当前位置:>首页 > 全部资讯 > 互联网 > 正文
互联网

安天实验室深度分析震网(Stuxnet)蠕虫病毒

2010-09-29 10:58:50  来源:

  (联合电讯/北京)--近日,国内外多家媒体相继报道了Stuxnet蠕虫对西门子公司的数据采集与监控系统SIMATIC WinCC进行攻击的事件,称其为超级病毒超级工厂病毒,并形容成超级武器潘多拉的魔盒

  Stuxnet蠕虫(俗称震网双子”)在今年7月开始爆发。它利用了微软操作系统中至少4个漏洞,其中有3个全新的零日漏洞;伪造驱动程序的数字签名;通过一套完整的入侵和传播流程,突破工业专用局域网的物理限制;利用WinCC系统的2个漏洞,对其开展破坏性攻击。它是第一个直接破坏现实世界中工业基础设施的恶意代码。据赛门铁克公司的统计,目前全球已有约45000个网络被该蠕虫感染,其中60%的受害主机位于伊朗境内。伊朗政府已经确认该国的布什尔核电站遭到Stuxnet蠕虫的攻击。

  安天实验室于715日捕获到Stuxnet蠕虫的第一个变种,在第一时间展开分析,发布了分析报告及防范措施,对其持续跟踪,并第一时间发布深度分析报告(见文末扩展信息1)。截止至本文发布,安天已经累计捕获13个变种、 600多个不同哈希值的样本实体。

  一般情况下,蠕虫的攻击价值在于其传播范围的广阔性、攻击目标的普遍性。此次攻击与此截然相反,最终目标既不在开放主机之上,也不是通用软件。无论是要渗透到内部网络,还是挖掘大型专用软件的漏洞,都非寻常攻击所能做到。这也表明攻击的意图十分明确,是一次精心谋划的攻击。

  这些漏洞并非随意挑选。从蠕虫的传播方式来看,每一种漏洞都发挥了独特的作用。比如基于自动播放功的U盘病毒被绝大部分杀毒软件防御的现状下,就使用快捷方式漏洞实现U盘传播。

  另一方面,在安天实验室捕获的样本中,有一部分实体的时间戳是今年3月。这意味着至少在3月份,上述零日漏洞就已经被攻击者掌握。但直到7月份大规模爆发,漏洞才首次披露出来。这期间要控制漏洞不泄露,有一定难度。

  因此,安天实验室推断攻击者具有雄厚的财力和研究能力。

  在我国,WinCC已被广泛应用于很多重要行业,一旦受到攻击,可能造成相关企业的设施运行异常,甚至造成商业资料失窃、停工停产等严重事故。

  Stuxnet带来的问题不只如此。一般来说,一种新的攻击方法、攻击思路和攻击目标出现,都会较长时间带来示范效应,导致今后攻击的重点从传统的信息网络向工业系统转移。

  对于Stuxnet病毒的出现,安天实验室并未感到十分意外。早在去年,安天实验室就接受用户委托,对化工行业仪表的安全性展开过研究,情况不容乐观。

  扩展信息:

  1. 安天实验室对Stuxnet蠕虫攻击工业控制系统事件的综合报告 :

  http://www.antiy.com/cn/security/2010/Report_On_the_Attacking_of_Worm_Struxnet_by_antiy_labs.htm

  2. 西门子公司就此次攻击给出的解决方案:

  http://support.automation.siemens.com/WW/llisapi.dll?func=cslib.csinfo&objid=43876783

  3. 微软提供的补丁文件下载地址如下:

  --RPC远程执行漏洞(MS08-067)

  http://www.microsoft.com/technet/security/bulletin/MS08-067.mspx

  --快捷方式文件解析漏洞(MS10-046)

  http://www.microsoft.com/technet/security/bulletin/MS10-046.mspx

  --打印机后台程序服务漏洞(MS10-061)

  http://www.microsoft.com/technet/security/bulletin/MS10-061.mspx

  4. 西门子公司给出的WinCC系统安全更新补丁的下载地址:

  http://support.automation.siemens.com/

    WW/llisapi.dll/csfetch/43876783/

    SIMATIC_Security_Update_V1_0_0_11.exe?func=cslib.csFetch&nodeid=44473682

  5. ATool管理工具下载地址:

  http://www.antiyfx.com/download/atool.zip

 

   北京安天电子设备有限公司简介

    安天是国家级网络安全应急服务支撑单位,参与过2008北京奥运网络安保工作,每年承担包括863项目在内的大量国家级科研课题,拥有一套完备的病毒捕获、分析流水线体系。多年来,先后在红色代码、振荡波等病毒的预警和处置中,发挥了关键作用。另外,安天是国内领先的设备级反病毒引擎技术供应商,产品原销日美,其中包括PA及富士施乐等知名企业。目前,中国排名前四的专业防火墙/UTM厂商中有两家使用安天的反病毒引擎。
    网 址:http://www.antiy.com
上一篇:域名大佬纷纷转型创业 或引起域名投资者创业潮
下一篇:互联网呈现规模报酬递增经济 体系已然成熟