繼報道了Stuxnet蠕蟲對西門子公司的數據采集與監控系統SIMATIC WinCC進行攻擊的事件,稱其為“超級病毒”、“超級工廠病毒”,并形容成“超級武器”、“潘多拉的魔盒”。
      Stuxnet蠕蟲(俗稱“震網”、“雙子”)在2003年7月開始爆發。它利用了微軟操作系統中至少4個漏洞,其中有3個全新的零日漏洞;偽造驅動程序的數字簽名;通過一套完整的入侵和傳播流程,突破工業專用局域網的物理限制;利用WinCC系統的2個漏洞,對其開展破壞性攻擊。它是第一個直接破壞現實世界中工業基礎設施的惡意代碼。據賽門鐵克公司的統計,截止到2010年09月全球已有約45000個網絡被該蠕蟲感染,  其中60%的受害主機位于伊朗境內。伊朗政府已經確認該國的布什爾核電站遭到Stuxnet蠕蟲的攻擊。
      安天實驗室于7月15日捕獲到Stuxnet蠕蟲的第一個變種,在第一時間展開分析,發布了分析報告及防范措施,并對其持續跟蹤。截止至本報告發布,安天已經累計捕獲13個變種、600多個不同哈希值的樣本實體。
      第二章 樣本典型行為分析
      2.1 運行環境
      Stuxnet蠕蟲在以下操作系統中可以激活運行:
      · Windows 2000、Windows Server 2000
      · Windows XP、Windows Server 2003
      · Windows Vista
      · Windows 7、Windows Server 2008
      當它發現自己運行在非Windows NT系列操作系統中,即刻退出。
      被攻擊的軟件系統包括:
      · SIMATIC WinCC 7.0
      · SIMATIC WinCC 6.2
      但不排除其他版本存在這一問題的可能。
      2.2 本地行為
      樣本被激活后,典型的運行流程如圖1 所示。
      樣本首先判斷當前操作系統類型,如果是Windows 9X/ME,就直接退出。
      接下來加載一個主要的DLL模塊,后續的行為都將在這個DLL中進行。為了躲避查殺,樣本并不將DLL模塊釋放為磁盤文件然后加載,而是直接拷貝到內存中,然后模擬DLL的加載過程。
      具體而言,樣本先申請足夠的內存空間,然后Hookntdll.dll導出的6個系統函數:
      ZwMapViewOfSection
      ZwCreateSection
      ZwOpenFile
      ZwClose
      ZwQueryAttributesFile
      ZwQuerySection
      為此,樣本先修改ntdll.dll文件內存映像中PE頭的保護屬性,然后將偏移0x40處的無用數據改寫為跳轉代碼,用以實現hook。
      進而,樣本就可以使用ZwCreateSection在內存空間中創建一個新的PE節,并將要加載的DLL模塊拷貝到其中,最后使用LoadLibraryW來獲取模塊句柄。
      圖1 樣本的典型運行流程
      此后,樣本跳轉到被加載的DLL中執行,衍生下列文件:
      %System32%driversmrxcls.sys %System32%driversmrxnet.sys%Windir%infoem7A.PNF%Windir%infmdmeric3.PNF %Windir%infmdmcpq3.PNF%Windir%infoem6C.PNF  其中有兩個驅動程序mrxcls.sys和mrxnet.sys,分別被注冊成名為MRXCLS和MRXNET的系統服務,實現開機自啟動。這兩個驅動程序都使用了Rootkit技術,并有數字簽名。
      mrxcls.sys負責查找主機中安裝的WinCC系統,并進行攻擊。具體地說,它監控系統進程的鏡像加載操作,將存儲在%Windir%infoem7A.PNF中的一個模塊注入到services.exe、S7tgtopx.exe、CCProjectMgr.exe三個進程中,后兩者是WinCC系統運行時的進程。
