深度:震网病毒的秘密
引子:
看到litdg翻译的《震网的秘密兄弟(一)》,感觉有些地方跟我想象的不一样,所以在litdg兄的基础上就行了更新,我是搞工业自动化的,恰巧阴差阳错的跟信息安全有了些交集,所以以ICS(工业控制系统)的视角,来阐述我对原文的理解。
真正用来破坏伊朗核设施的震网病毒,其复杂程度超出了所有人的预料。
作为第一个被发现的网络攻击武器,震网病毒在被发现后三年来仍然困扰着军事战略家、信息安全专家、政治决策者和广大公众。围绕震网病毒的分析主要有:
(1)它是如何攻击位于Natanz的伊朗核设施的?
(2)它是如何隐藏自己的?
(3)它是如何违背开发者的期望并扩散到Natanz之外的?但是这些分析的主要内容要么是错误的要么是不完整的。
因为,震网病毒并不是一个而是一对。大家的注意力全都关注着震网病毒的“简单功能”,即该功能用来改变铀浓缩的离心机转速,而另外一个被忽视的功能是却是更加的复杂和隐秘的。这一“复杂功能”对于了解ICS (IndustrialControl System的简称)信息安全的人来说简直是梦魇,奇怪的是“复杂功能”竟然先于“简单功能”出现。“简单功能”在几年后才出现,不久即被发现。
随着伊朗的核计划成为世界舆论的中心,这有利于我们更清晰的了解通过程序来尝试破坏其核计划。震网病毒对于伊朗核计划的真实影响并不确定,因为到底有多少控制器真正的被感染,并不清楚,没有这方面的消息。但是不管怎样,通过深入的分析我们可以知道攻击者的意图、以及如何实现意图。我在过去的三年里对震网病毒进行分析,不但分析其计算机代码,还有被攻击工厂中采用的硬件设备以及核工厂的操作流程。我的发现如下全景图所示,它包含震网病毒的第一个不为人知的变种(“复杂功能”),这一变种需要我们重新评估其攻击。事实上这一变种要比公众所认知的网络武器危险的多。
今天,我们已经知道,拥有“复杂功能”的震网病毒包含一个payload,该payload可以严重的干扰位于Natanz的铀浓缩工厂中的离心机保护系统。
后来的震网病毒,被大家熟知的那个“简单功能”版,控制离心机的转速,通过提高其转速而起到破坏离心机的效果。老版本的震网病毒(“复杂功能”)其Payload采用了不同的策略,它用来破坏用于保护离心机的Safe 系统。
Safe系统通常部署在发生异常的条件下,可能导致设备毁坏或生命财产损失的地方。在Natanz,我们看见一个特殊的安全保护系统,通过它的部署可以使得过时且不可靠的离心机型号“IR-1”持续的运转。安全保护系统是伊朗核计划的关键组成部分,如果没有它,离心机IR-1几乎无用。
IR-1离心机是伊朗铀浓缩的根基。它可以追溯到从20世纪60年代末由欧洲设计,70年代初被窃取,并被巴基斯坦的核贩子A.Q.Khan稍稍改进。全金属设计的IR-1是可以稳定的运行的,前提是其零件的制造具有一定精度,并且关键组件例如高质量频率转换器和恒力矩驱动质量很高。但是伊朗人并未设法从过时的设计中获取更高的可靠性。因此他们不得不降级离心机的运行压力在Natanz工厂。较低的运行压力意味着对转子的机械压力变小,这样离心机转子损坏就会降低,从而减少了由于转子损坏而使得离心机离线的数量。但是较小的工作压力意味着较少的产出,因而效率较低。IR-1离心机在最佳情况下,只能达到其最高产能的一半。
这种不可靠和低效率的IR-1型离心机,对于伊朗来说有一个显而易见的有点,伊朗可以大规模的制造生产。伊朗通过数量来弥补不稳定性和低效率,他们能够接受在运行过程中一定数量的离心机损坏,因为他们制造离心机的速度比离心机损坏的速度要快多了。但是要想让所有的离心机工作,伊朗需要下一番功夫。通常,离心处理操作是一个严苛的工业流程,在流程运行过程中,它不可以存在任何的问题,甚至连小型设备的问题也不可以。伊朗建立了一套级联保护系统(译者:类似于Safe系统),它用来保证离心流程持续进行,即使离心机坏掉。
在离心机层,级联保护系统在每个离心机上安装了三个截止阀。通过关闭这些阀门,运行出故障的离心机可以从现有的系统上隔离出来。隔离后的离心机可以停机并被维护工程师替换,而工艺流程仍然正常运行。
上图是2008年,当时的总统艾哈迈迪.内贾德在Natanz的控制室观看SCADA的场景。面对摄影师的屏幕显示两个离心机已经被隔离,提示存在问题,但这并没有影响整个工艺流程的持续运行。(红色高亮显示的是有问题的离心机)
但是这种隔离阀的解决方案也导致了许多问题。当基于不可靠的离心机运行时,离心机会经常被关闭,当同组的离心机已经被隔离的情况下,维护工程师可能没有机会替换另一个刚刚毁坏的离心机(译者注:通常工业现场采用冗余,因此伊朗也很可能采用了离心机的冗余策略,即一个坏掉,可以马上切换到另外一个使其工作,问题他们
的离心机太脆弱,会出现两个都坏了的情况。)如果同一个组中的离心机都停机了,运行压力(使用离心机进行铀浓缩过程中非常敏感的参数)将会升高,从而导致各种各样的问题。
伊朗人发现了一个很有创造力的解决方案来处理这一问题,在每一个铀浓缩组里,都安装了一个排气阀门,当同一组中的多个离心机停机被隔离时,随着压力的升高,该排气阀门可以排气并降低压力。在每一个离心处理组中,压力有传感器检测,如果压力超过限值,排气阀门就会被打开,降低压力。
这一系统可以保证Natanz的离心机运转,但是这也让它陷入了可能被远程网络攻击的泥潭,有时候会让人怀疑涉及这个系统的人是不是头脑混乱。
Nataz的级联保护系统基于西门子的S7-417系列工业控制器,这些控制器用来操控每个离心机上的阀门和压力传感器,共6组164台离心机。控制器可以被理解成一个嵌入式计算机系统,它直接连接物理设备,例如阀门。震网病毒被设计用来感染这些控制器,然后以用户难以想象的方式取得控制权,这种情况从来没有在ICS相关的会议上讨论过。
感染了震网病毒的控制器从真实的物理层断开了,合法的控制逻辑变成了震网病毒想让他展现的样子(译者注:就是控制器不在控制具体的物理信号和物理设备,仅仅是对上层应用程序提供一个看上去它还在正常工作的假象而已。)在攻击序列执行前(大概每个月执行一次),病毒代码能够给操作员展示物理现场正确的数据。但是攻击执行时,一切都变了。
震网病毒变种的第一步是隐藏其踪迹,采用了来自好莱坞的策略。震网病毒以21秒为周期,记录级联保护系统的传感器数据,然后在攻击执行时以固定的循环重复着21秒钟的传感器数据。在控制室,一切看起来都正常(译者注:因为攻击执行时,被感染的控制器重复的向控制室的监控中心发送的是正常的21秒周期传感器数据,所以监控中心完全发现不了。),既包括操作员也包括报警系统。
然后震网病毒开始其真正的工作,它首先关闭位于前两组和最后两组离心处理的隔离阀。阻止了受影响的级联系统的气体流出,从而导致其他的离心机压力提升。压力的增加将导致更多的六氟化铀进入离心机,给转子更高的机械应力。最终,压力可能会导致气体六氟化铀固化,从而严重损害离心机。
这种攻击一直持续到攻击者认为达到目的为止,根据监控到的离心机的工作状态而定。如果他们是为了毁灭性的破坏,那么很简单。在Nataz的案例中,一个控制器控制的气体固化可以轻易损坏上百台离心机。听起来这个目标非常有价值,但它也会暴露攻击者。伊朗的工程师在后期的分析中可以轻易的找到事故发生的原因。这次攻击的实现过程中,攻击者密切监视运行的压力和离心机的状态表明,他们小心翼翼的避免毁灭性的损坏。增大运行压力的方式看起来更像是为了让转子寿命更短一些。
不管怎样,攻击者非常谨慎的实施了这次攻击。攻击的代码设计如此精细,因为细小的改变或者配置错误都可能带来很大的影响,甚至导致程序崩溃,一旦崩溃,就会被伊朗的工程师发现从而暴露行踪。
这次过压的攻击结果也是未知的。不管是什么,在2009年的时候,攻击者决定尝试一些新的东西。
新的震网病毒变种(译者注:“简单功能”版),与原始版完全不一样(译者注:“复杂功能”),与震网病毒原始版相比,它更简单且缺少隐蔽性。震网病毒的“简单功能”版用来攻击Natanz工厂中的离心机的驱动系
统,该驱动系统用来控制转子的转速。(译者注:可以参照前文中的第二张图,“复杂功能”版用来攻击给离心机降压的保护系统,“简单功能”版用来直接攻击离心机的电机驱动系统)
与“复杂功能”版相比,震网病毒的“简单功能”版其传播方式也不同,这一病毒程序的早期版本必须安装在目标机上,最有可能是通过工程师站(译者注:几乎所有的自动化厂商的现场设备都会存在工程师站,工厂控制组态和设计均由工程师站来进行,任何自动化厂商的工程师站如果被入侵的话,以脚本小子的技术水平都可能会对工业现场的设备造成极大影响,可以说工程师站就相当于工厂控制系统的root账户)或者通过USB来感染西门子控制器的配置文件。换句话说,震网病毒的“简单版本”需要攻击者来故意传播。
