网络攻击技术及攻击实例介绍
摘要:随着计算机网络的广泛使用,网络攻击技术也迅猛发展。研究网络攻击带来的各种威胁,有针对性的对这些威胁进行有效防范,是加固安全防御体系的重要途径。研究计算机网络攻击技术,模拟黑客行为,以敌手推演为模型、以攻防对抗为实践方式来验证网络整体安全防护效能,是加强网络安全防护的一种重要手段。本文介绍了WEB脚本入侵攻击、缓沖区滋出攻击、木马后门攻击、网络设备攻击、内网渗透攻击、拒绝服务攻击、网电空间对抗六种典型网络攻击技术及伊朗核设施遭震网技术的网络攻击案例。
一、网络攻击技术分类
计算机网络攻击是网络攻击者利用网络通信协议自身存在的缺陷、用户使用的操作系统内在缺陷或用户使用的程序语言本身所具有的安全隐患,通过使网络命令或者专门的软件非法进人本地或远程用户主机系统,获得、修改、删除用户系统的信息以及在用户系统上插入有害信息,降低、破坏网络使用效能等一系列活动的总称。
从技术角度看,计算机网络的安全隐患,一方面是由于它面向所有用户,所有资源通过网络共享,另一方面是因为其技术是开放和标准化的。层出不穷的网络攻击事件可视为这些不安全因素最直接的证据。其后果就是导致信息的机密性、完整性、可用性、真实性、可控性等安全属性遭到破坏,进而威胁到系统和网络的安全性。
从法律定义上,网络攻击是入侵行为完全完成且入侵者已在目标网络内。但是更激进的观点是(尤其是对网络安全管理员来说),可能使一个网络受到破坏的所有行为都应称为网络攻击,即从一个入侵者开始对目标机上展开工作的那个时刻起,攻击就开始了。通常网络攻击过程具有明显的阶段性,可以粗略的划分为三个阶段: 准备阶段、实施阶段、善后阶段。
为了获取访问权限,或者修改破坏数据等,攻击者会综合利用多种攻击方法达到其目的。常见的攻击方法包括:网络探测、欺骗、嗅探、会话劫持、缓冲区滋出、口令猜解、木马后门、社交工程、拒绝服务等。
网络渗透是网络攻力的核心,攻击者通过一步步入侵目标主机或目标服务器,达到控制或破坏目标的目的。攻击者往往通过对这些技术的综合使用,对一个看似安全的网络,寻找到一个很小的安全缺陷或漏洞,然后一步一步将这些缺口扩大,最终导致整个网络安全防线的失守,从而掌控整个网络的控制权限。
剑有双刃,网络渗透攻击可以成为攻击者手中的一种破坏性极强的攻击手段,也可以成为网络管理员和安全工作者保护网络安全的重要方案设计来源。下面分别介绍这些渗透攻击技术。
二、信息踩点与收集
对于攻击者而言,目标网络系统上的任何漏洞都有可能成为撕开网络安全防线的一个突破口。攻击者踢点与收集的信息,无非就是找到这条防线中最薄弱的那个环节。首先获取尽可能详细的目标信息,然后制定人侵方案,寻找突破口进人内部网络,再提升权限控制目标主机或网络。信息踩点主要有以下三个方面。
(一)管理员用户信息收集
攻击者通过网络搜索引擎、实地了解、电话咨询等方式,利用社会工程学方式,收集目标系统或网络的归属性质、重要用户、结构分支、邮件联系地址、电话号码、QQ或MSN等各种社交网络注册账户及信息,以及主要管理
员的网络习惯等。这些信息可用作制作弱口令猜解字典以及钓鱼攻击的先验知识。
(二)服务器系统信息收集
利用各种扫描工具,收集服务器对外提供的服务,并测试其是否存在开放式的漏洞。常用的针对系统漏洞的扫描工具有NESSUS、SSS、ISS、X-scan、Retha等。针对服务端口的扫描工具有Nmap、Super Scan 、Amap等。针对WEB页面眼务的扫描工具有SQL扫播器、PHP扫描器、上传漏洞扫描器等,以及WEB站点扫描工具如Appscan、Acunetix Web Vulnerability Scanner、Jsky 等。针对数据库的扫描工具有shadow Database scanner、NGSSQuirreL、SQL 弱口令扫描器等。另外还可以根据需要自己开发专门的漏洞验证扫描器。(三)网络信息收集
