Stuxnet病毒

• 编辑词条

摘要

Stuxnet病毒，是一个席卷全球工业界的病毒，世界上首个网络“超级武器”，一种名为Stuxnet的计算机病毒已经感染了全球超过 45000个网络，伊朗遭到的攻击最为严重，60%的个人电脑感染了这种病毒。

编辑摘要

目录-[ 隐藏 ]

1. 1基本内容
2. 2感染全球
3. 3受影响的国家
4. 4伊朗遭袭
5. 5破坏工控
6. 6发现传播
7. 7病毒特点
8. 8感染原理
9. 9解决方案
10. 10卡巴斯基关于360解读超级工厂的…

编辑本段|回到顶部基本内容

Stuxnet病毒，瑞星公司监测到一个席卷全球工业界的病毒已经入侵中国，这种名为Stuxnet的蠕虫病毒已经造成伊朗核电站推迟发电，目前国内已有近500万网民、及多个行业的领军企业遭此病毒攻击。瑞星反病毒专家警告说，我们许多大型重要企业在安全制度上存在缺失，可能促进Stuxnet病毒在企业中的大规模传播。

编辑本段|回到顶部感染全球

1、日前世界上首个网络“超级武器”，一种名为Stuxnet的计算机病毒已经感染了全球超过 45000个网络，伊朗遭到的攻击最为严重，60%的个人电脑感染了这种病毒。计算机安防专家认为，该病毒是有史以来最高端的“蠕虫”病毒，其目的可能是 要攻击伊朗的布什尔核电站。布什尔核电站目前正在装备核燃料，按照计划，它本应在2010年8月开始运行。

2、蠕虫是一种典型的计算机病毒，它能自我复制，并将副本通过网络传输，任何一台个人电脑只要和染毒电脑相连，就会被感染。这种 Stuxnet病毒于2010年6月首次被检测出来，是第一个专门攻击真实世界中基础设施的“蠕虫”病毒，比如发电站和水厂。目前互联网安全专家对此表示担心。

编辑本段|回到顶部受影响的国家

 

 

根据赛门铁克的研究，主要受影响国家分别为：

编辑本段|回到顶部伊朗遭袭

人民网2010年9月25日电近日，伊朗境内的诸多工业企业遭遇了一种极为特殊的电脑病毒袭击。知情人士称，这种代号为“震网”的“电脑蠕虫”侵入了工厂企业的控制系统，并有可能取得对一系列核心生产设备，尤其是发电企业的关键控制权。广受西方关注的布舍尔核电站也是“震网”蠕虫的重点“关照对象”。

编辑本段|回到顶部破坏工控

1、瑞星专家表示，这是世界上首个专门针对工业控制系统编写的破坏性病毒，它同时利用包括MS10-046、MS10-061、MS08-067等7个最新漏洞进行攻击。这7个漏洞中，有5个是针对windows系统，2个是针对西门子SIMATIC WinCC系统。另外在关于微软的5个漏洞中，目前有两个本地提权漏洞仍未修复。

2、该病毒通过伪装RealTek 与JMicron两大公司的数字签名，从而顺利绕过安全产品的检测。从编写手法上看，该病毒还有很大的改进余地，将来很可能出现同样原理的复杂病毒。

 

3、据瑞星技术部门分析，Stuxnet病毒专门针对西门子公司的SIMATIC WinCC监控与数据采集（SCADA）系统进行攻击，由于该系统在我国的多个重要行业应用广泛，被用来进行钢铁、电力、能源、化工等重要行业的人机交互与监控，一旦攻击成功，则可能造成使用这些企业运行异常，甚至造成商业资料失窃、停工停产等严重事故。

编辑本段|回到顶部发现传播

1、在2010年7月瑞星就监测到了Stuxnet的出现，一直进行跟踪并积极研发出了解决方案，瑞星安全专家提醒广大政府及企业级用户：一定要严格限制U盘在密级网络中的应用，如果必须使用的，则应该建立使用登记和责任追究制度。另外，瑞星杀毒软件网络版也针对此病毒，提供了完善的U盘病毒预防、网络内安全管理、恶性病毒扫描等全套解决方案。 

