超级工厂(stuxnet病毒) 火焰病毒 暴雷漏洞 各是什么东西? 什么是超级工厂病毒?用什么杀软可以查杀?
\u4ec0\u4e48\u662f\u8d85\u7ea7\u5de5\u5382\u75c5\u6bd2?Stuxnet\u8815\u866b\u75c5\u6bd2\uff08\u8d85\u7ea7\u5de5\u5382\u75c5\u6bd2\uff09\u662f\u4e16\u754c\u4e0a\u9996\u4e2a\u4e13\u95e8\u9488\u5bf9\u5de5\u4e1a\u63a7\u5236\u7cfb\u7edf\u7f16\u5199\u7684\u7834\u574f\u6027\u75c5\u6bd2\uff0c\u80fd\u591f\u5229\u7528\u5bf9windows\u7cfb\u7edf\u548c\u897f\u95e8\u5b50SIMATIC
WinCC\u7cfb\u7edf\u76847\u4e2a\u6f0f\u6d1e\u8fdb\u884c\u653b\u51fb...
\u8be6\u60c5\u4ecb\u7ecd\uff1a
http://blog.tianya.cn/blogger/post_show.asp?idWriter=18069137&Key=441120415&PostID=26820192&BlogID=2292776
\u9996\u5148\uff0c\u7ed9\u4f60\u8bb2\u4e00\u4e0b\u8d85\u7ea7\u5de5\u5382\u75c5\u6bd2\u3002\u8d85\u7ea7\u5de5\u5382\u75c5\u6bd2\uff0c\u6839\u636e\u745e\u661f\u5b89\u5168\u4e13\u5bb6\u4ecb\u7ecd\uff0cStuxnet\u8815\u866b\u75c5\u6bd2\u662f\u4e16\u754c\u4e0a\u9996\u4e2a\u4e13\u95e8\u9488\u5bf9\u5de5\u4e1a\u63a7\u5236\u7cfb\u7edf\u7f16\u5199\u7684\u7834\u574f\u6027\u75c5\u6bd2\uff0c\u80fd\u591f\u5229\u7528\u5bf9windows\u7cfb\u7edf\u548c\u897f\u95e8\u5b50SIMATIC WinCC\u7cfb\u7edf\u76847\u4e2a\u6f0f\u6d1e\u8fdb\u884c\u653b\u51fb\u3002\u7279\u522b\u662f\u9488\u5bf9\u897f\u95e8\u5b50\u516c\u53f8\u7684SIMATIC WinCC\u76d1\u63a7\u4e0e\u6570\u636e\u91c7\u96c6 (SCADA) \u7cfb\u7edf\u8fdb\u884c\u653b\u51fb\uff0c\u7531\u4e8e\u8be5\u7cfb\u7edf\u5728\u6211\u56fd\u7684\u591a\u4e2a\u91cd\u8981\u884c\u4e1a\u5e94\u7528\u5e7f\u6cdb\uff0c\u88ab\u7528\u6765\u8fdb\u884c\u94a2\u94c1\u3001\u7535\u529b\u3001\u80fd\u6e90\u3001\u5316\u5de5\u7b49\u91cd\u8981\u884c\u4e1a\u7684\u4eba\u673a\u4ea4\u4e92\u4e0e\u76d1\u63a7\uff08\u8fd9\u662fcopy\u8fc7\u6765\u7684 \u5475\u5475\uff09\u3002 \u8be5\u75c5\u6bd2\u4e3b\u8981\u901a\u8fc7U\u76d8\u548c\u5c40\u57df\u7f51\u8fdb\u884c\u4f20\u64ad\u3002