攻击者通过Google Hacking、WHOIS、DNS查询以及网络拓扑扫描器(如Solar winds等),对目标网络拓扑结构、IP分布情况、网络连接设备信息、眼务器分布情况等信息进行收集。
三、WEB脚本入侵攻击
WEB服务作为现今Intemet上使用最广泛的服务,底层软件庞大、配置复杂、漏洞较多,因此攻击手段也最多;一旦WEB服务被攻破,可能成为攻击者渗透进内网的跳板。WEB服务往往大量采用动态网页,例如,使用ASP、PHP和JSP等脚本。针对动态网页的脚本攻击方法越来越流行,包括文件上传、注入、暴库、旁注、Cookies欺骗、xss跨站脚本攻击、跨站伪造请求攻击、远程文件包含攻击等。
WEB脚本人侵主要以WEB服务器以及数据库服务器为入侵攻击对象,采用脚本命令或浏览器访问的方式对目标实施人侵攻击。在攻击者对一个WEB站点完成踩点和信息收集之后,可以采取数据库人侵或者各种脚本漏洞获取到后台管理权限,再取得webshell权限,继而通过webshell提升权限打开内网渗透的突破口。
由于WEB脚本人侵所有操作都是通过80端口进行数据传送,可以顺利的穿透防火墙,这种无孔不人的攻击方式让网站管理员难于防范。WEB脚本攻击技术多种多样,并且时刻都在更新。
(一)S QL注人攻击
SQL注人攻击技术自2004年开始逐步发展,并日益流行,已成为WEB 入侵的常青技术。这主要是因为网页程序员在编写代码时,没有对用户输人数据的合法性进行判断,使得攻击者可以构造并提交一段恶意的数据,根据返回结果来获得数据库内存储的敏感信息。由于编写代码的程序员技术水平参差不齐,一个网站的代码量往往又大得惊人,使得注入漏洞往往层出不穷,也给攻击者带来了突破的机会。SQL常用的注人工具有:pangolin. NBSI3.0等。
(二)数据库人侵攻击
数据库人侵包括默认数据库下载、暴库下载以及数据库弱口令连接等攻击方式。默认数据库漏洞,是指部分网站在使用开源代码程序时,未对数据库路径以及文件名进行修改,导致攻击者可以直接下载到数据库文件进行攻击。暴库下载攻击是指利用IIS 的%5C编码转换漏洞,造成攻击者在提交特殊构造的地址时,网站将数据库真实物理路径作为错误信息返回到浏览器中。攻
击者即可以此下载到关键数据库。数据库弱口令连接人侵,攻击者通过扫推得到的弱口令,利用数据库连接工具直接连接到目标主机的数据库上,并依靠数据库的存储过程扩展等方式,添加后门账号、执行特殊命令。
(三)文件上传漏洞人侵
网站的上传漏洞是由于网页代码中文件上传路径变量以及文件名变量过滤不严造成的,利用这个漏洞可以将如.ASP等格式的网页木马上传到网站服务器,继而获得网站的服务器权限。很多网站都提供文件上传功能,以方便用户发图、资源共享等。但由于上传功能限制不严,导致了漏洞的出现。上传漏洞的成因如下:首先,对文件的扩展名或文件头验证不严密,导致上传任意或特殊文件;其次,对上传文件的文件头标识验证不严,也会导致文件上传漏洞。如攻击者可以修改文件头伪装图片,或对图片和木马进行合并,写入数据库中,然后通过数据库备份将文件保存为指定格式的木马文件。(四)跨站脚本攻击