      mrxnet.sys通過修改一些內核調用來隱藏被拷貝到U盤的lnk文件和DLL文件(圖2 )。
      圖2驅動程序隱藏某些lnk文件
      圖3 樣本的多種傳播方式
      2.3 傳播方式 Stuxnet蠕蟲的攻擊目標是SIMATIC WinCC軟件。后者主要用于工業控制系統的數據采集與監控,一般部署在專用的內部局域網中,并與外部互聯網實行物理上的隔離。為了實現攻擊,Stuxnet蠕蟲采取多種手段進行滲透和傳播,如圖3所示。
      整體的傳播思路是:首先感染外部主機;然后感染U盤,利用快捷方式文件解析漏洞,傳播到內部網絡;在內網中,通過快捷方式解析漏洞、RPC遠程執行漏洞、打印機后臺程序服務漏洞,實現聯網主機之間的傳播;最后抵達安裝了WinCC軟件的主機,展開攻擊。
      1. 快捷方式文件解析漏洞(MS10-046)
      這個漏洞利用Windows在解析快捷方式文件(例如.lnk文件)時的系統機制缺陷,使系統加載攻擊者指定的DLL文件,從而觸發攻擊行為。具體而言,Windows在顯示快捷方式文件時,會根據文件中的信息尋找它所需的圖標資源,并將其作為文件的圖標展現給用戶。如果圖標資源在一個DLL文件中,系統就會加載這個DLL文件。攻擊者可以構造這樣一個快捷方式文件,使系統加載指定的DLL文件,從而執行其中的惡意代碼??旖莘绞轿募娘@示是系統自動執行,無需用戶交互,因此漏洞的利用效果很好。
      Stuxnet蠕蟲搜索計算機中的可移動存儲設備(圖4)。一旦發現,就將快捷方式文件和DLL文件拷貝到其中(圖5)。如果用戶將這個設備再插入到內部網絡中的計算機上使用,就會觸發漏洞,從而實現所謂的“擺渡”攻擊,即利用移動存儲設備對物理隔離網絡的滲入。
      圖4 查找U盤
      拷貝到U盤的DLL文件有兩個:~wtr4132.tmp和~wtr4141.tmp。后者Hook了kernel32.dll和ntdll.dll中的下列導出函數:
      FindFirstFileW FindNextFileW FindFirstFileExWNtQueryDirectoryFile ZwQueryDirectoryFile 實現對U盤中lnk文件和DLL文件的隱藏。因此,Stuxnet一共使用了兩種措施(內核態驅動程序、用戶態Hook API)來實現對U盤文件的隱藏,使攻擊過程很難被用戶發覺,也能一定程度上躲避殺毒軟件的掃描。
      圖5 拷貝文件到U盤
      2. RPC遠程執行漏洞(MS08-067)與提升權限漏洞
      這是2008年爆發的最嚴重的一個微軟操作系統漏洞,具有利用簡單、波及范圍廣、危害程度高等特點。
      圖6 發動RPC攻擊
      具體而言,存在此漏洞的系統收到精心構造的RPC請求時,可能允許遠程執行代碼。在Windows 2000、Windows XP和Windows Server 2003系統中,利用這一漏洞,攻擊者可以通過惡意構造的網絡包直接發起攻擊,無需通過認證地運行任意代碼,并且獲取完整的權限。因此該漏洞常被蠕蟲用于大規模的傳播和攻擊。
      Stuxnet蠕蟲利用這個漏洞實現在內部局域網中的傳播(圖6)。利用這一漏洞時,如果權限不夠導致失敗,還會使用一個尚未公開的漏洞來提升自身權限(圖1),然后再次嘗試攻擊。截止本報告發布,微軟尚未給出該提權漏洞的解決方案。
      3. 打印機后臺程序服務漏洞(MS10-061)
      這是一個零日漏洞,首先發現于Stuxnet蠕蟲中。
      Windows打印后臺程序沒有合理地設置用戶權限。攻擊者可以通過提交精心構造的打印請求,將文件發送到暴露了打印后臺程序接口的主機的%System32%目錄中。成功利用這個漏洞可以以系統權限執行任意代碼,從而實現傳播和攻擊。
      圖7 利用打印服務漏洞
