安天实验室对Stuxnet蠕虫攻击工业控制系统事件的综合报告.doc

安天实验室对Stuxnet蠕虫攻击工业控制系统事件的综合.doc 文档名称 对Stuxnet蠕虫攻工控制系事件的合告对对对对对对对对对对对对对对文档版本-日期 2010-09-27第一版 2010-09-28最后更新 Stuxnet 安天对对室 安全究对急对理中心研与 Antiy CERT 2010-09-28对子对件 | | info@antiy.net 安天站 网| | 1 文档名称 对Stuxnet蠕虫攻工控制系事件的合告对对对对对对对对对对对对对对文档版本-日期 2010-09-27第一版 2010-09-28最后更新 目对 对子对件 | | info@antiy.net 安天站 网| | 2 文档名称 对Stuxnet蠕虫攻工控制系事件的合告对对对对对对对对对对对对对对 文档版本-日期 2010-09-27第一版 2010-09-28最后更新 第1章事件背景 近日,国内外多家媒体相道了对对对对Stuxnet蠕虫西子公司的数据采集与控系对对对对对对对对对对对对对对对对SIMATIC WinCC对对对“对”“对”“对对对”行攻的事件,称其超病毒、超工厂病毒,并形容成超武器“”潘多拉的魔盒。 Stuxnet蠕虫，俗称震网、双子,在今年“”“”7月始爆。它利用了微对对对对对对对对对对对操作系中至少对对对对4个漏洞,其中有3个全新的零日漏洞,造程序的数字对对对对对对对对对对名,通一套完整的入侵和播流程,突破工用局域网的物理限制,利用对对对对对对对对对对对对对对对对对对对对对对对对对对对对对对对WinCC系对的2个漏洞,其展破坏性攻。它是第一个直接破坏世对对对对对对对对对对对对对对对对对对对对对对 界中工基施的意代。据克公司的,目前全球已有对对对对对对对对对对对对对对对对对对对对对对对对对对对对对45000个网被对对对蠕虫感染,其中60%的受害主机位于伊朗境内。伊朗政府已确国的对对对对对对布什核站对对对对遭到Stuxnet蠕虫的攻。对对 安天室于对对对对7月15日捕到对对Stuxnet蠕虫的第一个,在第一展分对对对对对对对对对对对析,布了分析告及防范措施,并其持跟踪。截止至本告布,安天已累捕对对对对对对对对对对对对对对对对对对对对对对对对对对对对对对对对对对对对对对13个、对对对 600多个不同哈希的本体。对对对对对对对 对子对件 | | info@antiy.net 安天站 网| | 3 文档名称 对Stuxnet蠕虫攻工控制系事件的合告对对对对对对对对对对对对对对文档版本-日期 2010-09-27第一版 2010-09-28最后更新 第2章对本典型行对分析2.1运行境环环 Stuxnet蠕虫在下列操作系中可以激活运行:对对对对对对对对对 ,Windows 2000、Windows Server 2000 ,Windows XP、Windows Server 2003 ,Windows Vista ,Windows 7、Windows Server 2008当它自己运行在非对对对对对对对对Windows NT系列操作系中,即刻退出。对对对对对对对对 被攻的件系包括:对对对对对对对对对 ,SIMATIC WinCC 7.0 ,SIMATIC WinCC 6.2 但不排除其他版本的WinCC被攻的可能。对对对对对 2.2本地行环 对本被激活后,典型的运行流程如对所示。 对对对对对对对对本首先判断当前操作系型,如果是Windows 9X/ME,就直接退出。 接下来加一个主要的对对对对对对DLL模,后的行都将在个对对对对对对对对对对对对DLL中行。了对对对对对对避反病毒件的和,本并不将对对对对对对对对对对对对对对DLL模放磁文件,而是直对对对对对对对对对对对对接拷到内存中,然后模正常的对对对对对对对对对对对对对DLL加程。