跨站攻击,即ecosssitescriptexecution(通常简写为xss,因为CSS与层叠样式表同名,故改为XSS)是指攻击者利用网站程序对用户输入过滤不足,输入可以显不在页面上对其他用户造成影响的HTML代码,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。
使用最多的跨站攻击方法莫过于cookie窃取,即获cookie后直接借助工具或其他可修改cookie的浏览器,被攻击者在访问网页时,其cookies将被盗取。跨站攻力还有一种用法是读取本地文件。
跨站脚本攻击的方式主要还是依靠利用者的javascript编程水平,攻击者编程水平够高,就能达到更为复杂的攻击效果。诸如Attack API, XSS shell、XSS蠕虫、读取浏览器密码、攻击Firefox插件等等。
(五)w ebshell权限提升
一般而言,webshell所获取的权限为IIS_USER权限,有些组件或应用程序是不能直接运行的。为了提升webshell权限,攻击者往往会利用服务器上的安全缺陷,或通过各种具有高权限的系统以及应用软件漏洞,来提高自己程序的执行权限。
四、缓沖区滋出攻击
缓冲区溢出(buffer overflow)是一种系统攻击手段,通过在程序缓冲区写超出其长度的内容,造成缓冲区溢出,从而破坏程序堆找,使程序转而执行其他指令达到攻击目的。
利用缓冲区溢出进行系统攻击必须满足的两个基本条件:第一步,将攻志代码植入被攻击程序;第二步,使被攻击程序跳转到植入的攻击代码处执行,通过精心设计的溢出字符串同时实现这两个步骤。将溢出字符串作为用户数据提供给被攻击程序,用来溢出被攻击程序的缓冲区,实现溢出攻击,例如,针对网络服务程序,构造特殊格式的交互数据包;针对浏览器或第三方插件程序,构造特殊格式的网页;针对办公程序,构造特殊格式的文档,等等。通过缓冲区溢出进行系统攻击的难点在于溢出字符串的设计,其中包括设计良好的返回地址和攻击代码shellcode。返回地址的设计影响着溢出字符串格式的设计,而sheucode 的存放位置需要根据返回地址的设计来决定。溢出字符串存放在被攻击程序的堆找缓冲区内。为了执行溢出字符串中的
shellcode, 返回地址可以设计为直接指向shellcode 的开始地址;或者可以在shellcode前加上一段Nop指令,返回地址设计为指向这段NOP指令中的某个地址。
为了提高对返回地址猜测的命中率,溢出字符串中可以存放多份返回地址来提高覆盖函数原返回地址的成功率。
成功触发缓冲区溢出后,进程的控制权转交给shellcode, shellcode是溢出字符串的有效负载,用来实现不同的攻击功能。shellcode的手工生成十分繁琐,为加快开发速度,可以通过自动化shellcode生成平台Metasploit来产生所需的shellcode,功能包括:本地提取、远程提权、下载执行、开放端口、反弹连接、增添管理用户等。
在网络渗透攻击中,攻击者可以利用缓冲区溢出直接控制多台主机,特别是在内网渗透当中,由于内网主机一般处于防火墙里面,缓冲区溢出攻击所针对的端口不会被防火墙所屏蔽,因此缓冲区溢出成为内网横向权限提升最有效的手段之一。
缓冲区溢出有两种方式,一种是远程溢出,另外一种是本地溢出。远程溢出攻击是网络攻击中一种威力巨大的手段。攻击者可以通过远程溢出,直接控制目标主机,获取最高权限:如针对windows的MS08-067漏洞,造成了无数主机被溢出攻击。本地滋出的危害更多在于webshell提权上面。
缓冲区溢出攻击根据攻击目杨又可分为针对操作系统服务、针对WEB平台服务,以及针对第三方软件的滋出攻击。针对操作系统服务漏洞的主要有RFC 服务远程溢出(包含多个,如冲击波,震荡波、扫荡波等)、W1NS服务名称验证漏洞、即插即用服务溢出漏洞等针对WEB平台服务的漏洞有IIS平台的