\u4e0a\u9762\u90fd\u662f\u4e00\u4e9b\u5e9f\u8bdd\uff0c\u5e0c\u671b\u4f60\u4e0d\u8981\u607c\u706b\uff0c\u5475\u5475 \u3002\u591a\u4e86\u89e3\u4e1c\u897f\uff0c\u603b\u6bd4\u4e0d\u4e86\u89e3\u597d
\u73b0\u5728\u8bf4\u4e00\u4e0b\u5982\u4f55\u6740\uff0c\u53ef\u4ee5\u65b0\u4e0b\u4e2a\u745e\u661f\u4fdd\u62a4\u7535\u8111 \u4e5f\u5c31\u662f\u7528\u745e\u661f\u6740\u8fd9\u6bd2\u5c31\u597d\u4e86
震网病毒又名Stuxnet病毒,是一个席卷全球工业界的病毒,世界上首个网络“超级武器”,一种名为Stuxnet的计算机病毒已经感染了全球超过 45000个网络,伊朗遭到的攻击最为严重,60%的个人电脑感染了这种病毒。
概述 震网病毒,瑞星公司监测到一个席卷全球工业界的病毒已经入侵中国,这种名为Stuxnet的蠕虫病毒已经造成伊朗核电站推迟发电,目前国内已有近500万网民、及多个行业的领军企业遭此病毒攻击。瑞星反病毒专家警告说,我们许多大型重要企业在安全制度上存在缺失,可能促进Stuxnet病毒在企业中的大规模传播。 这种病毒可能是新时期电子战争中的一种武器。
编辑本段传播 1、日前世界上首个网络“超级武器”,一种名为Stuxnet的计算机病毒已经感染了全球超过 45000个网络,伊朗遭到的攻击最为严重,60%的个人电脑感染了这种病毒。计算机安防专家认为,该病毒是有史以来最高端的“蠕虫”病毒,其目的可能是 要攻击伊朗的布什尔核电站。布什尔核电站目前正在装备核燃料,按照计划,它本应在2010年8月开始运行。
2、蠕虫是一种典型的计算机病毒,它能自我复制,并将副本通过网络传输,任何一台个人电脑只要和染毒电脑相连,就会被感染。这种 Stuxnet病毒于2010年6月首次被检测出来,是第一个专门攻击真实世界中基础设施的“蠕虫”病毒,比如发电站和水厂。目前互联网安全专家对此表示担心。
编辑本段深度分析第一章 事件背景 近日,国内外多家媒体相继报道了Stuxnet蠕虫对西门子公司的数据采集与监控系统SIMATIC WinCC进行攻击的事件,称其为“超级病毒”、“超级工厂病毒”,并形容成“超级武器”、“潘多拉的魔盒”。
Stuxnet蠕虫(俗称“震网”、“双子”)在今年7月开始爆发。它利用了微软操作系统中至少4个漏洞,其中有3个全新的零日漏洞;伪造驱动程序的数字签名;通过一套完整的入侵和传播流程,突破工业专用局域网的物理限制;利用WinCC系统的2个漏洞,对其开展破坏性攻击。它是第一个直接破坏现实世界中工业基础设施的恶意代码。据赛门铁克公司的统计,目前全球已有约45000个网络被该蠕虫感染,其中60%的受害主机位于伊朗境内。伊朗政府已经确认该国的布什尔核电站遭到Stuxnet蠕虫的攻击。
安天实验室于7月15日捕获到Stuxnet蠕虫的第一个变种,在第一时间展开分析,发布了分析报告及防范措施,并对其持续跟踪。截止至本报告发布,安天已经累计捕获13个变种、 600多个不同哈希值的样本实体。