2、该病毒主要通过U盘和局域网进行传播，由于安装SIMATIC WinCC系统的电脑一般会与互联网物理隔绝，因此黑客特意强化了病毒的U盘传播能力。如果企业没有针对U盘等可移动设备进行严格管理，导致有人在局域网内使用了带毒U盘，则整个网络都会被感染。

3、Stuxnet病毒被多国安全专家形容为全球首个“超级工厂病毒”。截至目前，Stuxnet病毒已经感染了全球超过 45000个网络，伊朗、印尼、美国、台湾等多地均不能幸免，其中，以伊朗遭到的攻击最为严重，60%的个人电脑感染了这种病毒。

编辑本段|回到顶部病毒特点

1、卡巴斯基的高级安防研究员戴维·爱姆说，Stuxnet与其它病毒的不同之处，就在于它瞄准的是现实世界。他们公司已经和微软联手，查找程序中的编码漏洞，防止新病毒找到它。

2、通常的大部分病毒像个大口径短枪到处开火，而Stuxnet像个狙击手，只瞄准特定的系统。一旦它们发现了编码缺陷，就好比找到了房子上的天窗，然后用一把羊头镐撬开一个更大的洞。Stuxnet被设计出来，纯粹就是为了搞破坏。

3、德国网络安全研究员拉尔夫·朗纳已经破解了Stuxnet的编码，并将之公布于众。他坚信Stuxnet被设计出来，就是为了寻找基础设施 并破坏其关键部分。他说，这是一种百分之百直接面向现实世界中工业程序的网络攻击。它绝非所谓的间谍病毒，而是纯粹的破坏病毒。

4、Stuxnet病毒的高端性，意味着只有一个“国家”才能把它开发出来。根据我们所掌握的计算机法医方面证据，它的意图很明显，就 是执行破坏性攻击，毁掉大量的内部信息。这并非某个坐在父母家里的地下室里的骇客能干得出来的，这种攻击的来源指向的是一个国家。Stuxnet很可能已 经攻击了它的目标，只不过我们还没有接到消息而已。

编辑本段|回到顶部感染原理

 