IDA、IDQ漏洞,Apache滋出漏洞,WEBDAV溢出漏洞、邮件服务器的溢出漏洞、对FTP服务器的溢出漏洞等。针对第三方应用软件的溢出漏洞有ccproxy代理溢出漏洞、Serv-U 眼务器漠出漏洞、ISS RealSecure/BlackICE防火墙溢出等。
五、木马后门攻击
木马后门攻击是攻击者延续其攻击效果的重要手段,包括特洛伊木马、网页木马、隐秘后门、RootKit等方式。攻击者通过木巧攻击,最终达到获取下一时刻服务器控制权限的目的。攻击的主要手段:文件描绑攻击、文件自动感染攻击、网页挂马攻击、账号密码破解攻击,预留后门攻法、RootKit后门攻击等。
(一)R ootkir技术
Rootkit与普通木马后门以及病毒的区别在于其更为强大的隐秘性,如通信隐蔽、自启动项隐藏、文件隐藏、进程通信隐蔽、进程/模块隐藏、注册表隐藏、服务隐藏、端口隐藏。Rootkit本身并没有害处,但它可以作为其他恶意代码的载体。其极强的隐蔽性给其他恶意代码的生存及传播提供了良好的温床。Rootkit大多数是深入操作系统内核的.通过进行代码的注人,以及一些针对操作系统的漏洞的溢出攻击.或通过驱动程序加载的方式进人系统内核。由于在绝大多数现代操作系统中都采用了整体单内核的设计;内核的各个模块之间是互相透明的,只要Rootkit侵人了内核的任何一个部分,那么它就拥有了整个系统的全部控制权。之后Rootkit可以进行很多操作,例如,隐藏文件、进程,制造隐蔽的网络通信信道等等。
(二)网页挂马攻击
网页木马通常是指利用IE浏览器的一些漏洞,通过构造出特殊代码,在网页中夹带木马程序,或一段使得客户端下载并执行指向木马程序连接地址的攻击代码。使得其他上网者在浏览该网页时,会在后台悄悄执行网页中的攻击代码,达到控制用户主机的目的。
常见网页木马主要有操作系统自带lE组件或其他软件漏洞网页木马和应用软件漏洞网页木马。对于第一类,最典型的有MIME漏洞网页木马、Active X漏洞木马、OBJECT对象漏洞木马。事实上,被曙光的IE浏览器漏洞一直源源不绝,由于网页木马是由服务器攻击客户端,用户往往又是信任服务器的,这类攻击产生的后果和危害往往是非常严重的。
六、网络设备攻击
路由器和交换机是最常见的网络设备,决定着内网与互联网之间的连接。在攻击者入侵目标中,路由器和交换机是重要的攻击对象。在常用网络设备中,Cisco路由器占据主导地位。下面以cisco为例,介绍攻击者人侵路由器的方法。
路由器远程控制方法一般有两种,一种是telnet或HTTP管理,一种是SNMP代理。前一种方式只适合管理小型局域网路由器,而后一种是更为常用的管理方案。1. SNMP社区字串弱口令每个SNMP启用的路由设备都包含一个管理信息模块(MIB),这是一种包含简单等级的数据目录结构,在这种树结构中包含设备各种信息。通过SNMP命令GET ,可以检索MIB的信息,而SET命令则可设置MIB变量。SNMP协议通过社区(community)字串的概念实现对设备MIB对象访问的权限。如:
(conf)#snmp-server community read_only RO
(conf)#snmp-server community read_write RW
