震网电脑病毒攻击事件
震网电脑病毒攻击事件
相比以往的安全事件,此次攻击呈现出许多新的手段和特点,值得我们特别关注。下面由学习啦小编给你做出详细的震网病毒攻击事件介绍!希望对你有帮助!
震网病毒攻击如下:
4.1 专门攻击工业系统
Stuxnet蠕虫的攻击目标直指西门子公司的SIMATIC WinCC系统。这是一款数据采集与监视控制(SCADA)系统,被广泛用于钢铁、汽车、电力、运输、水利、化工、石油等核心工业领域,特别是国家基础设施工程;它运行于Windows平台,常被部署在与外界隔离的专用局域网中。
一般情况下,蠕虫的攻击价值在于其传播范围的广阔性、攻击目标的普遍性。此次攻击与此截然相反,最终目标既不在开放主机之上,也不是通用软件。无论是要渗透到内部网络,还是挖掘大型专用软件的漏洞,都非寻常攻击所能做到。这也表明攻击的意图十分明确,是一次精心谋划的攻击。
4.2 利用多个零日漏洞
Stuxnet蠕虫利用了微软操作系统的下列漏洞:
RPC远程执行漏洞(MS08-067)
快捷方式文件解析漏洞(MS10-046)
打印机后台程序服务漏洞(MS10-061)
内核模式驱动程序漏洞(MS10-073)
任务计划程序程序漏洞(MS10-092)
后四个漏洞都是在Stuxnet中首次被使用,是真正的零日漏洞。如此大规模的使用多种零日漏洞,并不多见。
这些漏洞并非随意挑选。从蠕虫的传播方式来看,每一种漏洞都发挥了独特的作用。比如基于自动播放功的U盘病毒被绝大部分杀毒软件防御的现状下,就使用快捷方式漏洞实现U盘传播。
另一方面,在安天捕获的样本中,有一部分实体的时间戳是2013年3月。这意味着至少在3月份,上述零日漏洞就已经被攻击者掌握。但直到7月份大规模爆发,漏洞才首次披露出来。这期间要控制漏洞不泄露,有一定难度。
4.3 使用数字签名
Stuxnet在运行后,释放两个驱动文件:
%System32%\drivers\mrxcls.sys
%System32%\drivers\mrxnet.sys
这两个驱动文件伪装RealTek的数字签名(图7)以躲避杀毒软件的查杀。目前,这一签名的数字证书已经被颁发机构吊销,无法再通过在线验证,但目前反病毒产品大多使用静态方法判定可执行文件是否带有数字签名,因此有可能被欺骗。
4.4 明确的攻击目标
根据赛门铁克公司的统计,7月份,伊朗感染Stuxnet蠕虫的主机只占25%,到9月下旬,这一比例达到60%。
WinCC被伊朗广泛使用于基础国防设施中。9月27日,伊朗国家通讯社向外界证实该国的第一座核电站“布什尔核电站”已经遭到攻击。据了解,该核电站原计划于2013年8月开始正式运行。因此,此次攻击具有明确的地域性和目的性。
看过“震网电脑病毒攻击事件 ”人还看了:
1.电脑病毒“火焰”