      Stuxnet蠕蟲利用這個漏洞實現在內部局域網中的傳播。如圖7所示,它向目標主機發送兩個文件:winsta.exe、sysnullevnt.mof。后者是微軟的一種托管對象格式(MOF)文件,在一些特定事件驅動下,它將驅使winsta.exe被執行。
      2.4 攻擊行為
      Stuxnet蠕蟲查詢兩個注冊表鍵來判斷主機中是否安裝WinCC系統(圖8):
      HKLMSOFTWARESIEMENSWinCCSetup
      HKLMSOFTWARESIEMENSSTEP7
      圖8 查詢注冊表,判斷是否安裝WinCC
      一旦發現WinCC系統,就利用其中的兩個漏洞展開攻擊:
      一是WinCC系統中存在一個硬編碼漏洞,保存了訪問數據庫的默認賬戶名和密碼,Stuxnet利用這一漏洞嘗試訪問該系統的SQL數據庫(圖9)。
      二是在WinCC需要使用的Step7工程中,在打開工程文件時,存在DLL加載策略上的缺陷,從而導致一種類似于“DLL預加載攻擊”的利用方式。最終,Stuxnet通過替換Step7軟件中的s7otbxdx.dll,實現對一些查詢、讀取函數的Hook。
      圖9 查詢WinCC的數據庫
      2.5 樣本文件的衍生關系
      本節綜合介紹樣本在上述復制、傳播、攻擊過程中,各文件的衍生關系。
      如圖10所示。樣本的來源有多種可能。
      對原始樣本、通過RPC漏洞或打印服務漏洞傳播的樣本,都是exe文件,它在自己的.stud節中隱形加載模塊,名為“kernel32.dll.aslr.<隨機數字>.dll”。
      對U盤傳播的樣本,當系統顯示快捷方式文件時觸發漏洞,加載~wtr4141.tmp文件,后者加載一個名為“shell32.dll.aslr.<隨機數字>.dll”的模塊,這個模塊將另一個文件~wtr4132.tmp加載為“kernel32.dll.aslr.<隨機數字>.dll”。
      圖10 樣本文件衍生的關系
      模塊“kernel32.dll.aslr.<隨機數字>.dll”將啟動后續的大部分操作,它導出了22個函數來完成惡意代碼的主要功能;在其資源節中,包含了一些要衍生的文件,它們以加密的形式被保存。
      其中,第16號導出函數用于衍生本地文件,包括資源編號201的mrxcls.sys和編號242的mrxnet.sys兩個驅動程序,以及4個.pnf文件。
      第17號導出函數用于攻擊WinCC系統的第二個漏洞,它釋放一個s7otbxdx.dll,而將WinCC系統中的同名文件修改為s7otbxsx.dll,并對這個文件的導出函數進行一次封裝,從而實現Hook。
      第19號導出函數負責利用快捷方式解析漏洞進行傳播。它釋放多個lnk文件和兩個擴展名為tmp的文件。
      第22號導出函數負責利用RPC漏洞和打印服務漏洞進行傳播。它釋放的文件中,資源編號221的文件用于RPC攻擊、編號222的文件用于打印服務攻擊、編號250的文件用于提權。
      第三章 解決方案與安全建議
      3.1 抵御本次攻擊
      西門子公司對此次攻擊事件給出了一個解決方案,鏈接地址見附錄。下面根據我們的分析結果,給出更具體的措施。
      1.使用相關專殺工具或手工清除Stuxnet蠕蟲
      手工清除的步驟為:
      1. 使用Atool管理工具,結束系統中的父進程不是winlogon.exe的所有lsass.exe進程;
      2. 強行刪除下列衍生文件:
      %System32%driversmrxcls.sys
      %System32%driversmrxnet.sys
      %Windir%infoem7A.PNF
      %Windir%infmdmeric3.PNF
      %Windir%infmdmcpq3.PNF
      %Windir%infoem6C.PNF