震网病毒的新版本(译者注:“简单功能”版)可以自我复制,通过网络和USB来扩散到所有的计算机中,这些计算机不仅包含安装了西门子组态软件的PC,其他的也一样感染。(译者注:西门子控制系统的组态软件主要是WinCC,伊朗采用的就是WinCC,整个工业控制系统的网络中,安装了组态软件的PC通常是叫做工程师站,单纯监控类软件的叫做操作员站,当然还有存储数据的DataServer等等,因此一个工厂中的控制层网络中的PC 数量可能在几十台,甚至更多。震网病毒的感染是将工厂网络中所有的PC都感染了。)这表明,攻击者已经不必
通过具有访问权限的人员来直接进行病毒传播了,也不用直接访问由其他部门安装配置的离心机系统(译者注:因为病毒已经在控制层网络中扩散开了,现场的设备层离心机是接在了控制层网络中的,所以此时所有的离心机驱动都能够访问控制了。)。
更重要的是,震网病毒使用了之前并未被发现的微软Windows软件漏洞即“0day”漏洞,这些“0 day”漏洞在市场上价值数十万美元。新版本的震网病毒(“简单功能”版)盗用了数字签名,从而使得它看上去是一个合法的驱动程序,事实上最新版的Windows操作系统仍然会认为它合法。
这一切都表明,某个新组织开发了震网病毒(“简单功能”版),该病毒包含了宝贵了0 day漏洞和窃取的数字证书。相比之下,开发震网病毒(“复杂功能”版)用来实现对离心机进行压力攻击的团队是一群顶尖的工控系统安全专家和游离余IT信息安全之外的信息安全程序开发者(译者注:说白了,这些人就是专门搞工控系统信息安全的,包括程序开发者)。而用于提高离心机速度进行攻击的震网病毒(“简单功能”版),则指向了更大的范围和新的重点。如果震网病毒是美国开发的,根据已经公布的资料可知就是美国人开发的,这只有唯一的理论上的地点:位于马里兰州(MaryLand)米德堡(FortMeade)的美国国家安全局总部。
虽然以多个“0 day”为代价,新的震网病毒(“简单功能”版)与原始的震网病毒(“复杂功能”版)相比,更容易作为恶意程序被识别,因为它突然表现出的奇怪的和精密的行为。(译者注:肯定的,因为它恶意的调整离心机转速,工业现场的工程师一下就能发现系统出问题了。)相反,震网病毒的原始版(“复杂功能”版)则表现的更像是一个合法的软件,运行在位于Natanz工厂中的西门子控制器中,唯一怪异的地方在于它没有版权声明和许可条款。(译者注:工控厂商的软件,通常都会有版权声明的,大概说的就是这是哪家公司的软件,不可以拷贝等等。另外,病毒应该也能够运行在其他工厂的西门子控制器中。)而新的震网病毒(“简单功能”版)则包含了黑客们梦寐以求的大量的Exploit,甚至一些很牛的反病毒研究者都觉得它有些地方太强大,需要仔细的研究。
新的震网病毒(“简单功能”版)与原始版本(“复杂功能”版)相似,也采用了周期性攻击的策略,大概每个月攻击一次,但是触发攻击的条件要简单的多。在进行增加压力攻击(“复杂功能”版)时,需要检测过程变量,在某一特殊条件出现下,则触发攻击。(译者注:应该是根据过程变量的数据值,来判断是否进行攻击,个人猜测,该功能主要用来提升压力,程序的逻辑可能是判断当前运行的压力信息,当压力信息达到某一个期望值时,控制泄压阀关闭,从而使得压力进一步升高,从而起到攻击效果,如果系统当前运行的压力值不是很高的话,则不攻击,表现正常。),新的震网病毒(“简单功能”版)则要更直接。
新的攻击(“简单功能”版)主要是改变转子的转速。利用过程压力和转子的转速两种方法能够实现增加转子的内壁压力,其中通过增加转子转速来实现增加转子的内壁压力是比较容易的方法。显然震网病毒(“简单功能”版)采用了这一办法。通常IR-1型离心机的工作转速为63000转/分钟,震网病毒(“简单功能”版)对其提速了三分之一达到了84600转/分钟并运行了15分钟,接下来让离心机停下来达到120转/分钟(译者注:近乎停止,大家生活中接触到的电机通常在几千转的样子),然后再让他们全速运转,整个过程持续50分钟。(译者注:大家可以想象我们自己开的车,把油门踩到底,然后急刹车,然后再把油门踩到底…每个月这么折腾一次,每次50分钟的后果。)IR-1型离心机采用了超临界设计,意味着转子转速到达工作速度前已经超过了所谓的临界速度,每当转子速度超过这些临界速度时,会产生谐波,可能毁坏转子。(译者注:大学课程《电机拖动》有过这方面的介绍,不过我忘了,大概说的就是电机运转有一个安全区间,在此一切ok,在此区间外就不妙了。就像葛优说的,步子大了容易扯到蛋,电机速度太快也一样。),
如果在攻击时仅仅一个转子被毁坏,级联保护系统能够将毁坏的离心机隔离,并继续欲行其他的离心机。但是如果多个转子同时被毁坏(一个相当有可能的情况),伊朗的操作员就悲剧了,他们很诧异,为何如此多的离心
机同时坏掉。库房里虽然有足够的离心机来更换,但是这让控制系统工程师无法解释这一问题而非常令人沮丧,可以把这些离心机看成幽灵机器(译者注:确实,离心机就像幽灵一样,统一挂掉。)
攻击可能被工业现场的员工认识到,通过他们的耳朵。(译者注:电机速度剧烈变化的时候,能够通过电机发出的声音判断出来。)。让164台离心机(或者更多)从63000转/分钟降到120转/分钟,然后在恢复到63000转/分钟,如果富有经验的员工在现场拿掉他们的保护耳机的话,是能够注意这一问题的。(译者注:工业现场噪音很大,特别是离心机这种,现场员工可能确实佩戴保护性的耳机,那样他们确实听不到离心机的诡异声响。)。这从另一个侧面说明,震网病毒(“简单功能”版)的开发者已经接受被现场操作员发现的风险。
关于震网病毒通过破坏大量离心机,从而明显降低了伊朗铀浓缩的产能的文章已经有很多。虽然那是毋庸置疑的,但是它并未表现出攻击者的意图。如果震网病毒导致了灾难性的后果,那么那就是个意外,而不是不是它的初衷。攻击者可以采取一击致命的措施,但是他们选择了持续周期性让其窒息的方式。震网病毒是一种低效率的武器,旨在降低伊朗的离心机的使用寿命,使得伊朗的控制系统表现的超出了他们的掌控。
此战略很难被发现,当震网病毒开发出来时,伊朗已经具备了量产IR-1型离心机的能力。在2010年夏天,当震网病毒大量爆发的时候,伊朗运行着4000台离心机,并且在库房中保存着另外5000台作为备用。一次性毁坏伊朗的操作设备并不能够损害伊朗的核战略,就像在1981年巴基斯坦发生的大地震,虽然严重的破坏了巴基斯坦的4000台离心机,但是并没有阻止巴基斯坦最终获得核武器。据我的估算,震网病毒延缓了伊朗的核
项目两年,假使同时毁掉所有的离心机也不会产生如此大的延期。(译者注:也就说通过这种病毒手段破坏离心机比通过暴力破坏离心机的性价比还要高)
图为2008年至2010年Natanz工厂的离心机库存数据,伊朗始终保存着至少50%的备用离心机,也就是说同时
摧毁运行中的离心机基本上不能阻止伊朗的核发展进程。(译者注:从图中可以看出在某一阶段09年底至10年底,伊朗的备用离心机数量超过了4000台,比运行中的离心机数量还多,如果一次性将运行中的离心机全部干掉,伊朗仍然有足够的离心机进行替换。)
低效率的震网病毒攻击方法提供了额外的附加值,它使得伊朗的工程师抓狂,并且使得他们再也不能有效的运行工厂(该工厂的设计是20世纪70年代窃取设计后,开始运行的)和他们过度的数字保护系统。与巴基斯坦的铀浓缩计划相比,人们会注意到一个重要的效率差异,巴基斯坦在其摇摇欲坠的经济背景下,仅用了短短两年的时间就完成了从零开始到低浓度的铀浓缩,并且没有采用最新的数字控制技术。而伊朗虽然借助了巴基斯坦核贩子A.Q. Khan的帮助并通过卖原油而积累了大量的资金,但是为了完成低浓度铀浓缩花费了超过10年的时间。如果伊朗的工程师不那么无能的话,他们应该在能在震网病毒入侵他们系统之前完成铀浓缩。(译者注:不是敌人太狡猾,而是我方太无能。)
相传在2010年的夏天,当震网病毒破坏了Natanz工厂后,由于控制软件存在一个bug,在对该软件进行升级时,震网病毒便由此从核工厂向外界扩散开来。(译者注:伊朗不可能天真到为了升级控制软件与而与外界进行联网升级的,因此它的升级应该是通过售后工程师去现场进行升级的。)虽然那是个美妙的传说,但不可能是真的。震网病毒仅在局域网中的电脑间传播,或者是通过USB拷贝文件时传播。换句话说,震网病毒必须需要黑客来实现大量传播,通过调制解调器或者VPN进行远程访问的这段时间里,黑客可以将震网病毒扩散到整个世界。(译者注:来自赛门铁克的震网病毒分析文档中介绍过,其主要是通过USB漏洞和打印机驱动漏洞实现局域网内的传播的。因此,震网病毒在因特网上的传播是有人明确的散播的。)
