360安全中心：Stuxnet僅是工業(yè)間諜木馬的冰山一角

近日來，一個名為“Stuxnet超級工廠”的惡意程序名聲大噪。外媒報道稱，Stuxnet侵入了伊朗核電站的計算機(jī)系統(tǒng)，進(jìn)行遠(yuǎn)程控制和破壞，并由此引發(fā)人們對電力、石油、鋼鐵等重要工業(yè)設(shè)施安全的擔(dān)憂。對此，360安全專家石曉虹博士表示，Stuxnet是第一例公開曝光的工業(yè)間諜木馬，類似的工業(yè)間諜和商業(yè)間諜木馬其實并不在少數(shù)。

石曉虹介紹說，間諜木馬大多有兩個特征，第一是挖掘利用0day漏洞，為自己侵入攻擊目標(biāo)找到秘密通道；第二是盜用正規(guī)軟件的數(shù)字簽名，提高自身的隱藏能力。“Stuxnet最早出現(xiàn)在今年7月，它利用了快捷方式0day漏洞（LNK漏洞），通過U盤等USB設(shè)備傳播，并盜用Realtek和JMicron兩家知名硬件廠商的數(shù)字簽名進(jìn)行偽裝。”

“Stuxnet的威脅體現(xiàn)在多樣化的傳播途徑，包括LNK漏洞（MS10-046）的U盤感染、遠(yuǎn)程蠕蟲攻擊（MS08-067）、以及文件和打印機(jī)共享遠(yuǎn)程攻擊（MS10-061），目前這些漏洞都已經(jīng)得到微軟官方修復(fù)，網(wǎng)民只要按360安全衛(wèi)士的提示打好補丁就能有效防范。而且，目前360等主流安全軟件均能檢測查殺‘Stuxnet超級工廠’。”石曉虹說。

對于Stuxnet惡意程序攻擊破壞工業(yè)設(shè)施的行為，石曉虹表示，Stuxnet特別針對西門子SIMATIC WinCC SCADA系統(tǒng)編寫了破壞性指令，而這套系統(tǒng)被廣泛應(yīng)用于國內(nèi)外的重要工業(yè)設(shè)施。為了防范Stuxnet間諜木馬竊取數(shù)據(jù)和實施破壞，相關(guān)行業(yè)的計算機(jī)系統(tǒng)應(yīng)重視安全防御工作，及時修復(fù)漏洞并做好嚴(yán)格的安全部署。

明槍易躲，暗箭難防。在石曉虹看來，已經(jīng)在光天化日下曝光的Stuxnet并不可怕，真正應(yīng)該警惕的是大量隱蔽潛伏的間諜木馬，包括各個企事業(yè)單位，都應(yīng)該特別重視內(nèi)網(wǎng)的信息安全。他說：“360安全中心監(jiān)測到，一些國內(nèi)網(wǎng)民最常用的軟件中存在嚴(yán)重的安全漏洞，并且已經(jīng)被黑客利用。而這些軟件自身又不具備檢測和修復(fù)漏洞的能力，如果在企事業(yè)內(nèi)網(wǎng)中任由員工電腦使用安全性薄弱的軟件，很可能造成信息泄露的嚴(yán)重后果。”

據(jù)悉，360安全中心在7月17日國內(nèi)率先捕獲Stuxnet惡意程序樣本（中文命名為“假面”木馬），并第一時間升級木馬防火墻進(jìn)行攔截，在微軟于8月3日發(fā)布補丁修復(fù)LNK漏洞前，共為用戶攔截30余萬次Stuxnet木馬攻擊。