透视_震网_病毒

收稿时间：2011-07-15
作者简介：李战宝（1964-），男，河南，副研究员，本科，主要研究方向：国外信息安全研究；潘卓（1986-），女，黑龙江，翻译，本科，主要研究方向：国外信息安全研究。

李战宝，潘卓
（1.国家信息技术安全研究中心，北京 100084）
摘　要：2010年伊朗发生的“震网”病毒事件震动全球，成为业界瞩目的热点。

文章介绍了“震网”
病毒的关键技术、运行环境、传播方式、特点、危害及防范措施等，并探讨了该事件带来的启示。

关键词：“震网”病毒；数据采集与监视控制系统；工业控制系统
中图分类号：TP393.08 文献标识码：A 文章编号：1671-1122（2011）09-0230-03
The Perspective of Stuxnet Viru
LI Zhan-bao, PAN Zhuo
( 1. National Research Center for Information Technology Security, Beijing 100084, China )
Abstract: Last year, the event of Stuxnet virus happened in Iran was a shock to the whole world and it became
a hot spot in the industry of the Internet security. This paper introduces the key technology of the Stuxnet virus,
its operating environment, its ways and features of infection, as well as its harm and preventive measures. We also
explore several inspirations referred to this event to our people, all of this as for reference only.
Key words: stuxnet virus; SCADA; ICS
doi：10.3969/j.issn.1671-1122.2011.09.070
透视“震网”病毒
1 “震网”病毒震动业界
近期，“震网”病毒（Stuxnet病毒）成为业界热议的焦点之一，信息安全界的许多专家将“震网”病毒攻击伊朗核设施列为2010年十大IT事件之一，并预测类似“震网”病毒的攻击将成为2011年网络破坏行为的重要方式之一，且病毒攻击将更具目的性、精确性和破坏性。

根据著名网络安全公司赛门铁克的研究反映，早在2009年6月，“震网”病毒首例样本就被发现。

2010年6月，“震网”病毒开始在全球范围大肆传播，截至2010年9月，已感染超过4.5万网络及相关主机。

其中，近60%的感染发生在伊朗，其次为印尼和印度(约30％)，美国与巴基斯坦等国家也有少量计算机被感染。

数据显示“震网”病毒大约在2009年1月左右就开始大规模感染伊朗国内相关计算机系统。

德国GSMK公司专家认为，“震网”病毒对位于伊朗纳坦兹的铀浓缩工厂以及相关设施发起攻击是大概率事件。

2010年8月布什尔核电站推迟启动的事件，将“震网”病毒推向前台，并在社会各界迅速升温。

2010年11月29日，伊朗总统内贾德公开承认，黑客发起的攻击造成伊朗境内一些浓缩铀设施离心机发生故障。

据报道，“震网”病毒可能破坏了伊朗核设施中的1,000台离心机[1]。

一位德国计算机高级顾问指出，由于“震网”病毒的侵袭，伊朗的核计划至少拖后了两年[2]。

据悉，2010年7月，我国某知名安全软件公司就监测到了“震网”病毒的出现，并发现该病毒已经入侵我国。

该公司反病毒专家警告说，“震网”病毒也有可能在我国企业中的大规模传播。

2010年10月3日，中国国家计算机病毒应急处理中心向我国网络用户发出“震网”病毒的安全预警，要求我国能源、交通、水利等部门立即采取措施，加强病毒防范工作。

由于“震网”病毒在伊朗感染的计算机占全球范围的60%，其首要目标就是伊朗的核设施，且技术实现复杂，很多专家推测该病毒发起的攻击很可能是某些国家出于政治目的而操纵实施的。

以色列记者罗纳 伯格曼曾撰写《与伊朗的秘密战争》中透露：“如果不是美国和以色列方面早已发动了旨在迟滞伊朗核项目的‘秘密战争’，伊朗的核武研发项目早已实现突破。

”书中列举，以色列曾通过欧洲公司向伊朗出售一些工业变电器，通过某种操控，该设备能在瞬间产生数万伏高压电，而在过去几年中，伊朗多处核设施发生供电事故。

以色列新闻网站 2010年曾引述以色列前内阁成员称，牵制伊朗核计划的唯一可行方法，就是利用计算机恶意软件发动网络攻击。

因此，有媒体认为，美国和以色列最有可能是发动该病毒袭击的幕后操纵者。

231
2 “震网”病毒技术分析
“震网”病毒主要利用Windows 系统漏洞通过移动存储介质和局域网进行传播，攻击以西门子公司控制系统（SIMATIC WinCC ／Step7）的数据采集与监视控制系统（简称SCADA ）。

SCADA 系统是一种广泛用于能源、交通、水利、铁路交通、石油化工等领域的工业控制系统（ICS ）。

SCADA 系统不仅能够实现生产过程控制与调度的自动化,而且具备现场数据采集、监视、参数调节与各类信息报警等多项功能。

“震网”病毒激活后，将攻击SCADA 系统，修改其可编程逻辑控制器（PLC ），劫持控制逻辑发送控制指令，造成工业控制系统控制混乱，最终造成业务系统异常、核心数据泄露、停产停工等重大事故,给企业造成难以估量的经济损失，甚至给国家安全带来严重威胁。