Natanz工厂的设备供应商,同样要为其他客户进行工作。这些人员很可能将他们感染了震网病毒的笔记本电脑带到了其他客户那里,并将他们的电脑接入了这些次要客户的局域网中。例如,他们将震网病毒传播到了一个水泥厂,而这个水泥厂的其他供应商也将移动PC接入了这个已经被感染的局域网,这样这些移动PC就可以将病毒传播的更远,传播到另外一个水泥厂或者另一个国家。在这个传播链条上,受感染的设备供应商或者雇员可能通过远程访问他们的机器,从而使得病毒传遍了五大洲。震网病毒以它的方式迅猛的传遍了世界各地。(并不是因为数以亿记的控制系统连接到了因特网,而是其利用了在因特网上的可信网络隧道。)例如,远程维护通常会具备在线访问共享文件夹的权限,从而给了震网病毒一个通过安全数字通道进行传播的机会。我和我的同事早在2010年帮助那些感染了震网病毒的客户时就发现,这些客户所从事的领域与核领域完全不相关。(译者注:也就是说,震网病毒可能在很多的工业控制系统中存在,只是人家对于非核领域的工业控制系统不感兴趣罢了,否则想搞你,很容易。)
鉴于震网病毒将被感染系统的网络协议地址和主机名发送给了它的CC服务器(Command and Control Server),可以看出攻击者很显然希望将病毒扩散到民用系统,并很渴望精准的控制其传播。通过精准的控制,最终实现将病毒扩散到为Natanz工作的设备供应商,以及这些供应商的客户,甚至伊朗的秘密核工厂。
震网病毒为未来的攻击者提供了一个有用的蓝本,给出了一条入侵坚固系统的康庄大道。攻击者并没有尝试渗透15层防火墙、3个数据单向保护设备和入侵检测系统;而是直接通过感染了具备访问现场权限的软目标即设备供应商。虽然设备供应商也很重视他们的网络安全,但是他们必然无法与Natanz工厂的保护措施相比。感染设备供应商的移动设备和U盘被证明足够好,因为他们早晚会带着这些设备进入工业现场,并接入到Natanz工厂的核心系统中,很轻松的通过安全检查。(译者注:感染病毒的笔记本和USB,通过杀毒软件在当时根本就查不出来,所以,当时只要接入伊朗的系统中,就必然中招)
任何后来的攻击者当他们想攻击坚固系统时,都会考虑这种攻击方法。在全球范围内清醒的现实是,几乎每一个工业或者军事设施所使用的工业控制系统在一定程度上依赖其供应商网络,而这些供应商,精于其业务,而疏于网络安全。虽然工业控制系统信息安全专家已经讨论了很多年的内部安全风险,这些圈内人的讨论无意间帮助了黑客部署了网络攻击武器–震网病毒。
虽然震网病毒是一个国家工程,因为需要大量的资源和相当高的智慧,但是未来面向工业控制系统或者“信息物理系统”(Cyber-physical System)的攻击可能不再是国家工程。由于攻击者自我强加的约束条件,即破坏设备的同时还要让对方认为这仅仅是设备可靠性问题,开发震网病毒付出了很大的代价。我个人估算,超过50%的工作是用来开发震网病毒的隐藏攻击行为上,投入了大量的资金在“复杂功能”上,使得“复杂功能”一方面在进行增加压力攻击的同时还要伪装成一切工作正常的样子。这一投入还包括建立IR-1型离心机样机的全功能级联保护系统,该系统使用了真正的六氟化铀。(译者注:下的本儿够大的,建一套高仿的IR-1型全套系统成本肯定不小。)从震网病毒上获取灵感的攻击者并不需要将如此大的精力花费在行为伪装上,他们可能希望受害者知道自己正遭受网络攻击,并以此来炫耀自己。
与震网病毒的攻击者不同,这些人(译者注:指从震网病毒上获取灵感的攻击者)可能将目标定位到民用关键基础设施上。这些系统不但更容易被访问,而且还是标准化的。运行在发电厂或者化工厂的某个系统,可能与下一家工厂的系统配置的十分的相似。(译者注:确实如此,甚至几大工控厂商的产品,都有一定的相似度。)事实上,所有新式的工厂,都采用了标准工业控制系统架构,采用的设备都是来自这个行业里的少数几个供应商,采取的工控系统配置都相似甚至完全一样。(译者注:工控系统全套设备的供应商,全球就那么几家,细分行业后更少。)换句话说,如果你控制了一套工业控制系统,你可以渗透几十个甚至上百个相同系列的工业控制系统。
纵观这两个版本的震网病毒,有一条最终线索(在这场表象的攻击过程中,幕后隐藏着更为重大的事情)。在这场攻击的奥运会(Operation Olympic Games,多年的针对伊朗核计划的在线间谍活动和蓄谋破坏行动)中,
显然包含了比开发和部署病毒程序(虽然病毒程序很精妙)更多的内幕。这不仅仅是一场攻击,而是一场战役,而且这场战役的重点在执行过程中发生了显著的改变。
当我的同事和我在2010年第一次分析这两个版本的攻击,我们最初认为这两个版本的攻击是同时进行的,也许其目的是想增加转子转速的同时使级联保护系统失效。这被证明是错误的,从过代码可以发现,这两个版本的攻击并未协作。然后我们认为用来攻击离心机驱动系统的病毒(译者注:“简单版本”)是是简单的并且是先于“复杂版本”出现的。(“复杂版本”用来攻击级联保护系统。)针对级联保护系统的攻击表现出了十足的网络能力(“CyberPower”),表面上看该攻击是基于“简单版本”的基础上开发出来的。几年后,发现我们想反了,原来“复杂版本”竟然先于“简单版本”出现。那么为什么攻击者会转向“简单版本”呢?
这两个版本的巨大差异,表明改变攻击重点很可能是因为利益相关者发生了变化。通过技术分析表明,当攻击者尝试以新的方式搞乱Natanz的业务时,攻击者关心的首要问题已经不再是攻击被人发现的问题了。关注重点的转移可能助长了一个简单的见解:核扩散来了又走了,但是网络战却留下来了。这场攻击的奥运会(Operation Olympic Games)开启了一场不可预知结果的实验。沿着这条路,一个结果变得清晰,即“数字武器”出现了。与“模拟武器”不同,它们并未通过军队来产生伤害,他们产生的附加伤害很少,它们可以被偷偷的部署,并且非常的便宜。这个打开的潘多拉盒子所产生的影响已经远远超过伊朗本身,它使得20世纪的暴力战争看起来技术含量很低而且很残酷。
换句话说,鼓吹这场在线的破坏战役有附加的好处。随着震网病毒的披露,这场攻击的已结束,但是并未结束它的影响。五角大楼采用了不同于传统的硬件,它不能显示USB驱动器。震网病毒的启示向世界展示了在一个世界超级大国手中的网络武器可以做哪些事情。它当然使得美国免于尴尬,如果另外一个国家或者一个对手在数字领域率先展示出如此精妙的技术,那将是美国历史上另一个不折不扣的斯普特尼克时刻。(译者注:斯普特尼克时刻是人们认识到自己受到威胁和挑战,必须加倍努力,迎头赶上。它来自当时苏联发射的第一颗人造地球卫星“斯普特尼克”一号,此举击败了美国,率先进入太空。)
我们并不确定震网病毒是否是被故意披露的,由于有如此多的人参与,它的一个意想不到的副作用竟然最终成为了关键。有一件事我们必须知道:震网病毒改变了21世纪的全球军事战略。
引子: 看到litdg翻译的《震网的秘密兄弟(一)》,感觉有些地方跟我想象的不一样,所以在litdg兄的基础上就行了更新,我是搞工业自动化的,恰巧阴差阳错的跟信息安全有了些交集,所以以ICS(工业控制系统)的视角,来阐述我对原文的理解。 真正用来破坏伊朗核设施的震网病毒,其复杂程度超出了所有人的预料。 作为第一个被发现的网络攻击武器,震网病毒在被发现后三年来仍然困扰着军事战略家、信息安全专家、政治决策者和广大公众。围绕震网病毒的分析主要有: (1)它是如何攻击位于Natanz的伊朗核设施的? (2)它是如何隐藏自己的? (3)它是如何违背开发者的期望并扩散到Natanz之外的?但是这些分析的主要内容要么是错误的要么是不完整的。 因为,震网病毒并不是一个而是一对。大家的注意力全都关注着震网病毒的“简单功能”,即该功能用来改变铀浓缩的离心机转速,而另外一个被忽视的功能是却是更加的复杂和隐秘的。这一“复杂功能”对于了解ICS(IndustrialControl System的简称)信息安全的人来说