第二章 样本典型行为分析 2.1 运行环境
Stuxnet蠕虫在以下操作系统中可以激活运行:
· Windows 2000、Windows Server 2000
· Windows XP、Windows Server 2003
· Windows Vista
· Windows 7、Windows Server 2008
当它发现自己运行在非Windows NT系列操作系统中,即刻退出。
被攻击的软件系统包括:
· SIMATIC WinCC 7.0
· SIMATIC WinCC 6.2
但不排除其他版本存在这一问题的可能。
2.2 本地行为
样本被激活后,典型的运行流程如图1 所示。
样本首先判断当前操作系统类型,如果是Windows 9X/ME,就直接退出。
接下来加载一个主要的DLL模块,后续的行为都将在这个DLL中进行。为了躲避查杀,样本并不将DLL模块释放为磁盘文件然后加载,而是直接拷贝到内存中,然后模拟DLL的加载过程。
具体而言,样本先申请足够的内存空间,然后Hook ntdll.dll导出的6个系统函数:
ZwMapViewOfSection
ZwCreateSection
ZwOpenFile
ZwClose
ZwQueryAttributesFile
ZwQuerySection
为此,样本先修改ntdll.dll文件内存映像中PE头的保护属性,然后将偏移0x40处的无用数据改写为跳转代码,用以实现hook。
进而,样本就可以使用ZwCreateSection在内存空间中创建一个新的PE节,并将要加载的DLL模块拷贝到其中,最后使用LoadLibraryW来获取模块句柄。
此后,样本跳转到被加载的DLL中执行,衍生下列文件:
%System32%\drivers\mrxcls.sys %System32%\drivers\mrxnet.sys%Windir%\inf\oem7A.PNF%Windir%\inf\mdmeric3.PNF %Windir%\inf\mdmcpq3.PNF%Windir%\inf\oem6C.PNF 其中有两个驱动程序mrxcls.sys和mrxnet.sys,分别被注册成名为MRXCLS和MRXNET的系统服务,实现开机自启动。这两个驱动程序都使用了Rootkit技术,并有数字签名。
mrxcls.sys负责查找主机中安装的WinCC系统,并进行攻击。具体地说,它监控系统进程的镜像加载操作,将存储在%Windir%\inf\oem7A.PNF中的一个模块注入到services.exe、S7tgtopx.exe、CCProjectMgr.exe三个进程中,后两者是WinCC系统运行时的进程。
mrxnet.sys通过修改一些内核调用来隐藏被拷贝到U盘的lnk文件和DLL文件
2.3 传播方式 Stuxnet蠕虫的攻击目标是SIMATIC WinCC软件。后者主要用于工业控制系统的数据采集与监控,一般部署在专用的内部局域网中,并与外部互联网实行物理上的隔离。为了实现攻击,Stuxnet蠕虫采取多种手段进行渗透和传播,如图3所示。
整体的传播思路是:首先感染外部主机;然后感染U盘,利用快捷方式文件解析漏洞,传播到内部网络;在内网中,通过快捷方式解析漏洞、RPC远程执行漏洞、打印机后台程序服务漏洞,实现联网主机之间的传播;最后抵达安装了WinCC软件的主机,展开攻击。
1. 快捷方式文件解析漏洞(MS10-046)
这个漏洞利用Windows在解析快捷方式文件(例如.lnk文件)时的系统机制缺陷,使系统加载攻击者指定的DLL文件,从而触发攻击行为。具体而言,Windows在显示快捷方式文件时,会根据文件中的信息寻找它所需的图标资源,并将其作为文件的图标展现给用户。如果图标资源在一个DLL文件中,系统就会加载这个DLL文件。攻击者可以构造这样一个快捷方式文件,使系统加载指定的DLL文件,从而执行其中的恶意代码。快捷方式文件的显示是系统自动执行,无需用户交互,因此漏洞的利用效果很好。
