安天實(shí)驗(yàn)室深度分析震網(wǎng)(Stuxnet)蠕蟲(chóng)病毒

近日，國(guó)內(nèi)外多家媒體相繼報(bào)道了Stuxnet蠕蟲(chóng)對(duì)西門(mén)子公司的數(shù)據(jù)采集與監(jiān)控系統(tǒng)SIMATIC WinCC進(jìn)行攻擊的事件，稱其為“超級(jí)病毒”、“超級(jí)工廠病毒”，并形容成“超級(jí)武器”、“潘多拉的魔盒”。

Stuxnet蠕蟲(chóng)(俗稱“震網(wǎng)”、“雙子”)在今年7月開(kāi)始爆發(fā)。它利用了微軟操作系統(tǒng)中至少4個(gè)漏洞，其中有3個(gè)全新的零日漏洞;偽造驅(qū)動(dòng)程序的數(shù)字簽名;通過(guò)一套完整的入侵和傳播流程，突破工業(yè)專用局域網(wǎng)的物理限制;利用WinCC系統(tǒng)的2個(gè)漏洞，對(duì)其開(kāi)展破壞性攻擊。它是第一個(gè)直接破壞現(xiàn)實(shí)世界中工業(yè)基礎(chǔ)設(shè)施的惡意代碼。據(jù)賽門(mén)鐵克公司的統(tǒng)計(jì)，目前全球已有約45000個(gè)網(wǎng)絡(luò)被該蠕蟲(chóng)感染，其中60%的受害主機(jī)位于伊朗境內(nèi)。伊朗政府已經(jīng)確認(rèn)該國(guó)的布什爾核電站遭到Stuxnet蠕蟲(chóng)的攻擊。

安天實(shí)驗(yàn)室于7月15日捕獲到Stuxnet蠕蟲(chóng)的第一個(gè)變種，在第一時(shí)間展開(kāi)分析，發(fā)布了分析報(bào)告及防范措施，對(duì)其持續(xù)跟蹤，并第一時(shí)間發(fā)布深度分析報(bào)告(見(jiàn)文末擴(kuò)展信息1)。截止至本文發(fā)布，安天已經(jīng)累計(jì)捕獲13個(gè)變種、 600多個(gè)不同哈希值的樣本實(shí)體。

一般情況下，蠕蟲(chóng)的攻擊價(jià)值在于其傳播范圍的廣闊性、攻擊目標(biāo)的普遍性。此次攻擊與此截然相反，最終目標(biāo)既不在開(kāi)放主機(jī)之上，也不是通用軟件。無(wú)論是要滲透到內(nèi)部網(wǎng)絡(luò)，還是挖掘大型專用軟件的漏洞，都非尋常攻擊所能做到。這也表明攻擊的意圖十分明確，是一次精心謀劃的攻擊。

這些漏洞并非隨意挑選。從蠕蟲(chóng)的傳播方式來(lái)看，每一種漏洞都發(fā)揮了獨(dú)特的作用。比如基于自動(dòng)播放功的U盤(pán)病毒被絕大部分殺毒軟件防御的現(xiàn)狀下，就使用快捷方式漏洞實(shí)現(xiàn)U盤(pán)傳播。

另一方面，在安天實(shí)驗(yàn)室捕獲的樣本中，有一部分實(shí)體的時(shí)間戳是今年3月。這意味著至少在3月份，上述零日漏洞就已經(jīng)被攻擊者掌握。但直到7月份大規(guī)模爆發(fā)，漏洞才首次披露出來(lái)。這期間要控制漏洞不泄露，有一定難度。

因此，安天實(shí)驗(yàn)室推斷攻擊者具有雄厚的財(cái)力和研究能力。

在我國(guó)，WinCC已被廣泛應(yīng)用于很多重要行業(yè)，一旦受到攻擊，可能造成相關(guān)企業(yè)的設(shè)施運(yùn)行異常，甚至造成商業(yè)資料失竊、停工停產(chǎn)等嚴(yán)重事故。

Stuxnet帶來(lái)的問(wèn)題不只如此。一般來(lái)說(shuō)，一種新的攻擊方法、攻擊思路和攻擊目標(biāo)出現(xiàn)，都會(huì)較長(zhǎng)時(shí)間帶來(lái)示范效應(yīng)，導(dǎo)致今后攻擊的重點(diǎn)從傳統(tǒng)的信息網(wǎng)絡(luò)向工業(yè)系統(tǒng)轉(zhuǎn)移。

對(duì)于Stuxnet病毒的出現(xiàn)，安天實(shí)驗(yàn)室并未感到十分意外。早在去年，安天實(shí)驗(yàn)室就接受用戶委托，對(duì)化工行業(yè)儀表的安全性展開(kāi)過(guò)研究，情況不容樂(lè)觀。

擴(kuò)展信息：

1. 安天實(shí)驗(yàn)室對(duì)Stuxnet蠕蟲(chóng)攻擊工業(yè)控制系統(tǒng)事件的綜合報(bào)告 ：

http://www.antiy.com/cn/security/2010/Report_On_the_Attacking_of_Worm_Struxnet_by_antiy_labs.htm

2. 西門(mén)子公司就此次攻擊給出的解決方案：

http://support.automation.siemens.com/WW/llisapi.dll?func=cslib.csinfo&objid=43876783

3. 微軟提供的補(bǔ)丁文件下載地址如下：

--RPC遠(yuǎn)程執(zhí)行漏洞(MS08-067)

http://www.microsoft.com/technet/security/bulletin/MS08-067.mspx

--快捷方式文件解析漏洞(MS10-046)

http://www.microsoft.com/technet/security/bulletin/MS10-046.mspx

--打印機(jī)后臺(tái)程序服務(wù)漏洞(MS10-061)

http://www.microsoft.com/technet/security/bulletin/MS10-061.mspx

4. 西門(mén)子公司給出的WinCC系統(tǒng)安全更新補(bǔ)丁的下載地址：

http://support.automation.siemens.com/

WW/llisapi.dll/csfetch/43876783/

SIMATIC_Security_Update_V1_0_0_11.exe?func=cslib.csFetch&nodeid=44473682

5. ATool管理工具下載地址：

http://www.antiyfx.com/download/atool.zip