对对对对 具体而言,本先申一内存空,然后对对对对对对对对对对对对对对Hook ntdll.dll对出的6个系函数:对对对对 ,ZwMapViewOfSection ,ZwCreateSection ,ZwOpenFile ,ZwClose ,ZwQueryAttributesFile ,ZwQuerySection 对对对对对对对对对对对对对对对此,本先修改自身程内存映像中ntdll.dll模对PE对对对对对对对对对对的保属性,然后将偏移0x4对对对对对对对对对对对对对对对对对对对的一段数据改写跳代表,用以上述函数的hook。 对对对对对对对对对对对对而,本就可以使用修改的ZwCreateSection在内存空中建一个新的对对对对对对对对PE对,并将要加的对对DLL模拷到内存中,最后使用对对对对对对对对对对对对LoadLibraryW来取模句柄。对对对对对对对对 对本的典型运行流程 此后,本跳到被加的对对对对对对对对对DLL中行,衍生下列文件:对对对对对对对对对对 ,%System32%\drivers\mrxcls.sys ,%System32%\drivers\mrxnet.sys ,%Windir%\inf\oem7A.PNF ,%Windir%\inf\mdmeric3.PNF ,%Windir%\inf\mdmcpq3.PNF ,%Windir%\inf\oem6C.PNF 对子对件 | | info@antiy.net 安天站 网| | 4 文档名称 对Stuxnet蠕虫攻工控制系事件的合告对对对对对对对对对对对对对对 文档版本-日期 2010-09-27第一版 2010-09-28最后更新 其中有两个程序对对对对mrxcls.sys和mrxnet.sys,分被注册成名对对对对对对对MRXCLS和MRXNET的系服,机自对对对对对对对对对对对对对对对对对对对对对对对启。两个程序都使用了Rootkit技对对对对对对对对对,并有数字名。 mrxcls.sys对对对找主机中安装的WinCC系,并行攻。具体地,对对对对对对对对对对对对对它控系程的像加操作,将存在对对对对对对对对对对对对对对对对对对%Windir%\inf\oem7A.PNF中的一个模注对对入到services.exe、S7tgtopx.exe、CCProjectMgr.exe三个程中,后两对对对对对对对对者是WinCC系运对对行的程。对对对对对 mrxnet.sys通修改一对对对对对对对对对对对对对对对对些内核用来藏被拷到U对的lnk文件和DLL文件，对,。对 对对对对对对程序藏某些lnk文件 对 对对对对对对本的多播方式 2.3环播方式 Stuxnet蠕虫的攻目是对对对对SIMATIC WinCC对对对对对对对件。后者主要用于工控制系的数据采集与控,一对对对对对对对对对对对对对对对对对对对对般部署在用的内部局域网中,并与外部互对对对对对对对对对对对对对对对对对对网行物理上的隔离。了攻,Stuxnet蠕虫采取多对对对对对透手段行渗和播,如对对对对对所示。 整体的播对对对对对对对对对对对对对对对对对对对思路是:首先感染外部主机,然后感染U对,利用快捷方式文件解析漏洞,对对对对对对对对对对对对对对对对对对对播到内部网,在内网中,通快捷方式解析漏洞、RPC对对对对对对对对程行漏洞、打印机后台程序服漏洞,网主机对对对对对对对对对对对对对对对对对对对对对对对之的播,最后抵达安装了WinCC对件的主机,展对对对攻。 1.快捷方式文件解析漏洞，MS10-046, 对个漏洞利用Windows在解析快捷方式文件，例如.lnk文件,的系机制对对对对对对对缺陷,使系加攻对对对对对对对对对者指定的DLL文件,从而触对对对对对对对对对对对攻行。具体而言,Windows在对示快捷方式文件,对对对对对对对对对对对对对对对对对对对对对会根据文件中的信息找它所需的源,并将其作文件的展用。如果对对对对对对对对对对对对对对对对对对对对对源在一个DLL文件中,系就对对对对对对对会加个DLL文件。