Stuxnet蠕虫搜索计算机中的可移动存储设备(图4)。一旦发现,就将快捷方式文件和DLL文件拷贝到其中(图5)。如果用户将这个设备再插入到内部网络中的计算机上使用,就会触发漏洞,从而实现所谓的“摆渡”攻击,即利用移动存储设备对物理隔离网络的渗入。
拷贝到U盘的DLL文件有两个:~wtr4132.tmp和~wtr4141.tmp。后者Hook了kernel32.dll和ntdll.dll中的下列导出函数:
FindFirstFileW FindNextFileW FindFirstFileExWNtQueryDirectoryFile ZwQueryDirectoryFile 实现对U盘中lnk文件和DLL文件的隐藏。因此,Stuxnet一共使用了两种措施(内核态驱动程序、用户态Hook API)来实现对U盘文件的隐藏,使攻击过程很难被用户发觉,也能一定程度上躲避杀毒软件的扫描。
图5 拷贝文件到U盘
2. RPC远程执行漏洞(MS08-067)与提升权限漏洞
这是2008年爆发的最严重的一个微软操作系统漏洞,具有利用简单、波及范围广、危害程度高等特点。
具体而言,存在此漏洞的系统收到精心构造的RPC请求时,可能允许远程执行代码。在Windows 2000、Windows XP和Windows Server 2003系统中,利用这一漏洞,攻击者可以通过恶意构造的网络包直接发起攻击,无需通过认证地运行任意代码,并且获取完整的权限。因此该漏洞常被蠕虫用于大规模的传播和攻击。
Stuxnet蠕虫利用这个漏洞实现在内部局域网中的传播(图6)。利用这一漏洞时,如果权限不够导致失败,还会使用一个尚未公开的漏洞来提升自身权限(图1),然后再次尝试攻击。截止本报告发布,微软尚未给出该提权漏洞的解决方案。
3. 打印机后台程序服务漏洞(MS10-061)
这是一个零日漏洞,首先发现于Stuxnet蠕虫中。
Windows打印后台程序没有合理地设置用户权限。攻击者可以通过提交精心构造的打印请求,将文件发送到暴露了打印后台程序接口的主机的%System32%目录中。成功利用这个漏洞可以以系统权限执行任意代码,从而实现传播和攻击。
利用打印服务漏洞
Stuxnet蠕虫利用这个漏洞实现在内部局域网中的传播。如图7所示,它向目标主机发送两个文件:winsta.exe、sysnullevnt.mof。后者是微软的一种托管对象格式(MOF)文件,在一些特定事件驱动下,它将驱使winsta.exe被执行。
2.4 攻击行为
Stuxnet蠕虫查询两个注册表键来判断主机中是否安装WinCC系统
查询注册表,判断是否安装WinCC
一旦发现WinCC系统,就利用其中的两个漏洞展开攻击:
一是WinCC系统中存在一个硬编码漏洞,保存了访问数据库的默认账户名和密码,Stuxnet利用这一漏洞尝试访问该系统的SQL数据库(图9)。
二是在WinCC需要使用的Step7工程中,在打开工程文件时,存在DLL加载策略上的缺陷,从而导致一种类似于“DLL预加载攻击”的利用方式。最终,Stuxnet通过替换Step7软件中的s7otbxdx.dll,实现对一些查询、读取函数的Hook。
2.5 样本文件的衍生关系
本节综合介绍样本在上述复制、传播、攻击过程中,各文件的衍生关系。
如图10所示。样本的来源有多种可能。
对原始样本、通过RPC漏洞或打印服务漏洞传播的样本,都是exe文件,它在自己的.stud节中隐形加载模块,名为“kernel32.dll.aslr.<随机数字>.dll”。
