工控安全之震网病毒(一)

发表时间: 2017-01-17 00:00:00

作者: 英赛克科技(北京)有限公司

浏览:

震网病毒发现的始末

1、计算机不正常的重启

2010年6月,伊朗一家软件供应商多次接到客户的售后服务请求,因为客户安装的计算机经常出现蓝屏死机、无故重启等异常情况。供应商却找不出导致异常的原因,于是委托白俄罗斯一家反病毒公司查找问题。调查之初,反病毒公司也以为是计算机配置出了问题,可是重新安装操作系统之后这种问题仍然没有被解决,而且随后深入调查发现并非一台计算机出现这样的问题。


2、 发现可疑文件

研究员仔细检查电脑上的文件之后,发现了几个可疑文件。经过检测发现可疑文件竟然具有“内核级”权限的漏洞利用程序(这种漏洞利用程序可以避开反病毒软件的扫描,利用这种优势计算机漏洞利用程序可以与恶意软件“内外勾结,里应外合”)。进一步研究发现,U盘上携带的恶意文件可以利用漏洞程序来实现隐藏。我们都知道, Windows系统检测到U盘或其他移动存储介质接入时,资源管理器就会自动扫描其中的.lnk文件来实现对存储介质图标的渲染,来显示各种格式的文件,如音乐文件、Word文档等。漏洞利用程序就是被植入到了.lnk文件中,当Windows扫描U盘时,漏洞利用程序就隐秘地将U盘上的恶意文件导入到计算机上。但是,研究人员在微软官方补丁库中没有找到相应补丁程序。这时候研究人员意识到这些可疑文件携带的漏洞利用程序很可能是“零日漏洞”,紧接着研究人员又相继证实了恶意文件中同时还存在其它几个零日漏洞。这让研究人员感到很震惊。


3、拥有数字权限

研究人员在对病毒使用的“零日漏洞”感到震惊的同时也发现,被注入到计算机上的驱动程序,在没有弹窗的情况下完成了自身安装。根据Windows操作系统安全特性要求,驱动程序必须具有合法的数字签名(经过认证的安全文件)才可以在Windows上自动安装,否则会有安全告警拦截窗弹。但是病毒携带的恶意程序没有遇到这个问题!研究人员仔细检查恶意文件之后发现,病毒携带的驱动文件中含有一家台湾公司的合法数字签名。这也就解释病毒驱动程序为什么可以自行安装而没有被拦截。病毒怎么会有合法的数字签名呢?是有意发动的攻击呢?还是签名被盗?


4、不断更新的攻击手段

病毒的这些特点被研究人员发现后,迅速引起了安全界的讨论,纷纷将病毒特征码加到入反病毒引擎中,随即数以万计的病毒被发现。其中2010年7月17日,斯洛伐克一家安全公司发现了一个恶意驱动程序。该驱动程序同样带有合法的的数字签名,该数字签名属于台湾智微科技。研究人员发现该驱动程序文件与白俄罗斯安全公司发现的驱动程序文件高度相似。令人不可思议的是文件的编辑日期显示,该恶意驱动程序文件在7月14日(白俄罗斯安全公司在7月12日将震网病毒的信息公布到网上)被人编辑过。研究人员推测攻击者在明知震网病毒被发现之后,仍然推出了新的驱动程序。这种对病毒升级的做法可能意味着攻击者还没有达到预期的攻击目的。那么病毒的攻击目的到底是什么呢?


5、病毒的目的,只是间谍软件吗?

研究人员不断的的检测着客户发来的的病毒文件,让他们感到吃惊的情况又出现了。根据文件的时间标记,震网病毒先后在2009年6月、2010年3-4月和2010年6月发起了三个波次的攻击,而且每一波攻击所用的代码都略有不同。震网病毒到底在干什么呢?研究人员发现震网病毒没有试图盗取信息或者是攻击金融系统获取利益。研究人员深入研究发现,病毒在寻找安装有西门子公司SIMATIC Step 7或SIMATIC WINCC这两种西门子专有软件的计算机。至此,研究人员推测震网病毒只是攻击安装了西门子专用软件的计算机。但是研究人员发现在伊朗出现反复重启的计算机上并没有安装西门子软件,而且除了系统被破坏之外,震网并未引发持续性的伤害。这让研究人员感到很困惑,因为根据病毒产生的逻辑来看,病毒攻击会有一定的背景、动机、意图、和能力,但这些在震网病毒的研究中都没有得到很好地解释。震网病毒留下的这些谜团,让一些安全从业者产生了很深的好奇。推动研究人员去搞明白,震网病毒都干了些什么。

事实上在震网病毒被发现后,微软开始了漏洞修复工作,而安全界多数公司也都已经将病毒的特征码加入到了公司的病毒库中。看起来震网病毒,好像已经结束了它的使命。


6、直指伊朗铀浓缩控制系统

2010年7月20日,赛门铁克公司通过“槽洞”技术(该技术利用DNS服务,将互联网上的管理数据导向指定的地址),截取了震网病毒向上级系统反馈的数据流量。通过对数据的分析发现,病毒感染了全球100多个国家近10万台计算机,而且令人震惊的是,震网病毒仍然在快速传播着。虽然反病毒公司已经公布了最新的病毒特征码和杀毒工具,但是大量用户显然并没有及时更新杀毒软件!研究人员从震网感染的计算机分布位置发现,多数计算机都与伊朗几家核电站设备供应商所在公司的计算机有联系。另外,研究人员注意到早在2009年12月-2010年1月,国际原子能机构IAEA(简称IAEA)核查人员就发现,伊朗纳坦兹铀浓缩工厂的离心机报废率出奇的高。2009年IAEA调查发现,伊朗纳坦兹铀浓缩工厂大概安装了8700台离心机。根据前几年的观测表明,正常情况下纳坦兹一年会有10%左右的离心机会被替换掉。可是,实际上在2009年底的两个月里纳坦兹工厂更换了大概2000台报废的离心机!很明显铀浓缩工厂出了问题,但是具体是什么问题?伊朗人也没有解释,IAEA核查人员无权过问,外界也就不得而知了。


7、该如何保护工业控制系统的安全呢?

当研究人员,将他们的研究结果和推测发布之后,引发了安全界对工业控制系统安全的深入讨论。谁也不知道类似震网病毒这种带有一定战略目的的网络攻击事件被发现之后,将会给其他旁观者带来什么样的深远影响呢?(未完待续)


(本文所述部分内容借鉴安全牛转述的部分资料)



联系方式

地址:北京市昌平区龙域中街1号院龙域中心A座705室

电话:010-81776666

销售邮箱:Sales@insec-tech.com.cn

售后邮箱:Support@insec-tech.com.cn

友情链接

关注我们

图片展示

英赛克微信公众号

copyright © 英赛克科技(北京)有限公司 版权所有 京ICP备15041839号

在线咨询

您好,请点击在线客服进行在线沟通!

联系方式
热线电话
010-81776666
扫一扫二维码
二维码
添加微信好友,详细了解产品
使用企业微信
“扫一扫”加入群聊
复制成功
添加微信好友,详细了解产品
我知道了