透视APT之震网病毒

简介

    震网病毒是一种蠕虫病毒，其英文名为Stuxnet，最早于2010年由白俄罗斯安全公司VirusBlokAda发现并披露，而其最早的攻击至少追溯到2009年6月。

攻击区域

    从震网病毒（Stuxnet） 的攻击传播区域来看，震网病毒显然是一款以伊朗为主要攻击目标的木马病毒。根据赛门铁克和微软的相关研究报告可知，在已经确认的被震网病毒感染的全球工业控制系统中，将近 60% 的被攻击者位于伊朗，其次为印尼和印度分别被攻击数量占比为20%和10%。此外阿塞拜疆、美国与巴基斯坦有少量的被感染案例。

攻击目标

    从已知的攻击事件来看，震网病毒的最终攻击目标为摧毁核设施中的离心机设备。

传播方式

    震网病毒的传播方式，可以简单地概括为“广泛播种、重点突破” 。在攻击真正的目标之前，震网病毒首先在普通个人计算机上进行广泛传播，根据相关研究报告可知，震网病毒在个人主机上面的传播和潜伏事件长达一年之久且完全没有被任何的网络安全厂商的防护设备发现。

攻击原理

    当装有SIMATIC WinCC 系统的离心机控制系统主机感染震网病毒后，震网病毒首先会记录离心机正常运转时的数据，然后 将获取到的数据不断的重放到目标系统的监控设备中，使得工作人员误认为离心机已知在正常工作。与此同时，病毒会控制WinCC系统，并向离心机发送虚假的输入控制信号，从而导致离心机运转速度失控，最终达到令离心机瘫痪乃至报废的目的。

目的性明确

    震网病毒在目标攻击国家的个人PC上面的潜伏事件异常的长，首先震网病毒通过攻击一些民用的个人PC主机，然后经过漫长的潜伏和扩散，最后找到合适的时机一鼓作气侵入伊朗的核设施中。 可以看出震网病毒的在攻击的伊朗核设施的过程中具有很强的目的性，也就是说震网病毒在成功侵入伊朗境内的个人主机后并不会对该主机发起攻击，而是在这些肉鸡上面潜伏然后伺机而动，在确认自己（震网病毒）所处的计算机环境处于工业控制系统或核设施中时，才会对目标主机发起毁灭性攻击。

    从震网病毒对攻击目标的精确甄选中就可以看出，震网病毒攻击符合APT的攻击特点即攻击目的明确。

潜伏周期长

    对震网病毒的攻击技术进行分析可以确定，震网病毒的攻击者在策划针对伊朗核设施的攻击前，对伊朗核设施相关的情报做了大量的工作，确定伊朗核设施使用的工业控制系统的核心是西门子的工控系统，确定伊朗核设施离心机的特征才能在震网病毒中添加识别核设施的特征对震网病毒所处的环境进行精准的匹配，然后通过供应链攻击层层突破进入跟公网进行物理隔绝的伊朗核实施系统中实施攻击。 使得通过互联网对已经进行物理隔离的核设施进行远程攻击成为了可能。

身世之谜

    目前没有任何黑客组织公开宣称为震网病毒事件负责，但是国际舆论和学术界针对此事件有许多的观点。

（1）从病毒的设计原理来看，病毒攻击的目的十分明确，并且肯定不是以普通的个人为最终的攻击目标的。

（2）从病毒的技术水平来看，其代码的规模与复杂程度、漏洞利用的水平都远远超越了同时代的其他已知木马病毒。

（3）从病毒攻击的实际结果来看，很有可能是主要受害国的最主要的敌对势力所为。

思考

    震网病毒事件向全世界展示了一种全新的、国家间的战争形态------网络战争。尽管此前，网络战争的概念早已在各类科幻作品中屡见不鲜，但是震网病毒确是第一次把这一概念变成了现实。在今年爆发的俄乌网络冲突的攻击活动中，俄乌双方的网络攻击是继震网病毒攻击后的第二现实世界的网络战争，也是第一次大规模的国家之间的网络对抗。大规模摧毁性的网络攻击在现实世界中的破坏性丝毫不亚于常规的战争，甚至由于参战人员可以不受国籍、地空的限制对国家关键基础设施发起大规模摧毁性网络攻击的后果比真实世界中的战争带来的负面影响更大。

（1）震网病毒攻击的成功让我们不得不提高信息安全管理在一个组织内部的重要性；

（2）对传统的网络安全设备基于特征码的的查杀技术带来了新的挑战；

（3）使得APT攻击在被各国政府以及网络安全厂商所重视。

网络￥安全联盟站

欢迎大家加入学习，主要以网络技术和安全攻防为主，资料覆盖全面。

原文始发于微信公众号（夜组安全）：解密震网病毒