ITBear旗下自媒体矩阵:

安天实验室深度分析震网(Stuxnet)蠕虫病毒

   时间:2010-09-29 16:42:04 来源:互联网编辑:星辉 发表评论无障碍通道

近日,国内外多家媒体相继报道了Stuxnet蠕虫对西门子公司的数据采集与监控系统SIMATIC WinCC进行攻击的事件,称其为“超级病毒”、“超级工厂病毒”,并形容成“超级武器”、“潘多拉的魔盒”。

Stuxnet蠕虫(俗称“震网”、“双子”)在今年7月开始爆发。它利用了微软操作系统中至少4个漏洞,其中有3个全新的零日漏洞;伪造驱动程序的数字签名;通过一套完整的入侵和传播流程,突破工业专用局域网的物理限制;利用WinCC系统的2个漏洞,对其开展破坏性攻击。它是第一个直接破坏现实世界中工业基础设施的恶意代码。据赛门铁克公司的统计,目前全球已有约45000个网络被该蠕虫感染,其中60%的受害主机位于伊朗境内。伊朗政府已经确认该国的布什尔核电站遭到Stuxnet蠕虫的攻击。

安天实验室于7月15日捕获到Stuxnet蠕虫的第一个变种,在第一时间展开分析,发布了分析报告及防范措施,对其持续跟踪,并第一时间发布深度分析报告(见文末扩展信息1)。截止至本文发布,安天已经累计捕获13个变种、 600多个不同哈希值的样本实体。

一般情况下,蠕虫的攻击价值在于其传播范围的广阔性、攻击目标的普遍性。此次攻击与此截然相反,最终目标既不在开放主机之上,也不是通用软件。无论是要渗透到内部网络,还是挖掘大型专用软件的漏洞,都非寻常攻击所能做到。这也表明攻击的意图十分明确,是一次精心谋划的攻击。

这些漏洞并非随意挑选。从蠕虫的传播方式来看,每一种漏洞都发挥了独特的作用。比如基于自动播放功的U盘病毒被绝大部分杀毒软件防御的现状下,就使用快捷方式漏洞实现U盘传播。

另一方面,在安天实验室捕获的样本中,有一部分实体的时间戳是今年3月。这意味着至少在3月份,上述零日漏洞就已经被攻击者掌握。但直到7月份大规模爆发,漏洞才首次披露出来。这期间要控制漏洞不泄露,有一定难度。

因此,安天实验室推断攻击者具有雄厚的财力和研究能力。

在我国,WinCC已被广泛应用于很多重要行业,一旦受到攻击,可能造成相关企业的设施运行异常,甚至造成商业资料失窃、停工停产等严重事故。

Stuxnet带来的问题不只如此。一般来说,一种新的攻击方法、攻击思路和攻击目标出现,都会较长时间带来示范效应,导致今后攻击的重点从传统的信息网络向工业系统转移。

对于Stuxnet病毒的出现,安天实验室并未感到十分意外。早在去年,安天实验室就接受用户委托,对化工行业仪表的安全性展开过研究,情况不容乐观。

扩展信息:

1. 安天实验室对Stuxnet蠕虫攻击工业控制系统事件的综合报告 :

http://www.antiy.com/cn/security/2010/Report_On_the_Attacking_of_Worm_Struxnet_by_antiy_labs.htm

2. 西门子公司就此次攻击给出的解决方案:

http://support.automation.siemens.com/WW/llisapi.dll?func=cslib.csinfo&objid=43876783

3. 微软提供的补丁文件下载地址如下:

--RPC远程执行漏洞(MS08-067)

http://www.microsoft.com/technet/security/bulletin/MS08-067.mspx

--快捷方式文件解析漏洞(MS10-046)

http://www.microsoft.com/technet/security/bulletin/MS10-046.mspx

--打印机后台程序服务漏洞(MS10-061)

http://www.microsoft.com/technet/security/bulletin/MS10-061.mspx

4. 西门子公司给出的WinCC系统安全更新补丁的下载地址:

http://support.automation.siemens.com/

WW/llisapi.dll/csfetch/43876783/

SIMATIC_Security_Update_V1_0_0_11.exe?func=cslib.csFetch&nodeid=44473682

5. ATool管理工具下载地址:

http://www.antiyfx.com/download/atool.zip

举报 0 收藏 0 打赏 0评论 0
 
 
更多>同类资讯
全站最新
热门内容
网站首页  |  关于我们  |  联系方式  |  版权声明  |  网站留言  |  RSS订阅  |  违规举报  |  开放转载  |  滚动资讯  |  English Version
关闭
ITBear微信账号

微信扫一扫
加微信拉群
电动汽车群
科技数码群