      3. 刪除下列注冊表項:
      HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMRxCls
      HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMRxNET
      2. 安裝被利用漏洞的系統補丁
      安裝微軟提供的下列補丁文件:
      RPC遠程執行漏洞(MS08-067)
      快捷方式文件解析漏洞(MS10-046)
      打印機后臺程序服務漏洞(MS10-061)
      此外,需要注意還有一個尚未修補的提升權限(EoP)漏洞,以及微軟隨后發現的另一個類似漏洞。用戶需對這兩個漏洞的修補情況保持關注。
      3. 安裝軟件補丁
      安裝西門子發布的WinCC系統安全更新補丁,地址見附錄。
      3.2 安全建議
      此次攻擊事件凸顯了兩個問題:
      1、即便是物理隔離的專用局域網,也并非牢不可破;
      2、專用的軟件系統,包括工業控制系統,也有可能被攻擊。
      因此,我們對有關部門和企業提出下列安全建議:
      加強主機(尤其是內網主機)的安全防范,即便是物理隔離的計算機也要及時更新操作系統補丁,建立完善的安全策略;
      安裝安全防護軟件,包括反病毒軟件和防火墻,并及時更新病毒數據庫;
      建立軟件安全意識,對企業中的核心計算機,隨時跟蹤所用軟件的安全問題,及時更新存在漏洞的軟件;
      進一步加強企業內網安全建設,尤其重視網絡服務的安全性,關閉主機中不必要的網絡服務端口;
      所有軟件和網絡服務均不啟用弱口令和默認口令;
      加強對可移動存儲設備的安全管理,關閉計算機的自動播放功能,使用可移動設備前先進行病毒掃描,為移動設備建立病毒免疫,使用硬件式U盤病毒查殺工具。
      第四章 攻擊事件的特點
      相比以往的安全事件,此次攻擊呈現出許多新的手段和特點,值得我們特別關注。
      4.1 專門攻擊工業系統
      Stuxnet蠕蟲的攻擊目標直指西門子公司的SIMATIC WinCC系統。這是一款數據采集與監視控制(SCADA)系統,被廣泛用于鋼鐵、汽車、電力、運輸、水利、化工、石油等核心工業領域,特別是國家基礎設施工程;它運行于Windows平臺,常被部署在與外界隔離的專用局域網中。
      一般情況下,蠕蟲的攻擊價值在于其傳播范圍的廣闊性、攻擊目標的普遍性。此次攻擊與此截然相反,最終目標既不在開放主機之上,也不是通用軟件。無論是要滲透到內部網絡,還是挖掘大型專用軟件的漏洞,都非尋常攻擊所能做到。這也表明攻擊的意圖十分明確,是一次精心謀劃的攻擊。
      4.2 利用多個零日漏洞
      Stuxnet蠕蟲利用了微軟操作系統的下列漏洞:
      1. RPC遠程執行漏洞(MS08-067)
      2. 快捷方式文件解析漏洞(MS10-046)
      3. 打印機后臺程序服務漏洞(MS10-061)
      4. 尚未公開的一個提升權限漏洞
      后三個漏洞都是在Stuxnet中首次被使用,是真正的零日漏洞。如此大規模的使用多種零日漏洞,并不多見。
      這些漏洞并非隨意挑選。從蠕蟲的傳播方式來看,每一種漏洞都發揮了獨特的作用。比如基于自動播放功的U盤病毒被絕大部分殺毒軟件防御的現狀下,就使用快捷方式漏洞實現U盤傳播。
      另一方面,在安天捕獲的樣本中,有一部分實體的時間戳是2013年3月。這意味著至少在3月份,上述零日漏洞就已經被攻擊者掌握。但直到7月份大規模爆發,漏洞才首次披露出來。這期間要控制漏洞不泄露,有一定難度。
      4.3 使用數字簽名
      Stuxnet在運行后,釋放兩個驅動文件:
      %System32%driversmrxcls.sys
