震网病毒攻击事件跟踪分析和思考.doc

1、震网”病毒攻击事件跟踪分析和思考仇新梁董守吉国家保密科学技术研究所于攻击WinCC系统）的病毒文件拷贝到其中。据 报道，负责布什尔核电站建设的俄罗斯工程技术 人员所使用的U盘就是“震网”病毒传播的罪魁祸 首。据分析，“震网”病毒可能是通过两种途径 感染到工程技术人员的U盘上：一是攻击者通过互 联网电子邮件捆绑病毒这一定点攻击技术入侵到 俄罗斯工程技术人员的外网计算机，并进而感染 其使用的U 盘；二是在U 盘的生产制造、销售环节 将病毒植入其中。2010年，“震网”成为安全圈里一个耳熟 能详的名词，至今人们依然在认真地对其进行分 析，我们也不例外。通过结合各方面的资料并作 进一步技术分析，我们

2、得到以下结论：“震网” 病毒攻击事件具有国家行为和规模网络战的性 质；物理隔离的信息系统若不注重安全，也存在 被攻击的隐患。1 “震网”病毒攻击方法简介“震网”病毒（英文名称为St uxnet ）是一 款针对西门子工业控制软件SIMA TIC WinCC进行 攻击的特种病毒。SIMA TIC WinCC作为一种广泛 用于电力、水利、运输、钢铁、化工、石油、汽 车等关键工业领域的数据采集与监控（SCADA） 系统，是伊朗布什尔核电站的核心业务应用软件 之一。由于布什尔核电站内网与互联网物理隔 离，攻击者采用了首先感染核电站建设人员使用 的互联网计算机或U 盘，再通过U 盘交叉使用侵入 到物理隔离

3、的内网，然后通过内网扩散技术找到 WinCC服务器，最后再实施破坏性攻击的战术。 其详细攻击步骤与方法如下。1.2 通过U盘交叉使用侵入核电站物理隔离的内网在 俄罗斯工程技术人员将感染了“震网”病 毒的外网U盘插入到布什尔核电站内部网络中的计 算机上使用时，就会触发一个被微软命名为MS10-046的漏洞Win d o w s文件快捷方式解析漏洞。 该漏洞会将攻击代码从U盘传播到内网计算机上， 从而实现所谓的“摆渡”攻击，即利用移动存储介 质的交叉使用实现了对物理隔离网络的渗透。1.3 通过内网扩散技术找到攻击目标WinCC服务器1.1 首先感染核电站建设人员使用的互联网计算机或U盘为了找到最终

4、攻击目标，“震网”病毒采取 双管齐下的策略，从两个途径进行内网扩散。一 是从网络途径，利用RPC远程执行漏洞（MS08- 067）和打印机后台程序服务漏洞（M S 10- 061） 进行传播；在利用MS0 8 -0 6 7 这一漏洞时，如果权 “震网”病毒一个显著的特点就是会自动搜 索计算机中的U 盘等可移动存储设备，并将含有6 个漏洞攻击代码（其中4 个用于感染传播，2 个用 2011 年 5 月 | 保密科学技术 | 35研究所专栏C o l u m n o f I n s t i t u t e 专业的队伍进行分工协作才能完成。三是使用 知 名 音 频 芯 片 供 应 商 瑞 昱 半 导

5、 体 公 司 （ R e a lt e k Se mi c onduc t or C orp .） 2 0 1 0 年 1 月2 5 日 刚被 注 销的软件数字签名来躲避杀毒软件，而捕获的样 本显示病毒文件的时间戳是2 0 1 0 年3 月，这表明 制作团队具有很强的信息获取能力。上述情况表 明，“震网”病毒呈现出了高级攻击能力，其幕 后 团 队 应 该 是 技 术高超的专业人员，并且具有广 泛的资源做后盾。限不够导致失败，还会使用一个至今微软都未公 开解决方案的漏洞来提升自身权限，然后再次尝 试攻击。二是从介质途径，利用上面提到快捷方 式文件解析漏洞（MS1 0 -0 4 6 ）进行传播。上