2.1 运行环境
“震网”病毒可以在Windows 2000、Windows XP、Windows Vista、Windows 7以及Windows Serve 等操作系统中激活运行。

该病毒激活后，将利用SIMATIC WinCC 7.0、SIMATIC WinCC 6.2等版本的工业控制系统软件漏洞，实现对CPU 6ES7-417和6ES7-315-2型可编程逻辑控制器（PLC ）的攻击控制。

2.2 传播方式
由于“震网”病毒的攻击目标SIMATIC WinCC 软件主要用于工业控制系统的数据采集与监控，一般部署在专用的内部局域网中，并与外部互联网实行物理上的隔离。

为了实现攻击，“震网”病毒首先通过互联网等感染外部主机；然后利用Windows 系统漏洞感染U 盘，传播到内部网络；在内网中，通过快捷方式解析漏洞、RPC 远程执行漏洞、打印机后台程序服务漏洞等多项系统漏洞，实现联网主机之间的传播；最后抵达安装了WinCC 软件的主机，实现对工业控制系统的攻击。

2.3 关键技术[3]
“震网”病毒主要利用了五个Windows 系统漏洞（其中四个是“零日”漏洞）以及西门子公司控制系统SIMATIC WinCC 软件的漏洞，伪装RealTek 与JMicron 两大公司的数字签名，绕过安全产品的检测，最终实现了对工业控制系统的攻击。

由于“震网”病毒在U 盘和网络中的感染、传播技术与传统的蠕虫病毒相类似，因此，我们主要讨论“震网”病毒对工业控制系统可编程逻辑控制器的感染过程。

可编程逻辑控制器（PLC ）是工业控制系统得以自主运行的关键。

PLC 中的控制代码通常由一台控制计算机通过数据线利用SIMATIC WinCC/step 7等软件进行上传和配置。

同时控制计算机还可以通过管理软件检测PLC 代码合法性和安全性。

PLC 中的代码一旦配置完成，就可以脱离控制计算机独立运行，自主完成工业控制系统中对生产现场的数据采集、监视、调度等工作。

图1 通过库文件s7otbxdx.dll来和PLC完成读写、查找等通信控制
“震网”病毒激活后，会将原始的s7otbxdx.dll 文件重命名为s7otbxsx.dll。

然后，它将用自身取代原始的DLL文件。

现在，“震网”就可以拦截任何来自其他软件的访问PLC 的命令。

被“震网”修改后的s7otbxdx.dll 文件保留了原来的导出表，导出函数仍为109个，其中93个导出命令会转发给真正的DLL，即重命名后的s7otbxsx.dll，而剩下的16种涉及PLC 的读、写、定位代码块的导出命令则被“震网”病毒改动后的DLL 拦截。

图2 修改发送至PLC或从PLC返回的数据并将恶意代码隐藏在PLC中
此外，“震网”病毒为了防止其写入PLC 的恶意数据被PLC 安全检测和防病毒软件发现，“震网”病毒利用PLC rootkit 技术将其代码藏身于假冒的s7otbxdx.dll 中，主要监测和截获对自己的隐藏数据模块的读请求、对受感染代码的读请求以及可能覆盖“震网”病毒自身代码的写请求，修改这些请求以保证“震网”病毒不会被发现或被破坏。

如，“震网”病毒劫持s7blk_read 命令，监测对PLC 的读数据请求，凡是读请求涉及“震网”病毒在PLC 中的恶意代码模块，将返回一个错误信息，以规避安全检测。

“震网”病毒在感染PLC 后，将改变控制系统中两种频率转换器的驱动，修改其预设参数。

频率转换器用来控制其他设备的运行速度，如发动机，大量应用于供水、油气管道系统、HVAC 等设施中。

“震网”病毒主要针对伊朗德黑兰
Fararo Paya 生产的和芬兰VACON 生产的变频器，导致其控制设备发生异常。

2.4 防范措施
“震网”病毒的传播和破环，凸显了物理隔离的专用网络和专用控制系统的安全问题。

目前，虽然微软公司和西门子公司都已经提供了针对“震网”病毒相关的漏洞补丁，安全厂商也提供了专用的杀毒软件，但为了防范类似“震网”病毒的破坏，还需要采取以下措施：一是为物理隔离的网络和主机及
时更新操作系统补丁，建立完善的安全策略；二是建立应用软
件安全意识，及时跟踪所用软件的安全问题，及时更新存在
漏洞的软件；三是采取严格的技术和管理手段，规范移动存
储介质的使用，阻止病毒利用移动存储介质进行传播；四是
关闭各类主机中不必要的服务功能。

此外，作为应急响应措施，
需要对能源、交通、水利重要部门的工业控制系统进行安全
检查，做好应急防范。

3 “震网”病毒的特点
“震网”病毒与传统蠕虫病毒相比，除了具有极强的隐蔽
性与破坏力，还具备如下特点：
3.1 病毒攻击具有很强的目的性和指向性
“震网”病毒虽然能够像传统蠕虫病毒一样在互联网上
广泛传播，但并不以获取用户数据或牟利为目的，但其最终的
攻击目标是重要基础设施的自动控制系统ICS，修改ICS的数
据采集、监测、调度等命令逻辑，造成工业控制系统的采集
数据错误，命令调度混乱，甚至完全操纵控制系统的指控逻
辑，按实施攻击者的意愿对工业生产造成直接破坏。