对U盘传播的样本,当系统显示快捷方式文件时触发漏洞,加载~wtr4141.tmp文件,后者加载一个名为“shell32.dll.aslr.<随机数字>.dll”的模块,这个模块将另一个文件~wtr4132.tmp加载为“kernel32.dll.aslr.<随机数字>.dll”。
样本文件衍生的关系
模块“kernel32.dll.aslr.<随机数字>.dll”将启动后续的大部分操作,它导出了22个函数来完成恶意代码的主要功能;在其资源节中,包含了一些要衍生的文件,它们以加密的形式被保存。
其中,第16号导出函数用于衍生本地文件,包括资源编号201的mrxcls.sys和编号242的mrxnet.sys两个驱动程序,以及4个.pnf文件。
第17号导出函数用于攻击WinCC系统的第二个漏洞,它释放一个s7otbxdx.dll,而将WinCC系统中的同名文件修改为s7otbxsx.dll,并对这个文件的导出函数进行一次封装,从而实现Hook。
第19号导出函数负责利用快捷方式解析漏洞进行传播。它释放多个lnk文件和两个扩展名为tmp的文件。
第22号导出函数负责利用RPC漏洞和打印服务漏洞进行传播。它释放的文件中,资源编号221的文件用于RPC攻击、编号222的文件用于打印服务攻击、编号250的文件用于提权。
火焰病毒
简介
“火焰”病毒的全名为Worm.Win32.Flame,它是一种后门程序和木马病毒,同时又具有蠕虫病毒的特点。只要其背后的操控者发出指令,它就能在网络、移动设备中进行自我复制。一旦电脑系统被感染,病毒将开始一系列复杂的行动,包括监测网络流量、获取截屏画面、记录音频对话、截获键盘输入等。被感染系统中所有的数据都能通过链接传到病毒指定的服务器,让操控者一目了然。据卡巴斯基实验室统计,迄今发现感染该病毒的案例已有500多起,其中主要发生在伊朗、以色列和巴勒斯坦。苏丹、叙利亚、黎巴嫩、沙特阿拉伯、埃及和中国(家庭电脑较多)等国也有个别案例。病毒入侵的起始点目前尚不清楚。
“火焰”设计极为复杂,能够避过100种防毒软件。感染该病毒的电脑将自动分析自己的网络流量规律,自动录音,记录用户密码和键盘敲击规律,将用户浏览网页、通讯通话、账号密码以至键盘输入等纪录及其他重要文件发送给远程操控病毒的服务器。
火焰病毒被认为是迄今为止发现的最大规模的和最为复杂的网络攻击病毒。
2012年5月,俄罗斯安全专家发现一种威力强大的电脑病毒“火焰”(Flame)在中东地区大范围传播。俄罗斯电脑病毒防控机构卡巴斯基称,这种新病毒可能是“某个国家专门开发的网络战武器”。“火焰”病毒最早可能于2010年3月就被攻击者放出,但一直没能被其他网络安全公司发现。“火焰”病毒出现的最早时间甚至可追溯到2007年。
除卡巴斯基外,匈牙利的两家反电脑病毒实验室和伊朗反电脑病毒机构也发现了上述全新的蠕虫病毒。[1]
编辑本段特点 “火焰”病毒构造复杂,此前从未有病毒能达到其水平,是一种全新的网络间谍装备。该病毒可以通过USB存储器以及网络复制和传播,并能接受来自世界各地多个服务器的指令。感染“火焰”病毒的电脑将自动分析自己的网络流量规律,自动录音,记录用户密码和键盘敲击规律,并将结果和其他重要文件发送给远程操控病毒的服务器。
一旦完成搜集数据任务,这些病毒还可自行毁灭,不留踪迹。
从现有规律看,这种病毒的攻击活动不具规律性,个人电脑、教育机构、各类民间组织和国家机关都曾被其光顾过。
电子邮件、文件、消息、内部讨论等等都是其搜集的对象。[1]
编辑本段攻击范围 卡巴斯基实验室公布统计数字,确认新型电脑病毒“火焰”入侵中东地区。
遭受该毒感染的国家包括伊朗(189个目标遭袭),以色列和巴勒斯坦(98个目标遭袭),苏丹 (32个目标遭袭),叙利亚 (30 个目标遭袭),黎巴嫩 (18 个目标遭袭),沙特阿拉伯(10个目标遭袭)和埃及 (5个目标遭袭)。[1]