6、述4 个漏洞，除MS08-067外，其余3个漏洞皆为“零 日”漏洞。1.4 找到目标后实施破坏性攻击在找到安装有W i nC C 软件的服务器后，“震 网”病毒再使用WinCC中的两个“零日”漏洞实 施最后的攻击。一是利用WinCC系统中存在一个 硬编码漏洞，获取到数据库的默认账户名和口 令，对系统中的核心数据进行破坏；二是利用 WinCC系统中一个名为“Step7”的工程文件在 加载动态链接库时的缺陷，将系统中的核心文件 s7ot bxdx.dll进行替换，实现对工业控制系统中控 制代码的接管，让离心机电流的频率加快，最终 使电流的频率达到1410赫兹，从而导致离心机无 法浓缩铀而报废。20

7、10年9月27日，伊朗国家通 讯社向外界证实布什尔核电站已经遭到攻击。伊 朗布什尔核电站原定于2010年8月开始运行，直到 2010年11月27日才对外宣布开始运行。2.2 目标明确，战术清晰，具有典型网络战性质在实现对布什尔核电站工业控制系统进行 破坏的过程中，“震网”病毒表现出来了很高的 战术素养。一是攻击目标明确，“震网”病毒攻 击对象直指WinCC 6 .2 和WinCC 7 .0 两种版本，并 只在Win d ow s 2000、Win d ow s S erver 2000、 Windows XP、Windows Server 2003、Windows Vist a、Windows

8、 7 、Windows Server 2 0 08 中运 行， 一旦发 现自 己运行 在非W i ndows N T 系列 操 作系统中就立刻退出。二是攻击思路清晰，即先 从核电站建设人员身上寻找突破口，感染其外部 主机，然后感染其U盘，并利用“零日”攻击漏洞 渗透到物理隔离的内网；进入到内网后，再通过1 个公开漏洞和2 个“零日”攻击漏洞进行扩散，最 后抵达安装有WinCC软件的主机，展开攻击。三 是攻击手法周全，为了确保攻击成功，该病毒还 采取了类似战场预备队的做法，在关键环节都采 取“双保险”措施：在感染和传播扩散环节，网 络和介质两种途径并用；在漏洞利用环节，同时 使用公开和未知两类漏

9、洞，并且针对利用MS0 8 -067这个公开漏洞可能失败的情况还给出了补救方 案；在破坏环节，既对核心数据也对关键硬件设 备进行破坏。2 “震网”病毒攻击事件分析“震网”病毒由于其高复杂度和目的性，无 疑成为信息安全史上一个重要事件。总的来讲， 该事件具有以下特点。2.1 技术高超，攻击性强，属于典型的国家行为各种方面的情况表明，“震网”病毒攻击事 件绝非是黑客所为，应该是国家行为，或者说是 “受国家资助的团队”所为。一是“震网”病毒 至 少 利 用 了 6 个漏洞发动 攻击，其中 有5 个为“零 日”攻击漏洞：3 个为Windows操作系统全新漏 洞，2个为工业控制专用程序WinCC软件未公

10、开 漏洞。能够挖掘出这么全新的一批漏洞并且在 一次攻击事件中集中使用，这是大多数黑客组织 很难有能力做到的事情。二是综合采用RootK it 技 术、 内核 态驱 动程 序 技术 、用 户 态Hook AP I 技术对病毒文件进行隐藏和保护，这需要一支 2.3 战略意图明显，旨在破坏核电站的正常生产，意在展现实力和发出警告针 对 工业控制网络的攻击，可能破坏正常 温 度 与 压力测控，导致超温或超压，最终就会 导 致 冲料、起火甚至爆炸等灾难性 事 故 ， 造 成 次 生 灾 害 和 人道主义灾难。但是从病毒的名称“震 网”，攻击时机选择在布什尔核电站投入运行前，36 | 保密科学技术 | 2