有专家
称，传统的病毒像个大口径短枪到处开火，漫无目的，而“震网”
病毒却是个狙击手，只瞄准特定的系统——工业控制系统。

3.2 漏洞利用技术多样，攻击构思复杂
有专家指出，“震网”病毒是迄今为止网络犯罪领域最为
复杂的一款恶意软件。

“震网”病毒从感染、传播，到实现对
物理控制系统的攻击，综合利用了多个层次的漏洞利用攻击技
术，涉及Windows等通用系统和工业控制系统等专用系统的开
发利用技术[4]，对病毒设计人员的技术能力要求很高。

如，在
设计入侵PLC的攻击代码时，至少需要精通C/C++和MC7两
种编程语言，同时还要熟练掌握进程注入等高级编程技术。

此外，
为了防止多种防病毒软件的检测，该病毒还利用安全证书仿冒
技术、Rootkit技术等精心设计了一套自保护机制。

德国专家称，“震
网”病毒具备一定的高端性，其背后有强大的技术支撑和财政
支持。

3.3 对物理隔离的专用网络有很强的传染性
一般情况下，多数物理基础设施的工业控制系统都位于与
互联网物理隔离的专用网络中。

为此，“震网”病毒的设计者在
确保其在互联网传播的同时，还专门设计了通过U盘进行传播
的方式，感染物理隔离的专用网络，以实现其攻击工业控制系
统的攻击目的。

4 结束语
“震网”病毒虽然对多数受到感染的计算机系统没有带来
明显的冲击，但其攻击目标精确到重要关键基础设施的工业
控制系统，是一款极其精良的攻击软件。

卡巴斯基实验室认为：
“震网”病毒是一个非常可怕的“网络攻击武器”原形，其将
会在世界范围内引发新一轮的网络军备竞赛。

“震网”病毒将
虚拟安全威胁引入“真实世界”，其对国家关键基础设施安全
产生的影响值得我们高度关注。

4.1 关键基础设施的专用控制系统将遭遇更多威胁
“震网”病毒的攻击模式具备很强的示范意义，为更多的
网络攻击行为提供了一个针对“真实世界”的攻击范例，许多
关键基础设施的控制系统将面临越来越多的安全威胁。

赛门
铁克近期做了一项关键基础架构供应商对其行业遭受网络攻
击情况的调查，其中48%的调查对象表示他们预计明年会遭
遇攻击，而80%的调查对象认为此类攻击的频率正在加快[5]。

4.2 对专用网络用户的传统安全观提出严峻挑战
一般来说，采取物理隔离是许多关键、敏感的专用网络
确保安全的重要措施之一，如电力、水利、能源等专用网络
和控制系统。

这些专业网络的用户认为采用了物理隔离措施，
病毒、木马等安全威胁就不再紧迫，日常的病毒查杀、补丁
更新等日常安全检查往往被忽视，而且这些系统的安全性经
常为了保证系统的可靠性而被牺牲。

“震网”病毒的攻击模型
将颠覆这一安全理念，许多物理隔离的专用网络和控制系统
将像许多在线的IT信息系统一样，将时刻面临病毒入侵、木
马植入等安全风险，控制系统的安全保障措施需要进一步强
化。

事实上，美国能源部、美国国家标准技术局都曾呼吁弥
合IT服务系统和控制系统在安全原则上的鸿沟，以强化专用
控制系统用户的安全意识。

4.3 开展针对重要工业控制系统的安全检查和风险评估
工作迫在眉睫
许多业内专家认为，以“震网”病毒为标志，病毒攻击目
标的精确化将是2011年信息安全的重要趋势之一[6]，特别是针
对工业控制系统的安全威胁将逐渐增多。

关键基础设施控制系
统的安全关乎国家、社会、军事的安危，因此，有必要加强关
键、敏感的专用网络和控制系统的信息安全保障，建立落实日
常安全检查制度，构建完整的安全防护体系。

积极研究、探
讨针对关键基础设施控制系统安全检查和风险评估政策、制
度，建立安全风险评估组织和机制，确保国家关键基础设施
的运行安全。

（责编 岳逍远）
参考文献：
[1] 博客园. Stuxnet蠕虫可能破坏了1,000台伊朗离心机[EB/OL].
[2] 凤凰网. Stuxnet病毒拖后伊朗核计划两年[EB/OL].
[3] 安天实验室. 对Stuxnet蠕虫攻击工业控制系统事件的综合报告
[EB/OL]. 2010.
[4] Symantec. W32.Stuxnet dossier version 1.3[EB/OL]. 2010.
[5] 赛迪网. 2011年网络安全趋势预测：变化的世界要设防[EB/OL].
[6] Computer Week. Stuxnet-like cyber attacks will prove a top trend in
2011, say experts[EB/OL]. 2011.。