Stuxnet(stuxnet病毒)这是历史上第一个包含PLC Rootkit的计算机蠕虫Stuxnet,也是第一个已知的针对关键工业基础设施的蠕虫stuxnet。它的名字叫Stuxnet。Stuxnet病毒最早发布于2010年6月,大小约为500KB。平台感染Windows 200-Windows 7的NT内核系统,病毒灾区为伊朗。目标是摧毁工业设备,减缓伊朗核计划
。地震网络STUXNET在2009年卷土重来。在伊朗的纳坦兹,有一个“铀浓缩工厂”,大约8700台铀浓缩离心机在那里工作。结果,伊朗在几个月内更换了1-2,000台离心机,外界无法知道离心机损坏如此迅速的原因
地震网损坏了离心机,但答案就藏在“这些机器周围”,埋在纳坦兹电脑的磁盘和内存中。几个月前,2009年6月,有人悄悄释放了一种复杂且极具破坏性的蠕虫病毒,它在伊朗的电脑中传播,目的只有一个——摧毁伊朗的铀浓缩计划,阻止伊朗发展核武器。但直到一年后,这种蠕虫才浮出水面,它被命名为“Stuxnet”。2010年6月17日,当谢尔盖·乌拉森在白俄罗斯的办公室里阅读电子邮件时,一篇报道引起了他的注意。一台属于伊朗客户的计算机陷入重启循环。尽管管理员努力控制它,计算机还是关闭并重新启动了几次。这台机器似乎感染了病毒。Urasan的研究团队已经掌握了感染这台电脑的病毒,并意识到该病毒正在通过利用“0day”漏洞进行传播。0day漏洞是黑客世界中最强大的武器:他们利用软件制造商或防病毒供应商不知道的软件漏洞。极其罕见:找到这些漏洞并加以利用需要相当的技巧和毅力。每年,在反病毒研究人员发现的数千万件恶意软件中,只有少数能够利用0DAY漏洞。
0DAY漏洞Stuxnet利用0DAY漏洞,让病毒通过被感染的移动存储设备,从一台电脑巧妙地传播到另一台电脑。该漏洞存在于Windows的LNK快捷方式中,该快捷方式是Microsoft Windows的基本组件。当被感染的移动存储设备插入计算机,Windows Explorer扫描设备内容时,漏洞代码被唤醒,并秘密向计算机传输部分加密的文件,就像军用运输机向目标区域投掷伪装的士兵一样。Ulasen联系微软报告了该漏洞,并在安全论坛的帖子中公开了这一发现。世界各地的反病毒公司争相解构该病毒,并以一些文件名(。stub和mxNet.sys)。在全球所有反病毒公司对“Stub”的分析下,证明该病毒早在2009年6月就开始在外界传播,其神秘的创建者随着时间的推移对其进行了更新和改进,并发布了三个值得注意的是,该病毒的其中一个驱动文件使用了从台湾省的硬件厂商RealTek Semiconductor(瑞宇)窃取的有效签名证书,来欺骗系统确定该恶意软件是来自RealTek的可信程序。
瑞宇半导体微软很快撤销了证书。然而,反病毒公司从地震网找到了第二个有效的数字签名证书。该证书来自台湾省的一家电路制造商Smart Microchip,其总部与睿宇位于同一个商业园区。这是巧合吗,震网?闯入公司偷证算不算攻击?还是黑客远程攻击了他们,拿到了数字证书签名密钥?没人知道stuxnet!不过在其他方面,Stuxnet在被感染的电脑上似乎很有规律。该病毒针对西门子WinCC Step7软件,是德国西门子集团制造的工业控制系统,用于编程控制器,应用于从食品厂、汽车装配线、天然气管道、水处理厂等各个领域的电机、阀门、开关等。
西门子工控系统不是传统黑客的目标,因为黑他们没有明显的经济利益。看起来它只是从系统中窃取配置和设计数据,看起来像一个工业间谍案件。但是...。Shocknet从来没有这么简单。Shocknet每感染一个系统,就会“呼叫”两个托管在马来西亚和丹麦的服务器——报告被感染机器的信息。包括机器的内部和外部IP地址、计算机名称、操作系统和版本,以及机器上是否安装了西门子Simatic WinCC Step7软件。并且可以指挥控制被感染的电脑,比如更新震网,增加功能,甚至在系统上安装更多的恶意文件。这两个域名的DNS提供商已经限制了传入流量,以防止它到达攻击者。赛门铁克联系了dns提供商并转交了解决方案。一周后,赛门铁克收到了来自几十个国家的大约40,000台计算机的感染信息。预计几天后人数将飙升至10万以上。
马来西亚的服务器把这些被感染电脑的地理位置绘制成分布图,出现了一个奇怪的现象。在最初的38,000例感染中,大约22,000例发生在伊朗。远远领先于印度尼西亚的6700例,其次是印度的3700例。美国不到400家。在这38,000个案例中,只有少数机器安装了西门子step7软件——其中217个在伊朗,16个在美国。这个数据很奇怪——伊朗从来没有在计算机病毒感染统计中排名如此之高,通常韩国和美国因为拥有最多的互联网用户而一直位居榜首。即使在以中东或中亚为中心的电脑疫情中,伊朗也从未排名如此靠前。显然,伊朗是“震网”感染的中心。各种因素的叠加,让“Stuxnet”看起来像是一种网络武器,甚至可能是美国的网络武器。
网络武器随着对病毒的进一步解构和监测,研究人员发现,除了LNK漏洞,Stuxnet还利用了其余三个0DAY漏洞。第二个是Windows打印服务漏洞,它在使用共享打印机的机器之间传播。第三和第四个漏洞攻击Windows键盘文件和计划任务事件中的漏洞,从而提升攻击者对计算机的权限并完全控制它。此外,Stuxnet还利用了西门子在其Step7软件中硬编码的静态密码。让它访问并感染托管数据库的服务器,并从那里感染连接到该服务器的其他计算机。还发现,每次传播时,被地震台网感染的每个系统的IP和时间戳都会被记录在自身中。这使得追溯到最初被感染的计算机成为可能。经过分析,攻击者将他们的攻击集中在五个伊朗组织的计算机上,这些计算机在2009年6月和7月以及2010年3月、4月和5月再次受到不同感染的反复打击。这包括纳坦兹核浓缩厂的铀离心机
STUXNET震网病毒,使被感染的伊朗IR-1离心机从正常运行速度1064HZ增加到1410HZ,持续15分钟,然后恢复正常频率。27天后,地震网再次行动,将被感染的离心机运行速度减慢到几百赫兹,持续50分钟。过度和缓慢的压力会导致铝离心管膨胀,迫使一些离心机相互接触,并对机器造成损坏。这些损害可能会使伊朗的核计划推迟两年。谁创造了如此复杂的“震网病毒”?各大安全厂商认为,如此复杂危险的恶意程序,不是个人或者非政府组织能开发出来的,但有可能是某个国家支持的。直到今天,地震网的始作俑者仍未浮出水面,但国与国之间的网络战才刚刚开始。