震网病毒
这是有史以来第一个包含PLC Rootkit的计算机蠕虫stuxnet,也是第一个已知的针对关键工业基础设施的蠕虫stuxnet。它的名字叫震网。
地震网络病毒,大小约500KB,2010年6月首次公开,感染Windows 200-Windows 7的NT内核系统。病毒的重灾区是伊朗,其目标是摧毁工业设备,减缓伊朗的核计划。
地震网“STUXNET”
早在2009年,在伊朗的纳坦兹,有一个“铀浓缩工厂”,那里大约有8700台铀浓缩离心机在工作。随着一场神秘的“重大核事故”,伊朗在几个月内更换了1-2,000台离心机,外界不可能知道离心机为何会这么快受损。
振动筛网破坏离心机
然而,答案却隐藏在“这些机器周围”,埋藏在纳坦兹电脑的磁盘和内存中。几个月前,也就是2009年6月,有人默默发布了一个复杂且极具破坏性的蠕虫病毒,在伊朗的电脑中传播,目的只有一个:——摧毁伊朗的铀浓缩计划,阻止伊朗发展核武器。
但直到一年后,这种蠕虫才浮出水面,并被命名为“王镇”
2010年6月17日,当谢尔盖乌拉森在白俄罗斯的办公室阅读他的电子邮件时,一份报告引起了他的注意。一台属于伊朗客户的计算机陷入重启循环。尽管管理员努力控制它,计算机还是关闭并重新启动了几次。这台机器似乎感染了病毒。
Ullason的研究团队掌握了感染计算机的病毒,并意识到它正在利用“0day”漏洞进行传播。0day漏洞是黑客世界中最强大的武器:他们利用软件制造商或防病毒提供商尚不知道的软件漏洞。极其罕见:发现这些漏洞并加以利用需要相当的技巧和毅力。每年,在反病毒研究人员发现的数千万个恶意软件中,只有少数可能利用0DAY漏洞。
0DAY漏洞
地震网络利用0DAY漏洞,允许病毒通过受感染的移动存储设备从一台计算机微妙地传播到另一台计算机。漏洞在于Windows的LNK快捷方式,这是微软Windows的一个基本组件。当被感染的移动存储设备插入计算机,Windows Explorer扫描设备内容时,漏洞代码被唤醒,并秘密地将部分加密的文件传输到计算机,就像军用运输机将伪装的士兵扔进目标区域一样。
乌拉森联系微软报告了该漏洞,并在安全论坛的帖子中公开了这一发现。世界各地的反病毒公司都在争相解构病毒,并以一些文件名命名病毒为“王镇”。存根和mxNet.sys)。
全球所有杀毒公司对“王镇”的分析证明,病毒早在2009年6月就开始在外界传播,“它”的神秘创造者随着时间的推移不断更新完善,发布了三个不同的版本。值得注意的是,该病毒的一个驱动文件使用了从台湾省硬件制造商RealTek Semiconductor窃取的有效签名证书,以欺骗系统确定该恶意软件是来自RealTek的可信程序。
宇半导体
微软很快撤销了证书。然而,反病毒公司从地震网找到了第二个有效的数字签名证书。证书来自智能微芯片,它也是台湾省的一家电路制造商。其总部与瑞宇位于同一商业园区。这是巧合吗stuxnet?闯入公司偷证算攻击吗?还是黑客远程攻击他们得到了数字证书签名密钥?没人知道stuxnet!
然而,在其他方面,Stuxnet似乎在受感染的计算机上非常常见。病毒针对的是德国西门子集团制造的工业控制系统西门子WinCC Step7软件,用于对控制器进行编程,将电机、阀门、开关应用于食品工厂、汽车装配线、天然气管道、水处理厂等各个领域。
" />
西门子
工业控制系统不是传统的黑客目标,因为黑客攻击它们没有明显的经济收益,它似乎只是从系统中窃取配置和设计数据,看起来就像是一起工业间谍案。
但是。。震网绝没有如此简单
震网每感染一个系统,它会"打电话"到托管在马来西亚和丹麦的两个服务器上-报告有关受感染的机器的信息。包括机器的内部和外部 IP 地址、计算机名称、操作系统和版本,以及西门子 Simatic WinCC Step7 软是否安装在机器上。并可以命令和控制受感染的计算机,例如更新 震网,增加功能,甚至在系统上安装更多的恶意文件。
这两个域名的 DNS 提供商已经对传入的流量进行了限制,以防止其到达到攻击者手中。赛门铁克联系了dns供应商,转移了解析线路,一周以后,赛门铁克收到来自几十个国家大约40000台计算机的感染信息,预计几天后,这个数字将会飙升到10万以上。
位于马来西亚的服务器
将这些感染计算机的地理位置绘制成分布图时,出现了一种奇怪的现象。在最初的38,000例感染中,约有22,000例发生在伊朗。遥遥领先于第二位印度尼西亚的6 700例,其次是印度,约有3 700人感染。美国只有不到400个。在这38000例中,只有少数机器安装了西门子step7软件——其中217台在伊朗,16台在美国。
这个数据非常奇怪——伊朗从未在计算机病毒感染统计中排名如此之高,通常是韩国和美国一直名列前茅,因为它们的互联网用户数量最多。即使在以中东或中亚为中心的计算机疫情中,伊朗也从未排名如此之高。很明显,伊朗是“震网”感染的中心。
种种因素叠加,使“震网”看起来像是一个网络武器,甚至可能是美国的网络武器。
网络武器
随着对病毒的进一步解构监控,研究人员发现,震网除了利用 LNK 漏洞之外,还使用了其余三个0DAY漏洞,第二个是 Windows 打印服务漏洞,在使用共享打印机的机器之间展开传播。第三个和第四个漏洞攻击了 Windows 键盘文件和计划任务事件中的漏洞,从而提升攻击者在计算机上的权限,并完全控制它。此外,Stuxnet 还利用了西门子在其 Step7 软件中硬编码的静态密码。使其访问并感染托管数据库的服务器,并从那里感染连接到服务器的其他计算机。
研究还发现,震网的每一次传播都会在自身中记录它所感染的每个系统的IP和时间戳。这使得能够追溯到原始受感染的计算机,经过分析,袭击者将攻击重点放在伊朗五个组织的计算机上,这五个组织在2009年6月和7月以及2010年3月、4月和5月再次受到不同感染的反复打击,这其中就包括位于纳坦兹的核浓缩工厂的铀离心机
STUXNET
震网病毒导致受感染的伊朗IR-1型离心机从正常运行速度1064HZ增加到1410HZ并持续15分钟,然后恢复到正常频率,27天以后震网再次行动,将受感染的离心机运行速度减慢到几百HZ持续50分钟,过大、速度较慢的压力导致铝离心管膨胀,迫使部分离心机相互接触,使机器收到损坏
这些损坏可能将伊朗的核计划拖慢2年的时间
那如此复杂的“震网病毒”到底是谁创造的呢?
各大安全厂商认为,如此复杂和危险的恶意程序,不是个人或民间组织能够研发出来了,它的背后可能是一个国家在支持。
直到今日,震网的始作俑者仍然没有浮出水面,但是各国之间的网络战争却才刚刚开始。
内容来源网络,如有侵权,联系删除,本文地址:https://www.230890.com/zhan/124722.html