      %System32%driversmrxnet.sys
      這兩個驅動文件偽裝RealTek的數字簽名(圖7)以躲避殺毒軟件的查殺。目前,這一簽名的數字證書已經被頒發機構吊銷,無法再通過在線驗證,但目前反病毒產品大多使用靜態方法判定可執行文件是否帶有數字簽名,因此有可能被欺騙。
      圖11 Stuxnet偽造的數字簽名
      4.4 明確的攻擊目標
      根據賽門鐵克公司的統計,7月份,伊朗感染Stuxnet蠕蟲的主機只占25%,到9月下旬,這一比例達到60%。
      WinCC被伊朗廣泛使用于基礎國防設施中。9月27日,伊朗國家通訊社向外界證實該國的第一座核電站“布什爾核電站”已經遭到攻擊。據了解,該核電站原計劃于2013年8月開始正式運行。因此,此次攻擊具有明確的地域性和目的性。
      第五章 綜合評價
      5.1 工業系統安全將面臨嚴峻挑戰
      在我國,WinCC已被廣泛應用于很多重要行業,一旦受到攻擊,可能造成相關企業的設施運行異常,甚至造成商業資料失竊、停工停產等嚴重事故。
      對于Stuxnet蠕蟲的出現,我們并未感到十分意外。早在去年,安天就接受用戶委托,對化工行業儀表的安全性展開過研究,情況不容樂觀。
      工業控制網絡,包括工業以太網,以及現場總線控制系統早已在工業企業中應用多年,目前在電力、鋼鐵、化工等大型重化工業企業中,工業以太網、DCS(集散控制系統)、現場總線等技術早已滲透到控制系統的方方面面。工業控制網絡的核心現在都是工控PC,大多數同樣基于Windows-Intel平臺,工業以太網與民用以太網在技術上并無本質差異,現場總線技術更是將單片機/嵌入式系統應用到了每一個控制儀表上。工業控制網絡除了可能遭到與攻擊民用/商用網絡手段相同的攻擊,例如通過局域網傳播的惡意代碼之外,還可能遭到針對現場總線的專門攻擊,不可輕視。
      針對民用/商用計算機和網絡的攻擊,目前多以獲取經濟利益為主要目標,但針對工業控制網絡和現場總線的攻擊,可能破壞企業重要裝置和設備的正常測控,由此引起的后果可能是災難性的。以化工行業為例,針對工業控制網絡的攻擊可能破壞反應器的正常溫度/壓力測控,導致反應器超溫/超壓,最終就會導致沖料、起火甚至爆炸等災難性事故,還可能造成次生災害和人道主義災難。因此,這種襲擊工業網絡的惡意代碼一般帶有信息武器的性質,目標是對重要工業企業的正常生產進行干擾甚至嚴重破壞,其背景一般不是個人或者普通地下黑客組織。
      目前,工業以太網和現場總線標準均為公開標準,熟悉工控系統的程序員開發針對性的惡意攻擊代碼并不存在很高的技術門檻。因此,對下列可能的工業網絡安全薄弱點進行增強和防護是十分必要的:
      1、基于Windows-Intel平臺的工控PC和工業以太網,可能遭到與攻擊民用/商用PC和網絡手段相同的攻擊,例如通過U盤傳播惡意代碼和網絡蠕蟲,這次的Stuxnet病毒就是一個典型的例子。
      2、DCS和現場總線控制系統中的組態軟件(測控軟件的核心),目前其產品,特別是行業產品被少數公司所壟斷,例如電力行業常用的西門子SIMATIC WinCC,石化行業常用的浙大中控等。針對組態軟件的攻擊會從根本上破壞測控體系,Stuxnet病毒的攻擊目標正是WinCC系統。
      3、基于RS-485總線以及光纖物理層的現場總線,例如PROFIBUS和MODBUS(串行鏈路協議),其安全性相對較好;但短程無線網絡,特別是不使用Zigbee等通用短程無線協議(有一定的安全性),而使用自定義專用協議的短程無線通信測控儀表,安全性較差。特別是國內一些小企業生產的“無線傳感器”等測控儀表,其無線通信部分采用通用2.4GHz短程無線通信芯片,連基本的加密通信都沒有使用,可以說毫無安全性可言,極易遭到竊聽和攻擊,如果使用,將成為現場總線中極易被攻擊的薄弱點。
      工業控制網絡通常是獨立網絡,相對民用/商用網絡而言,數據傳輸量相對較少,但對其實時性和可靠性的要求卻很高,因而出現問題的后果相當嚴重。
