震网病毒是一种“武器”
震网病毒不会消失,因为微软表示,该蠕虫利用了另外四个零日漏洞,其中两个仍未修补。现在的猜测开始于专家说,各种设施,包括伊朗的核反应堆或伊朗的核浓缩设施都是目标。
震网病毒不会消失,因为微软表示,该蠕虫利用了另外四个零日漏洞,其中两个仍未修补。
现在的猜测开始于专家说,各种设施,包括伊朗的核反应堆或伊朗的核浓缩设施都是目标。官员们说,目前还没有人证实这些是实际的袭击目标。
“安全专家一致认为,蠕虫病毒的目的是破坏工业流程,”工业防御公司首席安全官安德鲁·金特说。“已经公布的有关蠕虫设计的细节不再支持其目的是窃取信息的理论。”
Byres Security首席技术官埃里克·拜尔斯(Eric Byres)说:“设计这个的人知道自己在做什么。”“现在很明显,它的目的是破坏一个进程和摧毁设备。”
西门子公司在7月14日得知了针对西门子软件Simatic WinCC和PCS 7的恶意软件程序(木马)。该公司立即成立了一个小组来评估情况,并与微软和病毒扫描程序的分销商合作,分析病毒的后果和确切的操作模式。
该木马通过u盘传播,利用微软的安全漏洞,可以影响XP以上的Windows电脑。
根据西门子对该蠕虫的分析,理论上,该病毒除了传递数据外,还可以影响非常特定的自动化环境或工厂配置中的特定流程和操作。这意味着在某些边界条件下,恶意软件能够影响控制系统中操作的处理。然而,这种行为尚未在测试或实践中得到验证。
此外,震网病毒的行为模式表明,该病毒显然只在具有特定配置的工厂中被激活,西门子说。它有意识地寻找具有特定模块和特定程序模式的特定技术星座,适用于特定的生产过程。例如,该模式可以由一个特定的数据块和两个代码块进行本地化。
根据西门子的分析,这意味着Stuxnet显然是针对特定的流程或工厂,而不是特定的品牌或工艺技术,也不是针对大多数工业应用。
这一结论也与西门子已知的检测到病毒但未被激活的病例数量相吻合,这些病例到目前为止可以在不造成任何损害的情况下被清除。这种特殊的植物不在我们所知道的案例之列。
西门子表示,迄今为止,全球有15个系统受到感染。西门子表示,在这些病例中,感染都没有对自动化系统造成不利影响。
Byres说:“找到一个零日漏洞是很罕见的,但想出四个零日漏洞来窃取证书并发现和利用西门子代码中的漏洞是惊人的。”“这是一个了不起的专业项目。绝对没有人能做到这一点。”
拜尔斯说:“我们正在进行一场武器竞赛。“这对每个人来说都是一堂如何识别恶意软件的速成课。”
“大家一致认为这是一种武器,”金特说。“震网病毒中有很多技术。里面有很多东西。现在看来某人的基础设施被盯上了。事实证明这是可以做到的;还有谁会注意到?我们还会看到类似的袭击。”
在一个上周的博文Alexander Gostev是卡巴斯基实验室全球研究和分析团队的负责人,他说:“到目前为止,大部分的注意力都集中在LNK/PIF漏洞上,Stuxnet利用这个漏洞通过可移动存储媒体和网络进行传播。但事实证明,这并不是Stuxnet的唯一惊喜。蠕虫并不只是通过使用LNK漏洞来传播。一旦它感染了本地网络上的一台计算机,它就会尝试使用另外两种传播程序渗透其他计算机。
首先,Stuxnet旨在利用MS08-067漏洞,这与Kido(又名Conficker)在2009年初使用的漏洞相同。Stuxnet用来攻击MS08-067的漏洞代码与Kido使用的漏洞代码略有不同。然而,真正有趣的是第二个传播例程。
“除了MS08-067的漏洞代码外,震网还包含一个先前未识别的Print Spooler服务漏洞的漏洞;这个漏洞使得恶意代码有可能被传递到远程计算机,然后在远程计算机上执行。两个文件(winsta.exe和sysnulleevent .mof)出现在被攻击的系统上。有趣的不仅仅是恶意代码进入远程机器的方式,还有代码如何启动并执行。
“我们一发现这个漏洞就通知了微软,他们证实了我们的发现。该漏洞已被确定为“打印假脱机服务模拟漏洞”,并被评为“严重”。今天微软发布了MS10-061补丁,修复了这个漏洞。
对漏洞的分析显示,共享一台打印机的计算机有被感染的风险。
“在分析过程中,我们搜索了能够利用此漏洞的其他恶意程序。幸运的是,我们什么也没找到。
“最重要的是,我们在震网的代码中发现了另一个零日漏洞,这次是特权提升(EoP)漏洞。蠕虫利用这一点来完全控制受影响的系统。微软人员发现了第二个EoP漏洞,这两个漏洞将在不久的将来在安全公告中修复。
“Stuxnet使用了四个以前未被识别的漏洞,这一事实使该蠕虫在恶意软件中脱颖而出。这是我们第一次遇到如此“意外”的威胁。再加上使用Realtek和JMicron证书,并记住Stuxnet的最终目标是访问Simatic WinCC SCADA系统。
“毫无疑问,Stuxnet是由专业人士创建的,他们对反病毒技术及其弱点有透彻的了解,还掌握了有关WinCC和PSC7的未知漏洞和架构和硬件的信息。”
官员们表示,袭击西门子Simatic WinCC和PCS 7用户的蠕虫病毒已经存在了一年多,在新年伊始,它的创造者让它变得更加复杂。
赛门铁克的一名研究人员表示,他们在2009年6月发现了这种蠕虫的早期版本,但直到今年年初,这种恶意软件才变得更加强烈。
这个早期版本的震网病毒的行为方式与现在的版本相同;它试图连接西门子的管理系统并窃取数据,但它没有使用一些较新的蠕虫技术来逃避反病毒检测并将自己安装在Windows系统上。
使用的组件和代码的数量非常大,除此之外,作者能够适应威胁,使用未修补的漏洞通过可移动驱动器传播,这表明这种威胁的创建者拥有巨大的资源可供他们使用,并且有时间花费在如此大的任务上;赛门铁克的研究人员说,这绝对不是“青少年黑客在卧室里编码”式的操作。
在Stuxnet复活后,它的作者添加了新的软件,允许它在USB设备之间传播,几乎没有受害者的干预。他们还拿到了芯片公司Realtek和JMicron的加密密钥,并对恶意软件进行了数字签名,这样反病毒扫描器就很难检测到它。
您是否具有本内容中提到的主题的经验和专业知识?您应该考虑为我们的CFE媒体编辑团队做出贡献,并获得您和您的公司应得的认可。点击在这里开始这个过程。