简直是梦魇,奇怪的是“复杂功能”竟然先于“简单功能”出现。“简单功能”在几年后才出现,不久即被发现。 随着伊朗的核计划成为世界舆论的中心,这有利于我们更清晰的了解通过程序来尝试破坏其核计划。震网病毒对于伊朗核计划的真实影响并不确定,因为到底有多少控制器真正的被感染,并不清楚,没有这方面的消息。但是不管怎样,通过深入的分析我们可以知道攻击者的意图、以及如何实现意图。我在过去的三年里对震网病毒进行分析,不但分析其计算机代码,还有被攻击工厂中采用的硬件设备以及核工厂的操作流程。我的发现如下全景图所示,它包含震网病毒的第一个不为人知的变种(“复杂功能”),这一变种需要我们重新评估其攻击。事实上这一变种要比公众所认知的网络武器危险的多。 2007年有人在计算机信息安全网站VirusTotal上提交了一段代码,后来被证实是震网病毒的第一个变种(“复杂功能”),至少是我们已知的第一个。对于第一个震网病毒变种,在五年后(2012)大家基于震网病毒的第二个变种(“简单功能”)的了解基础上,才意识到这是震网病毒。如果没有后来的“简单功能”版本,老的震网病毒(“复杂功能”)可能至今沉睡在反病毒研究者的档案中,并且不会被认定为历史上最具攻击性的病毒之一。 今天,我们已经知道,拥有“复杂功能”的震网病毒包含一个payload,该payload可以严重的干扰位于Natanz的铀浓缩工厂中的离心机保护系统。 后来的震网病毒,被大家熟知的那个“简单功能”版,控制离心机的转速,通过提高其转速而起到破坏离心机的效果。老版本的震网病毒(“复杂功能”)其Payload采用了不同的策略,它用来破坏用于保护离心机的Safe系统。 译者注:工控系统中通常会部署Safe系统,当现场的控制器和执行器出现异常的时候,该Safe系统会运行,紧急停车防止事故发生。而本文论述的震网病毒“复杂功能”版,将Safe系统也攻陷了。震网病毒的“简单功能”版在没有“复杂功能”的配合下是不能够损坏离心机的,因为离心机的转速不正常的情况下,Safe系统就会工作,会停止离心机的运转,这样伊朗的技术人员能够迅速的发现震网病毒。只有Safe系统也被破坏的情况下,震网病毒的“简单功能”才能够随意的控制离心机的转速。当然伊朗的Safe系统与工业现场的传统意义上的Safe系统有所不同,该Safe系统可以说是辅助系统,因为其离心机质量不过关,必须通过该Safe系统保证整体系统的正常运转。工业现场中很重要的一点是连续长时间的稳定运行。 Safe系统通常部署在发生异常的条件下,可能导致设备毁坏或生命财产损失的地方。在Natanz,我们看见一个特殊的安全保护系统,通过它的部署可以使得过时且不可靠的离
病毒的起源与进化
病毒的起源与进化 摘要:病毒(virus)是由一个核酸分子(DNA或RNA)与蛋白质构成或仅由蛋白质构成(如朊病毒)的非细胞形态的靠寄生生活的生命体。生物病毒是一类个体微小,结构简单,只含单一核 (DNA/RNA),必须在活细胞内寄生并以复制方式增殖的非细胞型微生物。本文就以病毒的发现历程、起源、进化及对人体的影响进行了简明的论述。 关键词:病毒;起源;进化 引言: 病毒,是一类不具细胞结构,具有遗传、复制等生命特征的微生物。病毒同所有的生物一样,具有遗传、变异、进化的能力,是一种体积非常微小,结构极其简单的生命形式,病毒有高度的寄生性,完全依赖宿主细胞的能量和代谢系统,获取生命活动所需的物质和能量,离开宿主细胞,它只是一个大化学分子,停止活动,可制成蛋白质结晶,为一个非生命体,遇到宿主细胞它会通过吸附、进入、复制、装配、释放子代病毒而显示典型的生命体特征,所以病毒是介于生物与非生物的一种原始的生命体。 1病毒为细胞祖先假说
1924年,法裔加拿大微生物学家德海莱提出观点,认为生活中的病毒是细胞的祖先。20世纪60年代诺贝尔生理学与医学奖获得者卢里亚指出病毒是在细胞出现前原始生命汤中的遗骸[1]。这个假说认为,地球上生命产生历程首先由无机物质演化为有机物质,再演化为生物大分子物质,接着产生病毒,然后由病毒演化为原始细胞。持此观点的学者认为:病毒是地球上生物进化过程中最为原始的生命物质,既有化学大分子可以结晶的特点,这是许多非生物物质具有的属性;又具有生物以自身为模板复制产生后代的部分特征,而生物与非生物最根本的区别就在于能否繁殖。研究表明,生物进化通常遵循从简单到复杂的历程。因此,在从非生命物质到生命出现这一漫长的转变过程中,病毒正处于非生物与生物的过渡位置也就顺理成章。在结构上,衣原体等最简单的细胞比最复杂的病毒更复杂,也就是说病毒刚好填补了从化学大分子到原始细胞之间的空白。 2病毒起源于细胞假说 该学派认为如果没有寄主的存在,怎能先产生寄生者呢?这个学派认为只有先产生了细胞,然后因为某些进化事件的出现而产生了寄生性的生命形态病毒。这个学派主要有两种假说,分别为退行性起源假说和内源性起源假说。 2.1退行性起源假说 该假说认为[2],病毒是高级微生物的退行性生命物质,微生物细胞在侵染宿主细胞进化历程中的部分基因丢失,使其逐渐丧失独立的自我繁殖能力,只能进入宿主细胞才能产生后代,并且在进化
Stuxnet蠕虫驱动分析 这里只是分析文字, 贴图影响速度, 就不贴了, 具体看附件pdf文档, 难免有错误之处, 欢迎指正! 一. Stuxnet蠕虫(超级工厂病毒)简单说明 能够利用对windows系统和西门子SIMATIC WinCC系统的7个漏洞进行攻击,被称为是新时代网络战争开始的标志, 也有人宣称是"政府发动的网路战争、带有圣经讯息、最高机密等",呵呵,有点雷人! windows下最主要的传播途径是攻击快捷方式自动执行漏洞(MS10-046), WindowsServer服务的远程溢出漏洞 (MS08-067)以及打印后台程序服务中的远程代码执行漏洞(MS10-061)。 病毒成功攻击了伊朗核电站,造成伊朗核电站推迟发电.由于能够对西门子公司的SIMATIC WinCC监控与数据采集 (SCADA) 系统进行攻击,因此也能攻击我国的钢铁、电力、能源、化工等重要行业, Stuxnet超级工厂病毒直到2010-09-25,才在传入国内网络.我是在近两个月前才收到的,当时只需要简单分析用户态的部分样本,因此没有对驱动进行分析.后来闲着没事时,就分析了驱动部分.不过,此病毒强大之处大部分都在用户态实现. 二.Stuxnet蠕虫(超级工厂病毒)驱动(mrxnet.sys)分析 从Stuxnet蠕虫病毒样本中提取出了两个驱动文件,mrxnet.sys(17k),mrxcls.sys(26k),其中驱动mrxnet.sys在蠕 虫通过u盘驱动器传播时被用来隐藏特定文件,这个驱动是一个文件系统过滤驱动,支持三种文件系统ntfs, fastfat和cdfs文件系统.驱动文件mrxcls.sys则被用于向用户空间中注入代码,被注入的模块被放在一个配 置文件中,这应该就是最初让卡巴斯基头痛的"父进程注入"技术,轻松地绕过卡巴.这里单就只分析驱动
病毒的起源与进化 病毒的起源与进化 摘要:病毒(virus)是由一个核酸分子(DNA或RNA )与蛋白质构成或仅由蛋白质构成(如朊病毒)的非细胞形态的靠寄生生活的生命体。生物病毒是一类个体微小,结构简单,只含单一核 (DNA/RNA ),必须在活细胞内寄生并以复制方式增殖的非细胞型微生物。本文就以病毒的发现历程、起源、进化及对人体的影响 进行了简明的论述。 关键词:病毒;起源;进化
引言: 病毒,是一类不具细胞结构,具有遗传、复制等生命特征的微生物。病毒同所有的生物一样,具有遗传、变异、进化的能力,是
一种体积非常微小,结构极其简单的生命形式,病毒有高度的寄生性,完全依赖宿主细胞的能量和代谢系统,获取生命活动所需的物质和能量,离开宿主细胞,它只是一个大化学分子,停止活动,可制成蛋白质结晶,为一个非生命体,遇到宿主细胞它会通过吸附、进入、复制、装配、释放子代病毒而显示典型的生命体特征,所以病毒是介于生物与非生物的一种原始的生命体。 1病毒为细胞祖先假说 1924年,法裔加拿大微生物学家德海莱提出观点,认为生活中的病毒是细胞的祖先。20世纪60年代诺贝尔生理学与医学奖获得者卢里亚指出病毒是在细胞出现前原始生命汤中的遗骸⑴。这个假说认为,地球上生命产生历程首先由无机物质演化为有机物质,再演化为生物大分子物质,接着产生病毒,然后由病毒演化为原始细胞。持此观点的学者认为:病毒是地球上生物进化过程中最为原始的生命物质,既有化学大分子可以结晶的特点,这是许多非生物物质具有的属性;又具有生物以自身为模板复制产生后代的部分特征,而生物与非生物最根本的区别就在于能否繁殖。研究表明,生物进化通常遵循从简单到复杂的历程。因此,在从非生命物质到生命出现这一漫长的转变过程中,病毒正处于非生物与生物的过渡位置也就顺理成章。在结构上,衣原体等最简单的细胞比最复杂的病毒