      傳統工業網絡的安全相對信息網絡來說,一直是憑借內網隔離,而疏于防范。因此,針對工業系統的安全檢查和防范加固迫在眉睫。
      5.2 展望和思考
      在傳統工業與信息技術的融合不斷加深、傳統工業體系的安全核心從物理安全向信息安全轉移的趨勢和背景下,此次Stuxnet蠕蟲攻擊事件尤為值得我們進一步思考。
      這是一次極為不同尋常的攻擊,其具體體現是:
      ? 傳統的惡意代碼追求影響范圍的廣泛性,而這次攻擊極富目的性;
      ? 傳統的攻擊大都利用通用軟件的漏洞,而這次攻擊則完全針對行業專用軟件;
      ? 這次攻擊使用了多個全新的零日漏洞進行全方位攻擊,這是傳統攻擊難以企及的;
      ? 這次攻擊通過恰當的漏洞順利滲透到內部專用網絡中,這也正是傳統攻擊的弱項;
      從時間、技術、手段、目的、攻擊行為等多方面來看,完全可以認為發起此次攻擊的不是一般的攻擊者或組織。
      因此,這次攻擊中所采用的多個新漏洞和傳播手段,將在接下來很長一段時間內給新的攻擊提供最直接的動力。而更大的影響是,事件中顯露出來的攻擊思路和攻擊視野會帶來長久的示范效應。它給攻擊者、安全研究人員、企業管理者帶來的更多是一種安全觀念和安全意識上的沖擊。一些傳統的認識已經略顯陳舊,誰能在這一次觀念和意識賽跑中認識得更清、看得更遠,誰就能在未來一段時間內保持優勢。
      至少有以下兩種新的攻擊趨勢值得特別關注:
      1、針對行業專用軟件的漏洞挖掘和攻擊,特別是上升到國家戰略層面的關鍵行業和敏感行業。安天實驗室在2013年年初發布的《多家企業網絡入侵事件傳言的同源木馬樣本分析報告》中就明確指出:“目前的漏洞分析挖掘的注意點已經不集中于主流廠商,而開始普遍擴散”。另一方面,這些攻擊雖然針對軟件,但并不一定是利用軟件本身的缺陷,安全是一個全方位的問題,攻擊可能來自于任何一個角度。
      2、針對企業內部網絡,特別是物理隔離的內部專用網絡的攻擊。這類網絡具有較高的安全要求,也更具攻擊價值。一般通過U盤等可移動存儲設備滲入這類網絡的方法是感染式病毒、欺騙、自動播放(Autorun.inf)等。本次出現的快捷方式文件解析漏洞,為此類攻擊提供了一種更有效的方法。此外,這種內部網絡也將因為本次事件而被攻擊者關注和研究,不能排除出現新的攻擊方式的可能。
      基于上述認識,建議有關部門和企業以此次攻擊事件為鑒,進一步加強信息網絡和計算機設備的安全管理、制定完善的安全管理方案、形成合理的安全策略、提高安全意識,與安全廠商一同構建堅實的防線,抵御安全威脅。
      作為安全廠商,安天呼吁各兄弟廠商一起共建良好的行業環境,不斷促進安全技術的良性發展。同時,安天也期盼公眾和用戶能夠對信息安全給予更多的關注。安天堅信保障公眾和社會的安全是一家安全廠商義不容辭的使命,但在現階段僅靠廠商的力量尚不足以解決目前的所有問題。只有各方齊心協力,才能迎來一個更加美好的世界。

      相關信息編輯本段

      專家稱其高端性顯示攻擊應為國家行為
      一些專家認為,Stuxnet病毒是專門設計來攻擊伊朗重要工業設施的,包括上個月竣工的布什爾核電站。它在入侵一臺個人電腦后,會尋找廣泛用于控制工業系統如工廠、發電站自動運行的一種西門子軟件。它通過對軟件重新編程實施攻擊,給機器編一個新程序,或輸入潛伏極大風險的指令。專家指出,病毒能控制關鍵過程并開啟一連串執行程序,最終導致整個系統自我毀滅。
      2008年,“震網”病毒攻擊就開始奏效,伊朗核計劃被顯著拖延。根據電腦安全公司賽門鐵克公司的一份詳細報告,到2010年9月29日為止,“震網”病毒在世界范圍內感染了10萬臺主機,其中有6萬臺位于伊朗,之后伊朗采取了行動,從而無法評估后來的數據。  伊朗半官方的通訊社報道稱,這種代號為“震網”的“電腦蠕蟲”病毒很可能是伊朗的敵人專門為破壞布什爾核電站而“量身定做”的。(2010年9月30日《中國青年報》)