上例中设置了只读访问的社区字串read_only和可进行读写操作的read_write 社区字串。而大部分管理员喜欢使用public和private设置只读字串和读写字串,这种配置结果将给网络带来巨大的安全风险。攻击者可以通过SolarWinds 等路由器管理工具扫描到这些弱口令字串,并利用TFTP下载或上传配置文件,破解其特权密码或直接上传本地修改后的配置文件,达到完全控制路由器的目的。
Cisco配置文件中,意外创建和暴露SNMP共享字符串,可以允许未授权地査阅或者修改感染的设备。这种漏洞是调用SNMP函数中的缺陷引起的。SNMP利用community的标记来划分object组,可以在设备上查看或者修改它们。在组中的数据组织MIB,单个设备可以有几个MIBs,连接在一起形成一个大的结构,不同的社团字符串可以提供只读或者读写访问不同的、可能重叠的大型数掘结构的一部分。
启用SNMP, 键入snmp-server时,如果社区在设备上不是以有效的社区字串存在,就会不可预料地添加一个只读社区字率。如果删除它,这个社区字串中将会在重载设备时重新出现。
缺陷源于SNMPv2的通知(informs)功能的实现,这个功能包括交换只读社区字符串来共享状态信息。当一个有漏洞设各处理一条定义接收SNMP "traps"(陷阱消息)主机的命令时(常规snmp-server配置),在trap消息中指定的社团也还是配置成通用,如果它在保存配置中没有定义。即使社区在前面被删除并统配置在系统重载前保存到存储器,也会发生这种情况。
当通过"snmpwalk"(—种检测SNMP配置正确性的工具),或者使用设备的只读社团字符串遍历基于社团的访问控制MIB来检查设备时,就会泄漏读写
社团字符串。这意味着知道只读社区字串允许读访问存储在设备中的MIB, 导致信息泄露。而更为严重的是,如果知道读写社区字符串就可以允许远程配置的路由,可以绕开授权认证机制,从而完全控制路由器的整体功能。七、内网渗透攻击
(一)w indows系统密码破解
在内网渗透中,如果能得到域管理员的密码Hash, 并破解之,将使攻击者很可能通过此密码控制到整个网络。
在windows系统中,某个用户登陆系统后,其用户名和密码都是以明文的方式保存在内存中的。控制用户登陆的系统进程是winlogon.exe,当有多个用户同时登陆系统时,系统在每个用户登陆时都会产生一个winlogon.exe 进程。当AWGINA模式被设置时,可以用aio等工具直接读取到当前用户的密码。
攻击者在获取目标主机emd shell后,可以采用LC5、SAMInside等工具进行暴力或字典破解。然而,由于windows密码采用的是NTLMHash加密的方式,对于一个位数不太长密码,完全可以采用查表法进行破解,opcrack加彩虹表进行查表搜索破解就是一个很好的选择。其在破解14位任意字符时,一般都在几分钟之内。
(二)A RP欺骗攻击
ARP协议即地址解析协议address resolution protocol, ARP协议是将Ip地址与网络物理地址一一对应的协议。负责IP地址和网+实体地址(MAC)之间的转换。也就是将网络层(IP层’也就是相当于ISO OSI的第三层)地址解析为
数据连接层(MAC层,也就是相当于ISOOSI 的第二层)的MAC地址。ARP 表支持在MAC地址和IP地址之间的一一对应关系,并提供两者的相互转换。由于ARP协议无法识别ARP谓求kg响应报文的衣实性,使得攻击者可以通过抢先构造出ARP报文,对内网所主机以及交换设备进行欺编,从而达到流量重定向的攻击的目的。
