震網電腦病毒攻擊事件
相比以往的安全事件,此次攻擊呈現出許多新的手段和特點,值得我們特別關注。下面由小編給你做出詳細的震網病毒攻擊事件介紹!希望對你有幫助!
震網病毒攻擊如下:
4.1 專門攻擊工業系統
Stuxnet蠕蟲的攻擊目標直指西門子公司的SIMATIC WinCC系統。這是一款資料採集與監視控制***SCADA***系統,被廣泛用於鋼鐵、汽車、電力、運輸、水利、化工、石油等核心工業領域,特別是國家基礎設施工程;它運行於Windows平臺,常被部署在與外界隔離的專用區域網中。
一般情況下,蠕蟲的攻擊價值在於其傳播範圍的廣闊性、攻擊目標的普遍性。此次攻擊與此截然相反,最終目標既不在開放主機之上,也不是通用軟體。無論是要滲透到內部網路,還是挖掘大型專用軟體的漏洞,都非尋常攻擊所能做到。這也表明攻擊的意圖十分明確,是一次精心謀劃的攻擊。
4.2 利用多個零日漏洞
Stuxnet蠕蟲利用了微軟作業系統的下列漏洞:
RPC遠端執行漏洞***MS08-067***
快捷方式檔案解析漏洞***MS10-046***
印表機後臺程式服務漏洞***MS10-061***
核心模式驅動程式漏洞***MS10-073***
任務計劃程式程式漏洞***MS10-092***
後四個漏洞都是在Stuxnet中首次被使用,是真正的零日漏洞。如此大規模的使用多種零日漏洞,並不多見。
這些漏洞並非隨意挑選。從蠕蟲的傳播方式來看,每一種漏洞都發揮了獨特的作用。比如基於自動播放功的U盤病毒被絕大部分防毒軟體防禦的現狀下,就使用快捷方式漏洞實現U盤傳播。
另一方面,在安天捕獲的樣本中,有一部分實體的時間戳是2013年3月。這意味著至少在3月份,上述零日漏洞就已經被攻擊者掌握。但直到7月份大規模爆發,漏洞才首次披露出來。這期間要控制漏洞不洩露,有一定難度。
4.3 使用數字簽名
Stuxnet在執行後,釋放兩個驅動檔案:
%System32%\drivers\mrxcls.sys
%System32%\drivers\mrxnet.sys
這兩個驅動檔案偽裝RealTek的數字簽名***圖7***以躲避防毒軟體的查殺。目前,這一簽名的數字證書已經被頒發機構吊銷,無法再通過線上驗證,但目前反病毒產品大多使用靜態方法判定可執行檔案是否帶有數字簽名,因此有可能被欺騙。
4.4 明確的攻擊目標
根據賽門鐵克公司的統計,7月份,伊朗感染Stuxnet蠕蟲的主機只佔25%,到9月下旬,這一比例達到60%。
WinCC被伊朗廣泛使用於基礎國防設施中。9月27日,伊朗國家通訊社向外界證實該國的第一座核電站“布什爾核電站”已經遭到攻擊。據瞭解,該核電站原計劃於2013年8月開始正式執行。因此,此次攻擊具有明確的地域性和目的性。
電腦病毒傳播的過程介紹