收稿时间:2011-07-15 作者简介:李战宝(1964-),男,河南,副研究员,本科,主要研究方向:国外信息安全研究;潘卓(1986-),女,黑龙江,翻译,本科,主要研究方向:国外信息安全研究。 李战宝,潘卓 (1.国家信息技术安全研究中心,北京 100084) 摘 要:2010年伊朗发生的“震网”病毒事件震动全球,成为业界瞩目的热点。文章介绍了“震网” 病毒的关键技术、运行环境、传播方式、特点、危害及防范措施等,并探讨了该事件带来的启示。 关键词:“震网”病毒;数据采集与监视控制系统;工业控制系统 中图分类号:TP393.08 文献标识码:A 文章编号:1671-1122(2011)09-0230-03 The Perspective of Stuxnet Viru LI Zhan-bao, PAN Zhuo ( 1. National Research Center for Information Technology Security, Beijing 100084, China ) Abstract: Last year, the event of Stuxnet virus happened in Iran was a shock to the whole world and it became a hot spot in the industry of the Internet security. This paper introduces the key technology of the Stuxnet virus, its operating environment, its ways and features of infection, as well as its harm and preventive measures. We also explore several inspirations referred to this event to our people, all of this as for reference only. Key words: stuxnet virus; SCADA; ICS doi:10.3969/j.issn.1671-1122.2011.09.070 透视“震网”病毒 1 “震网”病毒震动业界 近期,“震网”病毒(Stuxnet病毒)成为业界热议的焦点之一,信息安全界的许多专家将“震网”病毒攻击伊朗核设施列为2010年十大IT事件之一,并预测类似“震网”病毒的攻击将成为2011年网络破坏行为的重要方式之一,且病毒攻击将更具目的性、精确性和破坏性。 根据著名网络安全公司赛门铁克的研究反映,早在2009年6月,“震网”病毒首例样本就被发现。2010年6月,“震网”病毒开始在全球范围大肆传播,截至2010年9月,已感染超过4.5万网络及相关主机。其中,近60%的感染发生在伊朗,其次为印尼和印度(约30%),美国与巴基斯坦等国家也有少量计算机被感染。数据显示“震网”病毒大约在2009年1月左右就开始大规模感染伊朗国内相关计算机系统。德国GSMK公司专家认为,“震网”病毒对位于伊朗纳坦兹的铀浓缩工厂以及相关设施发起攻击是大概率事件。2010年8月布什尔核电站推迟启动的事件,将“震网”病毒推向前台,并在社会各界迅速升温。2010年11月29日,伊朗总统内贾德公开承认,黑客发起的攻击造成伊朗境内一些浓缩铀设施离心机发生故障。据报道,“震网”病毒可能破坏了伊朗核设施中的1,000台离心机[1]。一位德国计算机高级顾问指出,由于“震网”病毒的侵袭,伊朗的核计划至少拖后了两年[2]。 据悉,2010年7月,我国某知名安全软件公司就监测到了“震网”病毒的出现,并发现该病毒已经入侵我国。该公司反病毒专家警告说,“震网”病毒也有可能在我国企业中的大规模传播。2010年10月3日,中国国家计算机病毒应急处理中心向我国网络用户发出“震网”病毒的安全预警,要求我国能源、交通、水利等部门立即采取措施,加强病毒防范工作。 由于“震网”病毒在伊朗感染的计算机占全球范围的60%,其首要目标就是伊朗的核设施,且技术实现复杂,很多专家推测该病毒发起的攻击很可能是某些国家出于政治目的而操纵实施的。以色列记者罗纳 伯格曼曾撰写《与伊朗的秘密战争》中透露:“如果不是美国和以色列方面早已发动了旨在迟滞伊朗核项目的‘秘密战争’,伊朗的核武研发项目早已实现突破。”书中列举,以色列曾通过欧洲公司向伊朗出售一些工业变电器,通过某种操控,该设备能在瞬间产生数万伏高压电,而在过去几年中,伊朗多处核设施发生供电事故。以色列新闻网站https://www.doczj.com/doc/e22685753.html, 2010年曾引述以色列前内阁成员称,牵制伊朗核计划的唯一可行方法,就是利用计算机恶意软件发动网络攻击。因此,有媒体认为,美国和以色列最有可能是发动该病毒袭击的幕后操纵者。
《骇客交锋》背后看不见的交锋:解密中美伊以新型国家网战 2014年11月,以索尼影像公司遭到黑客攻击为导火索,美国、朝鲜两国在网络上交相攻伐(详见钛媒体文章:《“黑客攻击”也能当借口,奥巴马签署行政命令追加对朝鲜制裁》),引发某些媒体惊呼道:“下一场战争,将是网络战争?”钛媒体科技作者“灯下黑客”告诉我们,不仅仅是下一场战争,实际上,上一场战争已经是网络战争,国家间的网络战早已拉开帷幕 网络战争时代开始于2006年,主角正是震网病毒。它在什么背景下被研发出来的?执行了怎样的命令?达到了怎样的效果?对今天的我们有怎样的启示?有意思的是,作为第一件经过实战检验的病毒武器,震网病毒正式开启了网络战争时代的大门。而因为网战的隐蔽性,大众往往都是看不见的,唯一产生的看得见的成果,却是艺术界受此影响和传导作用产生的一系列艺术作品,例如2015年1月16日,北美开始上映一部新片:《骇客交锋》(Blackhat)。钛媒体作者灯下黑客将这场大战的背后故事一一解答: 2014年11月,索尼影像公司遭到黑客攻击,电脑网络全部瘫痪,职工一度只能靠纸笔办公,仿佛回到三十年前。黑客泄露了大批公司机密,并且要求取消上映《刺杀金正恩》(TheInterview)一片,否则将发动更多袭击。 此举被美国政府定性为恐怖威胁,认为它意在破坏美国的言论自由。根据网络攻击的痕迹,美国还揭露出此番攻击的幕后主使,正是金正恩领导下的朝鲜政府。12月底,朝鲜也受到网络攻击,全国范围内的网络也都无法使用,怀疑是遭到了美国的报复。 美朝两国在网络上交相攻伐,引发某些媒体惊呼道:“下一场战争,将是网络战争?“ 答案是明显的:不仅仅是下一场战争,实际上,上一场战争已经是网络战争。 震网病毒是什么? 2006至2010年,著名的震网病毒曾经入侵伊朗核工厂长达五年之久,严重破坏了伊朗核计划。那次入侵的战场只在网络之间,武器也只是软件程序,但它却完全符合最严格的战争定义:它发生于国家之间,它针对军事设施和人员,它企图达到某种政治目。因此,震网病毒被认为是人类第一场网络战争,我们早在2006年就已进入网络战争的时代。 这场战争发端于2006年。这一年,伊朗违背先前签订的协议,重启核计划,在纳坦兹核工厂安装大批离心机,进行浓缩铀的生产,为进一步制造核武器准备原料。
从细胞生物学角度看病毒 病毒是由核酸分子(DNA或RNA)与蛋白质构成的非细胞形态的营寄生生活的生命体,是一类超显微的非细胞结构。病毒的最基本特点之一即与细胞的最根本区别之一是每个病毒仅含一种核酸分子。病毒没有自己的代谢机构,没有酶系统。因此病毒离开了宿主细胞,就成了没有任何生命活动、也不能独立自我繁殖的化学物质。一旦进入宿主细胞后,它就可以利用细胞中的物质和能量以及复制、转录和转译的能力,按照它自己的核酸所包含的遗传信息产生和它一样的新一代病毒。多数病毒直径在100nm(20-200nm),较大的病毒直径为300-450nm,如痘病毒科,较小的病毒直径仅为18-22nm,如双联病毒科。多数病毒只能在电子显微镜下才能看到。 对于病毒的起源曾有过种种推测,一种观点认为病毒可能类似于最原始的生命;另一种认为病毒可能是从细菌退化而来,由于寄生性的高度发展而逐步丧失了独立生活的能力,例如由腐生菌→寄生菌→细胞内寄生菌→支原体→立克次氏体→衣原体→大病毒→小病毒;还有一种则认为病毒可能是宿主细胞的产物。这些推测各有一定的依据,目前第三种越来越具有说服力。因此病毒在生物进化中的地位是未定的。但是,不论其原始起源如何,病毒一旦产生以后,同其他生物一样,能通过变异和自然选择而演化。 病毒根据遗传物质,可分为DNA病毒、RNA病毒和蛋白质病毒(如:朊病毒),根据病毒结构,可分为真病毒(简称病毒)和亚病