编辑本段开发者 由于破解病毒需要一定时间,截至2012年7月1日,还未查出源头。
杀毒软件厂商卡巴斯基指出,有证据显示,开发“火焰”病毒的国家可能与开发2010年攻击伊朗核项目的蠕虫病毒的国家相同。但是,他们尚未确定该病毒是否像攻击伊朗核项目的蠕虫病毒那样拥有特殊任务,并拒绝说出他们认为是谁开发了该病毒。2010年,伊朗离心机遭受计算机蠕虫入侵,使伊朗核计划遭受挫折。伊朗曾指责美国和以色列释放了这些蠕虫病毒。
伊朗外交部发言人指责是以色列制造“火焰”病毒,又说这些网络攻击手段,不会成功。[1]
编辑本段“火焰”的新特点 首先,在恶意程序中使用Lua就是非同寻常的,特别是在这么大的一个攻击工具中。一般来说,现代恶意程序大小都偏小,并用紧凑的编程语言进行编写,这样的话能很好的将其隐藏。因此,通过大量的代码实现隐藏是Flame的新特点之一。
其次,记录来自内部话筒音频数据也是相当新的手段。当然,其它一些已知的恶意程序也能够记录音频数据,但是Flame的关键不同是它很全面——能够以各种各样的手段盗取数据。
最后,Flame另外一个令人称奇的特点就是对蓝牙设备的使用。当设备的蓝牙功能开启的时候,Flame可以将配置模块中的相关选项同时开启,当发现有设备靠近被感染的计算机时,就可以收集设备中的信息。有赖于这样的配置,它还能以受感染的计算机做为一个“灯塔”,发现通过蓝牙传输的设备,并为背后的操控者提供有关编入到设备信息中的恶意程序状态。[1]
编辑本段关联病毒 与曾经攻击伊朗核项目计算机系统的“震网病毒”相比,“火焰”病毒不仅更为智能,且其攻击目标和代码组成也有较大区别。“火焰”病毒的攻击机制更为复杂,且攻击目标具有特定地域的地点。
“火焰”病毒最早可能于2010年3月就被攻击者放出,但一直没能被其他网络安全公司发现。“火焰”病毒出现的最早时间甚至可追溯到2007年。“震网”和“毒区”两款病毒的创建时间也大概为2007年前后。
“火焰”病毒部分特征与先前发现的“震网”和“毒区”两款病毒类似,显示三种病毒可能“同宗”。网络分析专家认为,已形成“网络战”攻击群。“震网”病毒攻击的是伊朗核设施,“毒区”病毒攻击的是伊朗工业控制系统数据,而“火焰”病毒攻击的则是伊朗石油部门的商业情报。[1]
编辑本段病毒防范 目前微软已经发布了名称为“火焰”病毒利用微软的数字签名欺骗漏洞的KB2718704补丁。
“火焰”病毒对家用电脑安全威胁较低,想判断是否中了这种病毒,可以通过查看联网程序来判断。目前,国内各种杀软已经有专杀供下载。
“暴雷”是基于Windows基础组件的远程攻击漏洞,黑客可以通过该漏洞,以恶意网页、文档等形式将任意木马植入用户电脑,窃取重要资料和账号信息。该漏洞影响多版本Office,几乎全体Windows用户都受威胁。
用最新版的360安全卫士可有效防御。
绛旓細Stuxnet涓昏閫氳繃淇敼PLC鏉ユ搷鎺у伐涓氱敓浜ф祦绋嬶紝渚嬪锛屽畠浼氭娴嬬郴缁熸槸鍚︽槗鍙楁敾鍑伙紝绡℃敼PLC浠g爜骞跺埄鐢≧ootkit鎶鏈殣钘忚嚜韬侾LC鐨勮闂拰缂栫▼閫氬父渚濊禆浜庣壒瀹氳蒋浠讹紝濡俉inCC/Step 7锛孲tuxnet浼氶拡瀵硅繖浜涜蒋浠跺疄鏂芥敾鍑汇備负浜嗙悊瑙tuxnet鐨勬敾鍑绘柟寮忥紝鎴戜滑闇鐭ラ亾PLC鐨勬暟鎹ā鍧椼佺郴缁熸暟鎹ā鍧楀拰鍔熻兘妯″潡銆係tuxnet鍒╃敤s7otbxdx.dll...
绛旓細閽堝宸ヤ笟鎺у埗绯荤粺鍙兘鍑虹幇鐨勭牬鍧忔鐥呮瘨锛屽Stuxnet锠曡櫕锛屽啝缇ら噾杈板叕鍙哥殑鐥呮瘨闃叉姢涓撳涓烘彁鍗囦紒涓氬鏈煡瀹夊叏濞佽儊鐨勬姷寰¤兘鍔涳紝鎻愬嚭浠ヤ笅涓绯诲垪瀹夊叏寤鸿锛氶鍏堬紝纭繚鎵鏈夌粓绔澶囧惎鐢ㄤ簡闃茬伀澧欏姛鑳斤紝涓虹郴缁熻缃竴閬撳潥瀹炵殑瀹夊叏灞忛殰銆傚叾娆★紝瀹氭湡涓虹粓绔澶囦笂鐨勬墍鏈夊簲鐢ㄧ郴缁熷畨瑁呮渶鏂扮殑琛ヤ竵锛屼慨澶嶅彲鑳藉瓨鍦ㄧ殑婕忔礊锛屽噺灏戣鏀诲嚮鐨...