1. 如何选择需要感染的PLC 　　Stuxnet会根据目标系统的特点，使用不同的代码来感染PLC。 　　一个感染的序列包括了许多PLC 模块（代码模块和数据模块），用以注入PLC来改变目标PLC 的行为。这个威胁包括了三个感染序列。其中两个非常相似，功能也相同，我们将其命名为序列A和B。第三个序列我们命名为序列C。Stuxnet通过验证“指纹”来判断系统是否为计划攻击的目标。它会检查： 　　PLC种类/家族：只有CPU 6ES7-417 和6ES7-315-2 会被感染。系统数据模块：SDB 会被解析；根据他们包含的数据，感染进程会选择A,B或其它感染方式开始行动。当解析SDB 时，代码会搜索这两个值是否存在-- 7050h and 9500h；然后根据这两个数值的出现次数，选择序列A 或B 中的一种来感染PLC。 代码还会在SDB 模块的50h 子集中搜索字节序2C CB 00 01, 这个字节序反映了通信处理器CP 342-5 (用作Profibus-DP) 是否存在。 　　而选择序列C进行感染的条件则由其他因素构成。 2. 感染方法　　Stuxnet使用“代码插入”的感染方式。当Stuxnet 感染OB1时，它会执行以下行为： 　　增加原始模块的大小； 在模块开头写入恶意代码； 　　在恶意代码后插入原始的OB1 代码。 　　 Stuxnet也会用类似于感染OB1的方式感染OB35。它会用自身来取代标准的协同处理器DP_RECV 代码块，然后在Profibus (一个标准的用作分布式I/O的工业网络总线) 中挂钩网络通信。 　　利用A/B方法的感染步骤如下： 　　检查PLC 类型； 　　该类型必须为S7/315-2； 　　检查SDB 模块，判断应该写入序列A 或B 中的哪一个； 　　找到DP_RECV，将其复制到FC1869，并用Stuxnet嵌入的一个恶意拷贝将其取代； 　　在序列中写入恶意模块（总共20个），由Stuxnet 嵌入； 　　感染OB1，令恶意代码可以在新的周期开始时执行； 　　感染OB35, 它将扮演“看门狗”的角色。 3. 感染代码　　被注入OB1 功能的代码是用来感染序列A 和B的。这些序列包含了以下模块： 　　代码块：FC1865 至FC1874, FC1876 至FC1880 （注意：FC1869并非Stuxnet的一部分，而是PLC的DP_RECV模块的一个拷贝）； 　　数据模块：DB888 至DB891。 序列A 和B 用DP_RECV 挂钩模块来拦截Profibus 中的数据包，并根据在这些模块中找到的数值，来构造其他的数据包并发送出去。这由一个复杂的状态机控制（状态机被建立在上面提到的FC 模块中）。这个状态机可部分受控于数据块DB890 中的DLL。 　　在某些条件下，序列C会被写入一个PLC。这个序列比A和B包含更多的模块： 　　FC6055 至FC6084；DB8062, DB8063；DB8061, DB8064 至DB8070 （在运行中产生）。 序列C主要为了将I/O信息读写入PLC的内存文件映射的I/O 区域，以及外围设备的I/O。 　　程序A/B 的控制流如下图所示，在之前的Step7 编辑器的截图中也有部分显示（数据模块FC1873）: 　　 而序列C 的程序流则更加复杂，可以从下面的图表中看到: 　　 4. Rootkit　　Stuxnet PLC rootkit代码全部藏身于假冒的s7otbxdx.dll中。为了不被PLC所检测到，它至少需要应付以下情况： 　　对自己的恶意数据模块的读请求；对受感染模块(OB1 , OB35, DP_RECV) 的读请求；可能覆盖Stuxnet自身代码的写请求。 Stuxnet包含了监测和拦截这些请求的代码，它会修改这些请求以保证Stuxnet 的PLC 代码不会被发现或被破坏。下面列出了几个Stuxnet用被挂钩的导出命令来应付这些情况的例子： 　　s7blk_read: 监测读请求，而后Stuxnet 会返回：真实请求的DP_RECV (保存为FV1869)；错误信息，如果读请求会涉及到它的恶意模块；OB1或OB35的干净版本的拷贝s7blk_write: 监测关于OB1/OB35的写请求，以保证他们的新版本也会被感染。s7blk_findfirst / s7blk_findnext: 这些例程被用于枚举PLC中的模块。恶意模块会被自动跳过。s7blk_delete: 监测对模块的“删除”操作。 如上文所述，Stuxnet 是一个非常复杂的威胁，而其中的PLC 感染代码令问题更加难以解决。仅仅关于注入的MC7代码（我们于几个月前通过逆向工程获得）就可以讨论很久。若想了解更多关于PLC 感染例程和Stuxnet的总体情况，请务必关注我们即将于Virus Bulletin会议中发布的白皮书。

编辑本段|回到顶部解决方案

      目前，冠群金辰公司的KILL防病毒系统最新版本已经可以检测并清除Stuxnet蠕虫及其变种病毒。用户只要安装KILL防病毒系统，将病毒库升级到最新版本（V36.1.7875），并开启实时监控功能，即可有效防范Stuxnet蠕虫病毒。

       安全建议：
      由于Stuxnet蠕虫病毒是首个针对工业控制系统编写的破坏性病毒，对大型工业、企业用户存在一定的风险，所以，冠群金辰公司病毒防护专家给企业用户提出如下安全防护建议，以提高企业抵御未知安全风险的能力：
在终端设备上开启防火墙功能。
为终端设备上所有的应用系统安装最新的补丁程序。
在终端上安装防病毒系统，设置为实时更新病毒库，并将病毒库升级到最新版本。
在终端上的用户设置最小用户权限。
在打开附件或通过网络接收文件时，弹出安全警告或提示。
在打开网络链接时，发出安全警告或提示。
尽量避免下载未知的软件或程序。
使用强口令，以保护系统免受攻击。