毒(包括类病毒、拟病毒、朊病毒),根据寄主类型,可分为噬菌体(细菌病毒)、植物病毒(如烟草花叶病毒)、动物病毒(如禽流感病毒、天花病毒、HⅣ等),根据性质,可分为温和病毒(HⅣ)和烈性病毒(狂犬病毒)。 病毒主要由内部的遗传物质和蛋白质外壳组成。核酸位于它的中心,称为核心或基因组,核酸是带有遗传密码的病毒基因组。通过遗传学和生物化学方法,已查明一些病毒的基因图谱。对MS2和ΦΧ174噬菌体、花椰菜花叶病毒、SV40和乙型肝炎病毒核酸的核苷酸序列,已全部查明。蛋白质包围在核心周围,形成了衣壳,衣壳是病毒粒的主要支架结构和抗原成分,有保护核酸等作用。衣壳是由许多在电镜下可辨别的形态学亚单位—衣壳粒所构成。核心和衣壳合称核心壳。有些较复杂的病毒(一般为动物病毒,如流感病毒),其核心壳外还被一层含蛋白质或糖蛋白的类脂双层膜覆盖着,这层膜称为包膜。包膜中的类脂来自宿主细胞膜。有的包膜上还长有刺突等附属物。包膜的有无及其性质与该病毒的宿主专一性和侵入等功能有关。昆虫病毒中有1类多角体病毒,其核壳被蛋白晶体所包被,形成多角形包涵体。病毒的复制过程叫做复制周期,其大致可分为连续的五个阶段:吸附、侵入、增殖、成熟(装配)、裂解(释放)。 严重急性呼吸综合征又称传染性非典型肺炎,简称SARS,是一种因感染SARS冠状病毒引起的新的呼吸系统传染性疾病。主要通过近距离空气飞沫传播,以发热,头痛,肌肉酸痛,乏力,干咳少痰等为主要临床表现,严重者可出现呼吸窘迫。本病具有较强的传染性,
计算机病毒的由来 计算机病毒的发源地在美国。早在1949年计算机研究的先驱者纽曼说过,有人会编制异想天开的程序,甚至不正当地使用他们。今天的计算机病毒实际上就属于这样一类程序。在1977年夏天,Thomas I Ryan出版了一本科幻小说,名叫《The Adolesceuce of P-1》。书的作者幻想出世界上第一个计算机病毒。这种病毒从一个计算机到另一个计算机传染流行,它感染了7000多台计算机的操作系统。人类社会的许多现行科学技术,都是先有幻想之后才成为现实的,也许在这本书问世之后,有些对计算机系统非常熟悉,具有极为高超的编程技巧的人顿开茅塞,发现计算机病毒的可能性,从而设计出了计算机病毒。1983年获得美国计算机协会计算机图林奖的汤普生公布了这种计算机病毒存在和它的程序编制方法。“科普美国人”1984年5月还发表了介绍磁心大战的文章,而且只要2美元就可获得指导编制病毒程序的复印材料。很快,计算机病毒就在大学里迅速扩散。各种新的病毒不断被炮制出来。据有些资料介绍:计算机病毒的产生是由一些搞恶作剧的人引起的。这些人或是要显示一下自己在计算机方面的天资,或是要报复一下别人或公司(学校)。前者主观愿望是无恶意的,无非为了炫耀自己的才华。后者却不然,是恶意的,力图在损失一方的痛苦中取乐。 据传,许多病毒的制造者是年轻的大学生、中学生,这些“电脑迷”出于恶作剧或者不可告人的目的,设计或改造了许多病毒,使计算机病毒的品种花样翻新。例如:在台湾有一个改编自“哥伦布日”的病毒。名谓“快乐的星期天”,当病毒发作后,屏幕上出现“HAPPY SUNDAY”字样。另外的一种“两只老虎”病毒,则在摧毁计算机系统后,大唱“两只老虎”的歌曲,令被害者哭笑不得。 1
Stuxnet蠕虫病毒(超级工厂病毒)是世界上首个专门针对工业控制系统编写的破坏性病毒,能够利用对windows系统和西门子SIMATIC WinCC系统的7个漏洞进行攻击。特别是针对西门子公司的SIMATIC WinCC监控与数据采集 (SCADA) 系统进行攻击,由于该系统在我国的多个重要行业应用广泛,被用来进行钢铁、电力、能源、化工等重要行业的人机交互与监控。传播途径:该病毒主要通过U盘和局域网进行传播。历史―贡献‖:曾造成伊朗核电站推迟发电。 2010-09-25,进入中国。 目录 编辑本段 由于Stuxnet蠕虫病毒是首个针对工业控制系统编写的破坏性病毒,对大型工业、企业用户存在一定的风险,所以,冠群金辰公司病毒防护专家给企业用户提出如下安全防护建议,以提高企业抵御未知安全风险的能力:在终端设备上开启防火墙功能。 为终端设备上所有的应用系统安装最新的补丁程序。 在终端上安装防病毒系统,设置为实时更新病毒库,并将病毒库升级到最新版本。 在终端上的用户设置最小用户权限。 在打开附件或通过网络接收文件时,弹出安全警告或提示。 在打开网络链接时,发出安全警告或提示。 尽量避免下载未知的软件或程序。 使用强口令,以保护系统免受攻击。 两个月前,赛门铁克首次披露了W32.Stuxnet针对工业生产控制系统(ICS) 进行攻击,如应用于管道和核动力工厂的控制系统。读者可参见赛门铁克2010
年7月19日的博客–―W32.Stuxnet 攻击微软零日漏洞利用USB设备大肆传播‖。 2010年9月29日,我们还将在Virus Bulletin 会议上发布一篇包含 W32.Stuxnet详尽技术细节的论文。同时我们也注意到,最近非常多的人开始对Stuxnet感染系统且不易检测的事情表示关注。 由于Stuxnet针对某个特定的工业生产控制系统进行攻击,而这些行为不会在测试环境中出现,因此在测试环境下观察到的病毒行为不全面,很可能产生误导。事实上,运行后,Stuxnet会立即尝试进入一个可编程逻辑控制器(PLC) 的数据块—DB890。这个数据块其实是Stuxnet自己加的,并不属于目标系统本身。Stuxnet 会监测并向这个模块里写入数据,以根据情况和需求实时改变PLC 的流程。 在这篇博客里,我们会深入探讨Stuxnet的PLC感染方式和Rootkit功能,特别是以下几个方面: 它如何选择作为攻击目标的工业生产控制系统;感染PLC代码块的方法;注入PLC的恶意代码;在被感染Windows机器中的PLC Rootkit代码。这四点我们会分开讲,因为用来实现这些目的的代码差异很大。 Stuxnet的目的是通过修改PLC来改变工业生产控制系统的行为,包括拦截发送给PLC的读/写请求,以此判断系统是否为潜在的攻击目标;修改现有的PLC代码块,并往PLC中写入新的代码块;利用Rootkit功能隐藏PLC感染,躲避PLC管理员或程序员的检测。这些任务之间差别很大,比如,在被感染的Windows 机器中隐藏感染代码使用的是标准的C/C++ 代码,而Stuxnet 试图在工业生产控制系统及PLC中执行的恶意代码则是用MC7字节码写的。MC7 是PLC 环境中运行的一种汇编语言,并常用STL 进行编写。 在讨论Stuxnet攻击PLC的技术之前,让我们先来看看PLC是如何访问和编写的。 要进入PLC, 首先需要安装特殊的软件;Stuxnet 会专门针对编写PLC某些模块的WinCC/Step 7软件进行攻击。安装这些软件后,程序员可以通过数据线连接PLC,以访问其中的内容,重新配置PLC,下载程序至PLC,或调试之前加载的代码。一旦PLC被配置和编译后,Windows机器就可以断开和PLC的联系了,PLC会自行运行。为了使您有一个更直观的感受,下图显示了在实际操作中,实验室里一些基本的设备配置:
人类拥有的病毒记录,或者病毒症状的记录,仅能追述到有记载的几千年前。而病毒的比较学研究,最多也只有80来年的历史。通过研究现存的病毒,人们希望能够了解病毒的起源和进化历程,预示病毒特别是人类病原病毒未来的变异和进化的方向,也即需要了解随着环境因素的变化,病毒将怎样变异?变异的速度如何?什么是变异的选择压力等?从而能够有效地控制和避免人类及动物病毒的爆发。 要讨论病毒起源的学说,必须首先定义什么是病毒的起源以及如何判断这个起源的发生。这里我们将病毒或其遗传物质从它的前身大分子中独立出来进行自主复制和进化的时候,定义为病毒的起源。当病毒获得了决定自身繁殖和命运的遗传信息量时,它就获得了新的分类地位成为独立的遗传元件。 病毒的起源有三类学说: 1)退化性起源学说。退化性起源学说认为病毒是细胞内寄生物的退化形式。这种细胞内寄生的产生原因可能是由于微生物对某种不能穿过细胞膜的代谢发生了严重依赖。在细胞内,这类寄生物可以在不影响其生存的情况下逐渐丢失部分生物学功能。它们所必需保留的功能是具有可进行自主复制的DNA复制原点(顺式元件)、可以对复制进行调控的反式调控蛋白,以及能与宿主生物合成及复制系统相互作用的顺式和反式功能。最终的选择结构,就可产生一种专性细胞内寄生的DNA分子或质粒。 退化性起源学说可以把病毒的起源解释为两个阶段: 首先,寄生物在细胞内产生独立复制的DNA质粒,然后,编码寄生物亚细胞结构单位的基因发生突变,形成病毒的衣壳蛋白。随着进化的发生,新获得的可在细胞间转移的特性被进一步选择下来。 2)病毒起源于宿主细胞中的RNA和(或)DNA成分的学说。这种学说认为,病毒是正常的细胞组分在进化过程中获得了自主复制的能力独立进化而来的。该学说能解释所有病毒的起源: DNA病毒起源于质粒或转移因子;反转录病毒起源于反转座子;RNA病毒起源于自主复制的mRNA。