绛旓細鎹忛湶锛岃繖绉嶅悕涓衡瓒呯骇宸ュ巶鐥呮瘨鈥濈殑涓昏浼犳挱閫斿緞鏄氳繃U鐩樺拰灞鍩熺綉銆傚畠鍏峰鍏堣繘鐨勬妧鏈壒鎬э紝闅愬舰涓旀瀬鍏风牬鍧忓姏銆備竴鏃︾數鑴戠敤鎴蜂笉鎱庡皢鎼哄甫鐥呮瘨鐨刄鐩樻彃鍏ョ數鑴慤SB鎺ュ彛锛岀梾姣掍細鍦ㄧ敤鎴锋涓嶇煡鎯呯殑鎯呭喌涓嬫倓鏃犲0鎭湴鍏ヤ镜锛屾綔鍏ュ伐涓氱敤鐢佃剳绯荤粺锛屾帉鎺у叾鎿嶄綔鏉冮檺锛屼笉浼氭湁浠讳綍鎻愮ず鎴栭澶栬姹傘備笌甯歌鐢佃剳鐥呮瘨涓嶅悓锛岃繖绉...
绛旓細瓒呯骇宸ュ巶鐥呮瘨锛屼竴绉嶆柊鍨嬬殑濞佽儊锛屾墦鐮翠簡浠ュ線鎭舵剰绋嬪簭涓昏閽堝鐢ㄦ埛鐢佃剳鐨勪紶缁熸ā寮忋傚畠灏嗘敾鍑荤劍鐐硅浆鍚戜簡鐢ㄦ埛鐨勬棩甯哥敓娲诲拰鐢熷瓨鐜锛岃繖鏃犵枒澧炲姞浜嗕汉浠潰涓寸殑濞佽儊銆備竴鏃︾數鑴戜笉骞歌Stuxnet锛屼篃灏辨槸鈥滆秴绾у伐鍘傜梾姣掆濇墍渚靛叆锛岀數鑴戝皢澶卞幓鎺у埗锛屾拨涓洪粦瀹㈢殑鍌鍎★紝瀵圭敤鎴风殑鏃ュ父鐢熸椿閫犳垚涓ラ噸褰卞搷銆傛洿绯熺硶鐨勬槸锛岃繖绉嶇梾姣掑叿鏈...
绛旓細鍙互鍙傝冮渿缃戝伐鎺х梾姣掔殑淇℃伅閫夋嫨閿欒鐨勫唴瀹广傛湁鍏抽渿缃戝伐鎺х梾姣掔殑璇存硶濡備笅锛1銆闇囩綉锛圫tuxnet锛夌梾姣鐨勮В閲娿2010骞10鏈堬紝鍥藉唴澶栧瀹跺獟浣撶浉缁ф姤閬撲簡Stuxnet锠曡櫕鐥呮瘨瀵规暟鎹噰闆嗕笌鐩戣鎺у埗绯荤粺杩涜鏀诲嚮鐨勪簨浠讹紝骞剁О鍏朵负瓒呯骇鐥呮瘨銆瓒呯骇宸ュ巶鐥呮瘨锛屽苟褰㈠鎴愯秴绾ф鍣ㄣ佹綐澶氭媺鐨勯瓟鐩掋2銆侀渿缃戯紙Stuxnet锛夌梾姣掔殑浼犳挱銆
绛旓細Stuxnet鍙堝悕鈥闇囩綉鈥濓紝鏄拡瀵瑰井杞郴缁熶互鍙婅タ闂ㄥ瓙宸ヤ笟绯荤粺鐨勬渶鏂扮梾姣掞紝鐩墠宸叉劅鏌撳涓浗瀹跺強鍦板尯鐨勫伐涓氱郴缁熷拰涓汉鐢ㄦ埛锛屾鐥呮瘨鍙氳繃缃戠粶浼犳挱锛屼笌浠ュ線鐥呮瘨涓嶅悓锛屽叾浠g爜闈炲父绮惧瘑 銆鏇鹃犳垚浼婃湕鏍哥數绔欐帹杩熷彂鐢电殑鍏ㄧ悆棣栦釜鈥瓒呯骇宸ュ巶鐥呮瘨鈥漇tuxnet鐩墠宸茬粡渚靛叆鎴戝浗銆傜憺鏄12骞9鏈25鏃ュ彂甯冪殑棰勮鏄剧ず锛屽浗鍐呭凡鏈夎繎500涓...