11、011 年 5 月研究所专栏C o l u m n o f I n s t i t u t e 只对系统正常运转进行破坏，以及布什尔核电站延迟 3 个月后就宣布运行的情况来看，该攻击事件 的战略意图是对核电站的正常 生 产 进 行 干 扰 和 破 坏，其主要目的还是展现实力和发出警告。络安全策略，网络建设前制定一套安全基线，并 参照实施。涉密网的技术防护应高于互联网技术防 护，实现系统勤打补丁、不启用任何弱口令和默认 口令、介质使用管理、异常检测等基本网络防护措 施。“震网”病毒之所以成功，主要由于基础网络 单一，为病毒的迅速扩散提供了基本环境。3 技术应对策略与解决方案“震网”病毒在肆虐并被

12、公开后，无论是政 府还是安全厂商都提出诸多解决方案。病毒本身 的查杀可以通过专杀工具和手工清除完成。这种事后应急处理只能说是“亡羊补牢”， 要防御类似的攻击，减少被攻击的风险，建议采 取以下解决方案。4 网络安全管理的建议信息保密性一直是我国涉密网保护的重点， 但“震网”病毒攻击事件提醒我们，若“震网” 病毒的目标不是伊朗核设施，而是我国的政府内 网或者关系国民经济的重要网络，同样能够造成 无法估量的巨大损失。因此即使是在物理隔离的 情况下，涉密网也可能遭到敌对势力的攻击破 坏，因此必须重视我国党政机关和涉密单位的信 息保障能力建设问题，建议如下。3.1 增加零日漏洞研究，防患于未然“震网”病

13、毒攻击事件后，工业级的控制软 件的安全逐步得到大家的重视，通过挖掘发现存 在大量的零日漏洞。例如2011年3月，US -CERT 控制系统安全小组就通告，在S iemen s公司、 Iconics公司、7-Technologies公司和RealFlex T e c h nolog i e s 公司的多款 SC ADA（数据采集与 监 控控制系统）产品，Broad Win公司的人机交互产 品中出现3 5 个可以远程攻击的漏洞，目前漏洞利 用代码已经公开。SCADA系统被广泛用于石油、 电力、水利、化工、天然气、食品加工等工业领 域，承担着数据采集、监视控制等各种任务，是 目前应用最广、技术发展最

14、成熟的工业控制系 统。因此漏洞挖掘需要大发展，不将隐患藏起来 才能实现真正意义上的安全。4.1 继续加大对信息单向导入技术的研究应从确保涉密网的保密性、完整性和可用性 等各个方面加大对信息单向导入技术的研究，以 应对可能出现的攻击。4.2 从涉密网和外网两个方面协调进行我国党政机关和涉密单位的信息保障能力建设我国党政机关和涉密单位普遍存在涉密网和 外网两套物理隔离的网络。由于分属不同的国家 部门主管，其建设使用单位很少将它们的安全性 作为一个整体来考虑。但“震网”病毒攻击事件 表明，外网的问题将会影响内网的安全。因此， 我国党政机关和涉密单位的信息保障能力建设， 应该从涉密网和外网两个方面协调

15、进行。3.2 增加攻防投入，建立重要网络应急响应队伍网络攻击作为网络防护的基础，应建立一种 类似西方国家实战演习的工作模式，定期进行内 外网的攻击演练，发现网络中、制度上的薄弱环 节。建立重要网络应急响应队伍主要实现保重 点、保要害的目标，对重要网络进行监测和应急 处理，采用技术手段实现攻击反制和灾难恢复。 4.3 重要涉密网应考虑采用自主可控的信息设备与产品“震网”病毒攻击事件让人眼花缭乱的攻击 手法，以及似乎信手拈来的“零日”攻击漏洞，都 让人不寒而栗。对架构在微软、英特尔WinTel基 础和X86环境上的我国涉密网来说，几乎没有什么 安全可言。对此，我们应该积极采取应对措施，在 重要涉密网中考虑采用自主可控的专用信息设备与3.3 丰富网络构架，防止网络防护千篇一律网络建设过程中一定要根据自身特点制定网 产品。2011 年 5 月 | 保密科学技术 | 37