编辑本段|回到顶部卡巴斯基关于360解读超级工厂的声明

　　卡巴斯基实验室于2010年7月15日向全球公布了对 “Stuxnet”病毒（国内译成“震网”、“超级病毒”或“超级工厂”，以下称“超级工厂”）的技术分析，并于9月24日由其创始人及CEO尤金@卡巴斯基先生公布了更为深入的行业解读：

 　　1、“超级工厂”病毒采用了复杂的多层攻击技术，同时利用四种“零日漏洞”对微软操作系统进行攻击，利用两种有效的数字证书（Realtek和JMicron），让自己隐身。

 　　2、“超级工厂”的目的不像一般的病毒，干扰电脑正常运行或盗窃用户财产和隐私，其最终目的是入侵Simatic WinCC SCADA系统，该系统主要被用做工业控制系统，能够监控工业生产、基础设施或基于设施的工业流程。类似的系统在全球范围内被广泛地应用于输油管道、发电厂、大型通信系统、机场、轮船甚至军事设施中。 　　         3、“超级工厂”已然是网络武器，被用于攻击敌对方的有重要价值的基础设施。它标志着网络军备竞赛的开始。

 　　4、“超级工厂”的幕后团队是技术非常高超的专业人员，并且具有广泛的资源以及强大的财力做后盾，他们应该是得到了某个国家或政府机构的支持。

 　　对于这样一款标志着全球网络安全进入“基础设施保护时代”的恶性病毒，360不但没有做出任何得到微软承认的实质性贡献，却在10月2日，即卡巴斯基公布技术分析两个月后，发表了一份可谓“一派胡言”的官方新闻，声称“超级工厂”利用了“已知的”微软漏洞，更口出狂言：“因为有360系列安全软件的存在”，“中国已躲过‘超级工厂’病毒攻击” 。

 　　事实上，“超级工厂”利用的正是“未知的”微软漏洞（国际上通常称之为“零日漏洞”），也即它是在微软尚没有认识到该漏洞之前进行系统攻击的。因此，即使用户天天在用360打微软补丁，也无法防御这类攻击。专业安全软件厂商之所以能够存在，就是因为它能在微软发布漏洞补丁之前就能帮助用户抵御这类病毒，甚至是比微软更早的发现这些“未知”的漏洞。卡巴斯基是全球第一个发现“超级工厂”利用了两个最新的“零日漏洞”来进行攻击的专业安全厂商，比微软自身发现的还早，并在第一时间协助微软修复此漏洞，发布漏洞补丁。

 　　“超级工厂”之所以没有同步在中国大爆发，最根本的原因是“超级工厂”的幕后团队并没有在第一时间把中国当成攻击目标，并不是因为中国有多少人安装了360。如360宣称的那样，360依靠的是帮助用户打微软补丁防御“超级工厂”，这就意味着在微软发布补丁之前，360是没法防御“超级工厂”的。如果“超级工厂”第一时间就攻击中国，那么安装了360的3亿网民（360官方数据）将全部“沦陷”，无一能逃。

 　　卡巴斯基实验室认为，像360这样的非专业安全厂商，没有相应的技术和能力在第一时间截获“超级工厂”，不能对“超级工厂”这样的恶性病毒做出深入而合理的分析，是可以理解的。但是，360掩饰自己的不足，就“超级工厂”发表严重背离事实，混淆视听的官方新闻，是完全不能接受的。360的言论很容易让很多普通用户认为装了360就能抵御类似“超级工厂”这样的恶性病毒。如果长期容忍这种欺骗用户、不顾事实的假宣传在安全行业蔓延，那么整个中国的互联网安全形势将进一步恶化，越来越多的最终用户会因为得不到正确的安全知识和专业的安全保护而受到伤害，遭遇更大的损失。

 　　卡巴斯基实验室 　　2010年10月13日