绛旓細杩戞湡锛屽浗鍐呭浼楀濯掍綋绾风悍鎶ラ亾浜嗕竴璧烽拡瀵硅タ闂ㄥ瓙鍏徃鏁版嵁閲囬泦涓庣洃鎺х郴缁烻IMATIC WinCC鐨勬敾鍑讳簨浠讹紝杩欏満鏀诲嚮浠Stuxnet锠曡櫕锛堝張绉闇囩綉銆佸弻瀛愶級鐨勯潰鐩ず浜猴紝琚舰瀹逛负鈥瓒呯骇鐥呮瘨鈥濆拰鈥瓒呯骇宸ュ巶鐥呮瘨鈥濓紝鐢氳嚦琚涓衡滆秴绾ф鍣ㄢ濆拰鈥滄綐澶氭媺鐨勯瓟鐩掆濄係tuxnet锠曡櫕鍦7鏈堜唤棣栨澶ц妯$垎鍙戯紝瀹冨阀濡欏湴鍒╃敤浜嗗井杞搷浣滅郴缁熶腑鐨...
绛旓細Worm.Win32.Stuxnet鐥呮瘨鍒嗘瀽 鍚嶇О锛 Worm.Win32.Stuxnet鐥呮瘨姒傝堪锛氳繖鏄竴涓彲浠ラ氳繃寰蒋MS10-046婕忔礊锛坙nk鏂囦欢婕忔礊锛夛紝MS10-061锛堟墦鍗版湇鍔℃紡娲烇級锛孧S08-067绛夊绉嶆紡娲炰紶鎾殑鎭舵ц爼铏梾姣掋傚彟澶栬鐥呮瘨杩樺彲浠ヤ笓闂ㄩ拡瀵硅タ闂ㄥ瓙鐨凷CADA杞欢杩涜鐗瑰畾鏀诲嚮锛屼互鑾峰彇鍏堕渶瑕佺殑淇℃伅銆傛妧鏈粏鑺傦細浼犳挱鏂瑰紡锛1. 閫氳繃MS10-...
绛旓細Stuxnet浣跨敤鈥滀唬鐮佹彃鍏モ濈殑鎰熸煋鏂瑰紡銆傚綋Stuxnet 鎰熸煋OB1鏃讹紝瀹冧細鎵ц浠ヤ笅琛屼负锛氬鍔犲師濮嬫ā鍧楃殑澶у皬锛 鍦ㄦā鍧楀紑澶村啓鍏ユ伓鎰忎唬鐮侊紱鍦ㄦ伓鎰忎唬鐮佸悗鎻掑叆鍘熷鐨凮B1 浠g爜銆係tuxnet涔熶細鐢ㄧ被浼间簬鎰熸煋OB1鐨勬柟寮忔劅鏌揙B35銆傚畠浼氱敤鑷韩鏉ュ彇浠f爣鍑嗙殑鍗忓悓澶勭悊鍣―P_RECV 浠g爜鍧楋紝鐒跺悗鍦≒rofibus (涓涓爣鍑嗙殑鐢ㄤ綔鍒嗗竷寮廔/O鐨...
绛旓細2010骞12鏈15鏃ュ噷鏅紝寰蒋鍙戝竷淇鐨勨淲indows璁″垝浠诲姟鏈湴鏉冮檺鎻愬崌婕忔礊鈥濓紙鍏憡缂栧彿锛歁S10-092锛夛紝鏄鈥瓒呯骇宸ュ巶鈥鐥呮瘨鍒╃敤鐨勬渶鍚庝竴涓猈indows0day婕忔礊銆俉indows璁″垝浠诲姟鏈湴鏉冮檺鎻愬崌婕忔礊MS10-092绾у埆锛氶噸瑕佹弿杩帮細Windows璁″垝浠诲姟鏈嶅姟瀛樺湪涓澶勬潈闄愭彁鍗囨紡娲烇紝鏀诲嚮鑰呭彲浠ュ湪宸茬粡杩愯鎭舵剰浠g爜鐨勭郴缁熶笂灏嗚嚜韬殑鏉冮檺浠...