      根據科學和國際安全研究所的統計,位于納坦茲的大約8000臺離心機里有1000臺已在2009年底和2010年初被換掉。國際原子能機構說,伊朗在2010年11月中旬暫停了納坦茲的鈾濃縮活動,因為離心機發生技術故障。
      2013年3月,中國解放軍報再次披露,美國曾利用“震網”蠕蟲病毒攻擊伊朗的鈾濃縮設備。 
      卡巴斯基的高級安防研究員戴維·愛姆說,Stuxnet與其它病毒的不同之處,就在于它瞄準的是現實世界。他們公司已經和微軟聯手,查找程序中的編碼漏洞,防止新病毒找到它。
      愛姆說,通常的大部分病毒像個大口徑短到處開火,而Stuxnet像個狙擊手,只瞄準特定的系統。一旦它們發現了編碼缺陷,就好比找到了房子上的天窗,然后用一把羊頭鎬撬開一個更大的洞。Stuxnet被設計出來,純粹就是為了搞破壞。
      德國網絡安全研究員拉爾夫·朗納已經破解了Stuxnet的編碼,并將之公布于眾。他堅信Stuxnet被設計出來,就是為了尋找基礎設施并破壞其關鍵部分。他說,這是一種百分之百直接面向現實世界中工業程序的網絡攻擊。它絕非所謂的間諜病毒,而是純粹的破壞病毒。
      朗納說,Stuxnet病毒的高端性,意味著只有一個“國家”才能把它開發出來。根據我們所掌握的計算機法醫方面證據,它的意圖很明顯,就是執行破壞性攻擊,毀掉大量的內部信息。這并非某個坐在父母家里的地下室里的駭客能干得出來的,這種攻擊的來源指向的是一個國家。Stuxnet很可能已經攻擊了它的目標,只不過我們還沒有接到消息而已。
      近日,某國內知名安全公司監測到一個席卷全球工業界的病毒已經入侵我國,這種名為Stuxnet的蠕蟲病毒已經造成伊朗核電站推遲發電,目前國內已有近 500萬網民、及多個行業的領軍企業遭此病毒攻擊。某國內知名安全軟件公司反病毒專家警告說,我們許多大型重要企業在安全制度上存在缺失,可能促進Stuxnet病毒在企業中的大規模傳播。
      某國內知名安全軟件公司專家表示,這是世界上首個專門針對工業控制系統編寫的破壞性病毒,它同時利用包括MS10-046、MS10-061、MS08-067等 7個最新漏洞進行攻擊。這7個漏洞中,有5個是針對windows系統,2個是針對西門子SIMATIC WinCC系統。另外在關于微軟的5個漏洞中,目前有兩個本地提權漏洞仍未修復。
      病毒肆虐將影響我國眾多企業
      該病毒通過偽裝RealTek 與JMicron兩大公司的數字簽名,從而順利繞過安全產品的檢測。從編寫手法上看,該病毒還有很大的改進余地,將來很可能出現同樣原理的復雜病毒。
      據某國內知名安全軟件公司技術部門分析,Stuxnet病毒專門針對西門子公司的SIMATIC WinCC監控與數據采集 (SCADA) 系統進行攻擊,由于該系統在我國的多個重要行業應用廣泛,被用來進行鋼鐵、電力、能源、化工等重要行業的人機交互與監控,一旦攻擊成功,則可能造成使用這些企業運行異常,甚至造成商業資料失竊、停工停產等嚴重事故。
      該病毒主要通過U盤和局域網進行傳播,由于安裝SIMATIC WinCC系統的電腦一般會與互聯網物理隔絕,因此黑客特意強化了病毒的U盤傳播能力。如果企業沒有針對U盤等可移動設備進行嚴格管理,導致有人在局域網內使用了帶毒U盤,則整個網絡都會被感染。
      Stuxnet病毒被多國安全專家形容為全球首個“超級工廠病毒”。截至目前,Stuxnet病毒已經感染了全球超過 45000個網絡,伊朗、印尼、美國、臺灣等多地均不能幸免,其中,以伊朗遭到的攻擊最為嚴重,60%的個人電腦感染了這種病毒。
      據悉,早在今年7月,某國內知名安全軟件公司就監測到了Stuxnet的出現,一直進行跟蹤并積極研發出了解決方案,某國內知名安全軟件公司安全專家提醒廣大政府及企業級用戶:一定要嚴格限制U盤在密級網絡中的應用,如果必須使用的,則應該建立使用登記和責任追究制度。另外,某國內知名安全軟件公司殺毒軟件網絡版也針對此病毒,提供了完善的U盤病毒預防、網絡內安全管理、惡性病毒掃描.