常见内网ARP欺骗攻击的主要手段有ARP内网挂马攻击,ARP内网嗅探攻击,ARP挂马攻击主要使得内网主机在访问外部网页时,被强行插入一个恶意网页木马链接,达到种植木巧的攻击效果。ARP内网嗅探攻击主要是攻击机在被攻击机与访问站点之间做一个中间人攻击,使得所有通信数据先流向攻击机,再转发出去。常用内网鸣探攻击工具有cain 、cttcrcap。
八、拒绝服务攻击
在网络攻击中,恶意攻击者为了破坏目标服务的可用性,或者让目标服务器进行重启来执行某些功能,通常会采用拒绝服务攻击的方式。拒绝服务攻击的分类方法有很多种,从不同的角度可以进行不同的分类,而不同的应用场合需要采用不同的分类。常用的柜绝服务工具有:SYN Flood, UDP Flood、傀儡僵尸等分布式拒绝服务工具。
拒绝服务攻击可以是物理的(硬件的),也可以是逻辑的(logic attack), 也称为软件的(sofwareattack)。物理形式的攻击,如偷窃、破坏物理设备,破坏电源等。
按攻击的目标又可分为节点型和网络连接型,前者旨在消耗节点(主机host)资源,后者旨在消耗网络连接和带宽。而节点型又可以进一步细分为主机型和应用型,主机型攻击的目标主要是主机中的公共资源如CPU、磁盘等,
使得主机对所有的服务都不能响应;而应用型则是攻击特定的应用,如邮件服务、DNS服务、Web服务等。受攻击时,受害者上的其他服务可能不受影响或者受影响的程度较小(与受攻击的服务相比而言)。
按照攻击方式来分可以分为:资源消耗和服务中止。资源消耗指攻击者试图消耗目标的合法资源,例如,网络带宽、内存和磁盘空间、CPU使用率等。服务中止则是指攻击者利用服务中的某些缺陷导致服务崩淸或中止。
按受害者类型可以分为服务器端拒绝服务攻击和客户端拒绝服务攻击。前者是指攻击的目标是特定的服务器,使之不能提供服务(或者不能向某些客户端提供某种服务),例如,攻击一个web服务器使之不能访问;后者是针对特定的客户端,即用户,使之不能使用某种服务,例如,游戏、聊天室中的"踢人",即不让某个特定的用户登录游戏系统或聊天室中,使之不能使用系统的服务。大多数的拒绝服务攻击(无论从种类还是发生的频率角度)是针对服务器的,针对客户端的攻击一般发生得少些,同时因为涉及面小,其危害也会小很多。
按攻击是否直接针对受害者,可以分为直接拒绝服务攻击和间接拒绝服务攻击,如要对某个E-mail账号实施拒绝服务攻击,直接对该账号用邮件炸弹攻击就属于直接攻击为了使某个邮件账号不可用,攻击邮件服务器而使整个邮件服务器不可用就是间接攻击。
按攻击地点可以分为本地攻击和远程(网络)攻击,本地攻击是指不通过网络,直接对本地主机的攻击,远程攻击则必须通过网络连接。由于本地攻击要求攻击者与受害者处于同一地,这对攻击者的要求太高,通常只有内部人员能够做到。
九、网电空间对抗
随着军用信息网络的发展,网电空间(cyberspace)成为继陆、海、天之后的又一重要战场,网电空间对抗技术也逐渐成为各同军队争相发展的热点。美军于2009年6月正式成立网电司令部,全面规划和管理各军种网电对抗的指挥控制、信息共享、装备论证和作战训练。
网电空间是通过网络化系统相关物理基础设施,利用电子信号和电磁频谱,存储、修改和交换数据的域,涵盖了信息的产生、处理、传输、使用、存储的全过程,包括信息通过电磁信号在电磁频谱空间中传输的过程,是一个全新的作战域。
网电空间中包含多种异构网络。异构网络的连接方式包括物理连接和虚拟连接。物理连接指异构网络之间通过网络设备互联,如计算机网络和移动通信网络之间通过网关互联。虚拟连接指异构网络之间没有通过网络设备进行直接连接,但可以利用移动介质、终端等实现连接,如外部网络和隔离网络之间没有直接连接但是可以通过移动介质、终端等实现两个网络间的信息传输。