随着工业4.0、中国制造2025、互联网+、物联网、 两化融合进程的不断交叉融合,越来越多的信息技术应用于工控领域,工业控制系统信息安全正迅速成为新兴战略产业,随之而来的是对于工控网络安全人才的需求的巨大需求,而作为自动化、通信技术、安全技术等交叉的学科类人才的培养,目前尚处在摸索阶段。 ICS 自动化技术 计算机网络 信息安 全技术 工控网络安全所处交叉领域 目前工控网络安全人才市场呈现出人才供需缺口方面、学科交叉不易于培养、学科体系标准缺失教学开展实训缺乏环境等三大类方面的矛盾。华创网安工控安全团队应对于培养高级复合型工业网络安全人才的需求,将产业发展与高等教育深度融合,通过不懈的努力研发了以工控系统网络安全为基础,以物联网安全为导向的工控网络安全移动实验箱,填补了目前行业专业教育的空白,为高校、研究所、教育培训机构、企事业单位开展专业教育提供了有效的攻防实验工具和实
验教程。为迈向工控网络安全专业人才培养的新高度做了新的尝试和探索。 1.0 华创网安便携式工控安全实验箱产品简介 华创网安便携式工控安全实验箱是一款针高校及培训机构教学、科研院所研究、大型企事业单位培训展示的以工控及其工控网络安全为主题设计的移动式平台。该实验箱以精简的自动化系统为基础,很好的融入了华创网安的工控网络安全解决方案。便携式移动实验箱箱集成了主流工业控制器搭建的典型小型控制系统,可模拟典型工业现场环境,并结合华创网安工控网络安全防护解决方案,实现工控网络安全攻防演练功能及展示功能。
工业控制网络安全实验箱 便携式实验箱携带方便、部署简单,并配合丰富的工控网络安全教学课件,可满足工控类及工控安全类人群针对不同的教学及研究要求进行相应的实验。 2.0 实验箱产品的主要特点 移动实验箱集成了典型的小型工业控制系统环境,汇集了华创网安工业控制网络安全防护和审计解决方案,可提供自动化控制系统实验、工控网络攻击实验、工控网络监测和异常行为分析实验、工控网络安全防护实验、工控网络安全事件展示、工控网络典型病毒/木马分析等功能及实验。
《计算机病毒分析》20春期末考核 1 单选题 1 网络黑客产业链是指黑客们运用技术手段入侵服务器获取站点权限以及各类账户信息并从中谋取()的一条产业链。 A 非法经济利益 B 经济效益 C 效益 D 利润 2 下列属于静态高级分析技术的描述是()。 A 检查可执行文件但不查看具体指令的一些技术分析的目标 B 涉及运行恶意代码并观察系统上的行为,以移除感染,产生有效的检测特征码,或者两者 C 主要是对恶意代码内部机制的逆向工程,通过将可执行文件装载到反汇编器中,查看程序指令,来发现恶意代码到底做了什么 D 使用调试器来检查一个恶意可执行程序运行时刻的内部状态 3 可以按()键定义原始字节为代码。 A C键 B D键 C shift D键 D U键 4 以下Windows API类型中()是表示一个将会被Windows API调用的函数。 A WORD B DWORD
C Habdles D Callback 5 用IDA Pro对一个程序进行反汇编时,字节偶尔会被错误的分类。可以对错误处按()键来取消函数代码或数据的定义。 A C键 B D键 C shift+D键 D U键 6 反病毒软件主要是依靠()来分析识别可疑文件。 A 文件名 B 病毒文件特征库 C 文件类型 D 病毒文件种类 7 IDA pro支持()种图形选项 A 1种 B 3种 C 5种 D 7种 8 以下对各断点说法错误的是()。 A 查看堆栈中混淆数据内容的唯一方法时:待字符串解码函数执行完成后,查看字符串的内容,在字符串解码函数的结束位置设置软件断点 B 条件断点是软件断点中的一种,只有某些条件得到满足时这个断点才能中断执行程序 C 硬件断点非常强大,它可以在不改变你的代码、堆栈以及任何目标资源的前提下进行调试
震网病毒——设计思路的深度分析 震网病毒,英文名称是Stuxnet,第一个针对工业控制系统的蠕虫病毒,第一个被发 现的网络攻击武器。 2010年6月首次被白俄罗斯安全公司VirusBlokAda发现,其名称是从代码中的关键字 得来,这是第一次发现震网病毒,实际上这还是震网病毒的第二个版本。 2007年有人在计算机信息安全网站VirusTotal上提交了一段代码,后来被证实是震网病毒的第一个版本,至少是我们已知的第一个。对于第一个震网病毒变种,后来大家基于震网病毒的第二个版本的了解基础上,才意识到这是震网病毒。 震网病毒的攻击目标是伊朗核设施。 据全球最大网络安全公司赛门铁克(Symantec)和微软(Microsoft)公司的研究,近60%的感染发生在伊朗,其次为印尼(约20%)和印度(约10%),阿塞拜疆、美国与巴基斯坦等地亦有小量个案。 2011年1月,俄罗斯常驻北约代表罗戈津表示,这种病毒可能给伊朗布什尔核电站造 成严重影响,导致有毒的放射性物质泄漏,其危害将不亚于1986年发生的切尔诺贝利核电站事故。 我们这次分析的案例是纳坦兹核设施。纳坦兹核基地对于伊朗的核计划非常重要,它是伊朗能否顺利完成利用核能发电的关键。纳坦兹铀浓缩工厂用浓缩铀的关键原料———六氟化铀(UF6),灌入安装在这里的离心机,提炼浓缩铀,为布什尔核电站发电提供核燃料。 进一步分析 它是如何攻击纳坦兹核设施并隐藏自己的? 它是如何渗透纳坦兹核设施内部网络的? 它是如何违背开发者的期望并扩散到纳坦兹之外的? IR-1离心机是伊朗铀浓缩的根基。它可以追溯到从20世纪60年代末由欧洲设计,70 年代初被窃取。全金属设计的IR-1是可以稳定的运行的,前提是其零件的制造具有一定精度,但是伊朗人其零件加工工艺不达标。因此他们不得不降级离心机的运行压力。但是较小的工作压力意味着较少的产出,因而效率较低。 虽然低效,但对于伊朗来说有一个显而易见的优点,伊朗可以大规模的制造生产。伊朗通过数量来弥补不稳定性和低效率,他们能够接受在运行过程中一定数量的离心机损坏,因为他们制造离心机的速度比离心机损坏的速度要快多了。 图为2008年至2010年Natanz工厂的离心机库存数据,伊朗始终保存着至少50%的备 用离心机。 离心处理操作是一个严苛的工业流程,在流程运行过程中,它不可以存在任何的问题。伊朗建立了一套级联保护系统,它用来保证离心流程持续进行。在离心机层,级联保护系统的每个离心机在出故障时都可以被隔离出来。隔离后的离心机可以停机并被维护工程师替换,而工艺流程仍然正常运行。 可问题是他们的离心机太脆弱,会出现多个都坏了的情况。如果同一个组中的离心机都停机了,运行压力将会升高,从而导致各种各样的问题。
病毒的起源有三类学说: (1)退化性起源学说 退化性起源学说认为病毒是细胞内寄生物的退化形式。这种细胞内寄生的产生原因可能是由于微生物对某种不能穿过细胞膜的代谢发生了严重依赖。在细胞内,这类寄生物可以在不影响其生存的情况下逐渐丢失部分生物学功能。它们所必需保留的功能是具有可进行自主复制的DNA复制原点(顺式元件)、可以对复制进行调控的反式调控蛋白,以及能与宿主生物合成及复制系统相互作用的顺式和反式功能。最终的选择结构,就可产生一种专性细胞内寄生的DNA分子或质粒。 退化性起源学说可以把病毒的起源解释为两个阶段:首先,寄生物在细胞内产生独立复制的DNA质粒,然后,编码寄生物亚细胞结构单位的基因发生突变,形成病毒的衣壳蛋白。随着进化的发生,新获得的可在细胞间转移的特性被进一步选择下来。 (2)病毒起源于宿主细胞中的RNA和(或)DNA成分的学说 这种学说认为,病毒是正常的细胞组分在进化过程中获得了自主复制的能力独立进化而来的。该学说能解释所有病毒的起源:DNA病毒起源于质粒或转移因子;反转录病毒起源于反转座子;RNA病毒起源于自主复制的mRNA。 (3)病毒起源于具有自主复制功能的原始大分子的学说,即病毒起源于自主复制的RNA 分子。 核糖核酸多聚体具有自主复制的信息和能力。由于发现RNA分子具有催化化学反应的能力使得RNA为生命和病毒的起源的学说变得更具有吸引力。小而简单的RNA分子具有至少下列三种化学功能: 1)核糖核酸酶的活性; 2)能自我拼接去掉内部的核酸序列(核酸); 3)有实验表明,以RNA作引物可以合成依赖于模板的多聚胞嘧啶核酸。 也就是说,RNA分子可以进行复制和进化相关的三个基本反应。 我认为第三个学说更有说服力。先是RNA的形成和复制,然后演变出RNA-蛋白介导的一系列反应,第三步产生了DNA。DNA由于比RNA稳定而最终成为遗传信息。RNA的反应性有利于它作为催化物而不利于它成为遗传物质。有些分子被包装在细胞和组织中,形成宿主细胞,另一些分子则自我复制或寄生在宿主细胞中,进化成为病毒。从DNA病毒和RNA病毒的进化而言。突变和重组都是DNA病毒进化的决定因素。DNA病毒容易在宿主体内形成持续性或慢性感染,它们可以在宿主体内存在多年而后爆发,其间可能几乎不发生变异,因此,这类病毒的变异速率可能表现得比裂解型病毒慢一些。一般来讲,DNA病毒不会像RNA病毒那样引起人类世界范围的流行性疾病。 RNA病毒引起的疾病流行和变异成为研究RNA病毒