      附件列表


      1

      詞條內容僅供參考,如果您需要解決具體問題
      (尤其在軍事戰略、軍事時事等領域),建議您咨詢相關領域專業人士。

      如果您認為本詞條還有待完善,請 編輯

      上一篇 LCU登陸艇    下一篇 超級導彈護衛艦

      標簽

      暫無標簽

      同義詞

      暫無同義詞
      国产亚洲一卡2卡3卡4卡乱码在线,欧美日韩2021卡一卡二乱码,成片不卡1卡2卡三卡网站导航,成片一卡2卡三卡4卡乱码视频,成片一卡三卡四区一卡三卡 国产亚洲一卡2卡三卡4卡乱码理论| 成片一卡2卡三卡4卡棋牌| 国产亚洲一卡2卡3卡4卡5卡在线| 精品一卡2卡三卡4卡乱码| 欧美日韩色妞AV永久一区二区AV开| 国产亚洲一卡三卡四区一卡三卡| 欧洲中一卡2卡三卡4卡网站| 国产亚洲2021卡一卡二乱码| 精品一卡二卡三乱码| 欧美日韩卡一卡二卡三新区| 欧美日韩卡1卡2卡三卡免费网站| 国产亚洲一卡2卡3卡4卡国色天香| 成片e本大道二卡三卡免费| 精品一卡2卡3卡4卡乱码在线| 国产亚洲2021一卡2卡三卡4卡乱码不卡| 欧洲麻豆一卡2卡三卡4卡网站| 欧美日韩2021一卡2卡三卡4卡乱码不卡| 精品一卡二卡三卡四卡| 欧美日韩卡一卡二卡三| 欧洲一卡2卡3卡4卡网站| 欧洲一卡二卡三卡| 精品一卡2卡三卡4卡棋牌| 精品e本大道二卡三卡免费| 国产亚洲一区二区三区| 精品一卡2卡3卡4卡国色天香九零| 欧美日韩一卡二卡3卡四卡| 欧美日韩乱码1卡2卡3卡4卡| 国产亚洲伦一区二区三区视频| 精品2020卡二卡三卡四乱码| 成片1卡二卡三卡四卡| 成片一卡2卡三卡4卡乱码毛1| 成片卡一卡二卡三专区免费| 国产亚洲伦一区二区三区视频| 欧洲高清无卡码一区二区三区| 欧洲一卡二卡三卡| 国产亚洲一卡二卡三卡四卡| 国产亚洲一卡2卡三卡4卡2021国色| 精品一卡2卡三卡4卡乱码毛1| 国产亚洲1卡二卡三卡4卡| 欧美日韩色妞AV永久一区二区AV开| 欧洲1卡二卡三卡四卡| 欧洲中文字乱码卡一卡二| 成片伦一区二区三区视频| 成片一卡二卡3卡四卡| 欧洲AV一卡2卡三卡4卡幕| 成片一卡2卡3卡4卡网站| 欧洲一卡二卡≡卡四卡高清乱码| 国产亚洲乱子伦一区二区三区| 成片麻豆一卡2卡三卡4卡网站| 欧美日韩一卡2卡3卡4卡乱码网站导航| 欧美日韩卡一卡二卡三新区| 欧洲麻豆一卡2卡三卡4卡网站| 精品一卡二卡3卡4卡| 国产亚洲一卡二卡三新区入口| 国产亚洲一卡二卡三新区入口| 欧洲一卡2卡三卡4卡| 成片一卡三卡四区一卡三卡|