网电空间对抗的范围包括网电态势感知、网电攻击和网电防御等三大领域其基本模式是结合传统网络战和电子对抗的特色和优势,实现自上而下、自下而上的信息干预,从而影响认知域。具体的技术发展思路内容包括两个层面,即实现网络化的电子对抗和实现电磁化的网路攻击。
美军在网电对抗方面已经形成了一系列具有实战能力的技本和装备体系,其中比较有代表性的包括:舒特系统、震网攻击技术、数字大炮、网电飞行
器等。其中震网攻击技术在针对伊朗核设施的作战应用中一举成名,成力目前网电攻击的典型范例。
十、攻击案例——震网攻击技术
2009年,伊朗核设施中大量浓缩袖离心机报废,核项目进展严重停滞。2011年2月,为防止核泄漏,伊朗宣布暂时卸载其布什尔梭电站的核燃料。据权威反病毒机构分析显示,造成该事件的罪魁祸首为"超级工厂"(震网)病毒。
经分析发现,超级工厂病毒攻击核电站的方法是:摧毁核电站的浓缩轴离心机。为了摧毁离心机,病毒使用了三种方法:
(1)在控制浓缩袖离心机的可编程逻辑控制器(PLC)上植人恶意代码,使离心机和汽轮机超速运行,直至高温烧毁;
(2)屏蔽监控系统的报警信号,使操作人员不能发现上述异常;
(3)平时处于潜伏状态,只有当离心机变频器频率在600-1200HZ间时才激洁,以增加隐蔽性。
而伊朗核电站保护重重,物理隔离,为了能成功接触控制离心机,病毒采用了三个步骤:
(1)进人核电站:感染核电站工作人员的移动介质和西门子step 7工程文件,在这些介质和工程文件被使用时,感染相应的主机;
(2)网络渗透:通过移动介质、step 7工程文件和局域网对核电站内部网络进行不断的渗透;
(3)定位并攻击:在渗透过程中,寻找控制可编程逻辑控制器(PLC)的计算机, 并发起攻击。
核电站的控制网络结构一共分为四个部分,企业按制网、边缘网络、生产操作网络和过程控制网。
企业校制网,用干对核电站信息的管理。生产操作网,主要用于在控制系统、ERP系统和企业控制网之间交互信息。边缘网络,主要用于对控制系统中的设备进行管理,为终端用户提供信息、对网络中软件提供补丁,如更新病毒库等。控制网包含了PLC编程的计算机,离心机电机以及控制这些电机的可变频驱动器VFD。
为了保证安全,网络中还有三层防火墙,每层防火墙过滤规则极为严格,除了工控系统的文件传输服务、RFC服务和数据库服务外,其他全部不允许。处于互联网的攻击者,为了能成功攻击浓缩袖离心机,必须穿透或绕过这几层网络和三层防火墙。
震网病毒的渗透攻击过程如下所述。
(1)攻击开始时,攻击人员攻陷某工作人员家中的上网电脑,并通过该电脑感染了他的U盘。该工作人员工作时将被感染的U盘接人企业控制网的客户端计算机,当用户打开该磁盘时,触发一个操作系统漏洞,病毒隐蔽植入该计算机。接着病毒利用网络漏洞迅速感染企业网内部的其他计算机。
(2)由于核电站网络中,工作人员常需要通过VPN登录CAS服务器(中心存档服务器),中心服务器上部署了西门子的wincc数据库。病毒向该数据库提交一个恶意的SQL请求,就可以攻陷CAS服务器,并在边缘网络内部传播。
(3)存档服务器相当于一个数据中心,上面的数据来自于控制系统网络中的os服务器。使用类似的方法,病毒可穿透后端防火墙,感染0S服务器,
并通过网络在其内部感染控制PLC的工作站,对其修改,破坏与之相连的离心机。
以上只是震网病毒其中一种传播方式,此外还有很多种传播方式。例如由于病毒能感染西门子工程文件,工作人员可能直接将被感染的文件拷贝到企业网中的客户端打开,导致病毒进人核电站内部网。