病毒的现实威胁和防范 计算机病毒概述 用户访问带毒文件,病毒进入系统,大量繁殖带读文件,窃取信息破坏文件,导致系统故障崩溃 计算机病毒的定义: 是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的计算机指令或者程序代码。 计算机病毒的分类: 依赖于主机程序:后门,病毒,逻辑炸弹 独立于主机程序:蠕虫,木马,细菌,拒绝服务 细菌的简单功能:自我复制,以2的n次方形式不断增长,占用系统资源,最终造成系统瘫痪 病毒的实例: CIH病毒: CIH病毒通过网络或者病毒进行传播,驻留在被感染的计算机内,病毒代码隐藏在计算机的可执行文件中,删除硬盘数据,破坏将计算机的BIOS系统 震荡波病毒: 典型的网络病毒,通过网络进行传播,利用window系统缓存区的漏洞,来进行扩散,经常使系统强制性重启。 QQ尾巴病毒:
点开qq聊天消息的一个链接,进入一个网站,然后就自动下载一个病毒注入你的计算机系统。 震网病毒: 主要针对工业系统,很多工业公司的内网相对性封闭,而若有工作人员稍有不慎,就会将带有病毒的U盘带入内网使内网感染病毒。对工业系统发送一些错误的指令。 计算机病毒的影响: 破坏数据,导致系统错误,抢占资源信息,窃取用户信息,不可预见的危险。 计算机病毒的基本原理及防范 计算机病毒的一般组成: 感染标志(首先看一个文件是否被感染,然后他会去寻找没有被感染的文件) 引导模块(引导其进入合适的工作环境,进入合适的工作环境) 感染模块:感染判断,感染实施 破坏表现模块:破坏判断,破坏实施 计算机病毒的特征: 传染性:病毒通过各种渠道从已经被感染的计算机扩散到位被感染计算机。 非授权性:隐藏在正常文件中,窃取到系统的控制权,病毒的动作,目的对用户是未知的,未经用户许可的。 隐藏性:不经过代码分析,很难从将病毒程序与正常程序分开
安全漏洞 安全漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。是受限制的计算机、组件、应用程序或其他联机资源的无意中留下的不受保护的入口点。 在计算机发展的历史中存在过许多由于安全漏洞引发的安全事件,这些事件也曾掀起轩然大波,对个人和团体造成不同程度的影响。在这其中,第一次进入大众视野的就是莫里斯蠕虫。1988年冬天,正在康乃尔大学攻读的莫里斯,把一个被称为“蠕虫”的电脑病毒送进了美国最大的电脑网络——互联网。1988年11月2日下午5点,互联网的管理人员首次发现网络有不明入侵者。它们仿佛是网络中的超级间谍,狡猾地不断截取用户口令等网络中的“机密文件”,利用这些口令欺骗网络中的“哨兵”,长驱直入互联网中的用户电脑。入侵得手,立即反客为主,并闪电般地自我复制,抢占地盘。用户目瞪口呆地看着这些不请自来的神秘入侵者迅速扩大战果,充斥电脑内存,使电脑莫名其妙地“死掉”,只好急如星火地向管理人员求援,哪知,他们此时四面楚歌,也只能眼睁睁地看着网络中电脑一批又一批地被病毒感染而“身亡”。当晚,从美国东海岸到西海岸,互联网用户陷入一片恐慌。到11月3日清晨5点,当加州伯克利分校的专家找出阻止病毒蔓延的办法时,短短12小时内,已有6200台采用Unix操作系统的SUN工作站和VAX小型机瘫痪或半瘫痪,不计其数的数据和资料毁于这一夜之间。造成一场损失近亿美元的空前大劫难!与莫里斯蠕虫同样的震慑全球的还有震网病毒。震网病毒又名Stuxnet病毒,是一个席卷全球工业界的病毒,世界上首个网络“超级武器”,一种名为Stuxnet的计算机病毒已经感染了全球超过45000个网络,伊朗遭到的攻击最为严重,60%的个人电脑感染了这种病毒。近日,国内外多家媒体相继报道了Stuxnet蠕虫对西门子公司的数据采集与监控系统SIMATIC WinCC进行攻击的事件,称其为“超级病毒”、“超级工厂病毒”,并形容成“超级武器”、“潘多拉的魔盒”。 Stuxnet蠕虫(俗称“震网”、“双子”)在今年7月开始爆发。它利用了微软操作系统中至少4个漏洞,其中有3个全新的零日漏洞;伪造驱动程序的数字签名;通过一套完整的入侵和传播流程,突破工业专用局域网的物理限制;利用WinCC系统的2个漏洞,对其开展破坏性攻击。它是第一个直接破坏现实世界中工业基础设施的恶意代码。据赛门铁克公司的统计,目前全球已有约45000个网络被该蠕虫感染,其中60%的受害主机位于伊朗境内。伊朗政府已经确认该国的布什尔核电站遭到Stuxnet蠕虫的攻击。安天实验室于7月15日捕获到Stuxnet蠕虫的第一个变种,在第一时间展开分析,发布了分析报告及防范措施,并对其持续跟踪。截止至本报告发布,安天已经累计捕获13个变种、 600多个不同哈希值的样本实体。相比以前的安全事件,此次呈现出许多新的手段和特点。安全漏洞值得我们特别关注。 对于计算机网络安全来说,只有计算机系统存在漏洞时候,黑客才有机会入侵我们的计算机系统,事实证明,99%的黑客攻击事件都是利用未修补的漏洞与错误的设定而引起的,也有的是因为人们在目前的认识水平上没有意识到的系统错误引起的。漏洞是在硬件、软件、协议的具体实现或系统安全策略以及人为因素上存在的缺陷,从而可以使攻击者能够在未经系统的许可者授权的情况下访问
病毒与公共卫生 病毒与细胞关系的多元化给病毒起源的研究增加了许多困难,1988年以来,随着对病毒与细胞相互作用的分子模型分析和病毒核酸的分子生物学研究以及病毒基因克隆技术的发展,对病毒的起源目前形成了三种代表性的学说。 第一种学说认为,病毒是地球上生物进化过程中的一种最为原始的生命物质,病毒既具有化学大分子的属性,又具有生物的部分特征。这似乎提示,在从无机自然界到生命出现这一漫长的转变过程中,病毒正处于非生物到生物的过渡位置,也就是说病毒正好填补从化学大分子到原始细胞生物中间的空白。其要点是:地球上生命物质产生的环境中首先由无机物质演化为有机物质,再演化为大分子生命物质。这个学说是根据生命起源学说和分子进化理论所提出来的一种纯粹的假设,缺乏任何进化上的证据。 第二种学说认为病毒是一种高级微生物的退行性生命物质,微生物细胞在生命历程中的部分基因丢弃使其丧失独立的自我繁殖能力,最终退化为病毒。提出这种假说的依据是:在细胞内环境寄生的细菌与病毒之间,还存在着像立克次氏体和衣原体(是二类非独立生活的细胞生物)这样一些比细菌更原始,而且是专性细胞内寄生的中间形式,并据此推测,由寄生于细胞的低级细菌退化为立克次氏体一类的生物,再退化为衣原体一类的生物,进而退化成病毒。如果假说成立,那就应该在病毒能够感染的动植物细胞和细菌细胞中找到这种细胞内寄生的小型细胞生物,而实际情况并非如此,况且,在立克次氏体和衣原体中未见发现病毒的报道。可见,该假说成立的证据不足。
第三种学说认为,病毒来源于正常细胞的核酸,因偶然途径从细胞内脱离出来而变为病毒,这就是目前比较流行的病毒起源的内源性学说。支持这个学说的多半来自于一些实验的间接证据:病毒与质粒的相似性,质粒本属于细胞的一部分,但它可以随时脱离细胞,并在细胞之间传递;有很多DNA病毒,如细菌病毒中的λ噬菌体,植物病毒中的花椰菜花叶病毒,动物病毒中的乙肝病毒、腺病毒、疱疹病毒和乳头瘤病毒等,这些病毒的DNA或全部或部分可以结合到它们所寄生的细胞的染色体上,从而变为细胞的一部分,这正好是细胞核酸外逸的逆过程;利用核酸分子探针技术发现很多能与细胞染色体结合的病毒DNA的整合区序列与发生整合的染色体的侧翼序列有很大的同源性,尤其在一些逆转录病毒(艾滋病的病原——人类免疫缺陷病毒即属于此类)中的癌基因V-onc与细胞中的原癌基因C-onc高度同源;正常细胞中存在较广泛的逆转录型可动遗传因子,如酵母细胞的Ty因子、果蝇的Copia样因子、脊椎动物的IAf,基因,和逆转录型重复序列,如人的Alu因子及KpnⅠ因子等,提示正常的细胞中含有RNA所介导的DNA合成反应,而这与逆转录病毒的核酸的复制行为一致。这些间接证据可部分解释DNA病毒的起源,但要说明RNA病毒的起源却十分困难。 1999年第十一届国际病毒学大会对病毒在基因水平上的起源及进化提供了新的证据:在一种古细菌(一种介于原核生物和真核生物之间的第三类生物)中发现了被称之为“反转子”的遗传单元,它是仅含一个基因并且能自我复制的一段核酸分子,具有重要的基因捕获功能。其基因序列与宿主细胞等位基因高度同源,并且在密码子的使用频率上也有高度相似性,根据对这种古细菌的年代考证,估计反转子在4亿年前就已存在。随着古细菌的进化,反转子从细菌基因库中捕获基因,扩大自己的遗传信息量,增加生物学功能,最原始的感染性病毒颗粒由此