攻对对对对对对对对对对对对对对对对对对对对对对对对对者可以构造一个快捷方式文件,使系加指定的DLL文件,从而对行其中的意代。对对对对对对对对对对对对对对对对对对对对对对对快捷方式文件的示是系自行,无需用对对对对对对对对对对对对对对对对交互,因此漏洞的利用效果很好。 Stuxnet蠕虫搜索算对对对对对对对对对对对对对机中的可移存，对对对对对对对对对对对对对,。一旦,就将快捷方式文件和DLL文件拷到其中，对对对对对对对对对对对对对对对对对对对对对对对对对对对对对对对,。如果用将个再插入到内部网中的算机上使用,就会触对对对对“对”对对对对对对对对对对对对对对对对对渡漏洞,从而所的攻,即利用移存物理入。渗隔离网的 对 对找U对 拷到对对U对的DLL文件有两个:~wtr4132.tmp和~wtr4141.tmp。后者Hook了kernel32.dll和ntdll.dll中的下列出函数:对对对对对 ,FindFirstFileW ,FindNextFileW ,FindFirstFileExW ,NtQueryDirectoryFile 对子对件 | | info@antiy.net 安天站 网| | 5 文档名称 对Stuxnet蠕虫攻工控制系事件的合告对对对对对对对对对对对对对对 文档版本-日期 2010-09-27第一版 2010-09-28最后更新 ,ZwQueryDirectoryFile 对对对U对中lnk文件和DLL文件的对对对对对对藏。因此,Stuxnet一共使用了两措施，内对对对对对核程序、用对对对对对对对对对Hook API,来对对对U对对对对对对对对对对对对对对对文件的藏,使攻程很被用对对对对对对对对对对对,也能一定程度上避毒件的描。 对 对对对对拷文件到U对 2.RPC环环环环环环程行漏洞，MS08-067,与提升环环环环限漏洞 对是2008年爆的最对对对对对对对对对对对对对对对对对对对对重的一个微操作系漏洞,具有利 用、对对对对对对对对对对对对对对对对对对波及范广、危害程度高等特点。 对 对对RPC攻对 具而言体～存在此漏洞的系对收到精心造的构RPC对求对～可能允对对程对行代对。在Windows 2000、Windows XP和Windows Server 2003系对中～利用对一漏洞～攻对者可以通对对意 构造的对包直接对起攻对～无需通对对对地行任意代对～且对取完整的对限。因此对漏洞常被网运并 蠕虫用于大对模的对播和攻对。 Stuxnet利用对漏洞对对在部局域中的对播;蠕虫个内网对,。利用对一漏洞对～如果对限不对对致失对～对使用一未公对的漏洞提升自身对限;会个尚来对,～然后再次对对攻对。截止本对告对布～微对未对出对提对漏洞的解。尚决 3.打印机后台程序服漏洞，环环环环MS10-061, 对对对对是一个零日漏洞,首先于Stuxnet蠕虫中。 Windows打印后台程序没有合理地对对对对对对对对对对对对对对对置用限。攻者可以通提交精心构造的打印求对对对对对对对对对对对对对对对对对对对对对对对对,将文件送到暴露了打印后台程序接口的主机的%System32%目对中。成功利用个漏洞可以以系限行对对对对对对对对对对对对对对对对对对对对对对对对对对对对任意代,从而播和攻。 对 对对对利用打印服漏洞 Stuxnet蠕虫利用个漏洞在内对对对对对对对对对对对对对对对对部局域网中的播。如对对对对对所示,它向目主机送两个文件:winsta.exe、sysnullevnt.mof。后者是微的一对对对对对对对对对对对托管象格式，MOF,文件,在一些特定事件下,它将使对对对对对对对对winsta.exe被行。对对对 2.4攻行环环环 Stuxnet蠕虫两个注册表来判断主机中是对对对对对对对对对对对对对对对对对对否安装WinCC系，对对对,: ,HKLM\SOFTWARE\SIEMENS\WinCC\Setup ,HKLM\SOFTWARE\SIEMENS\STEP7对 对对注册表,判断是否安装WinCC 一旦对对WinCC系,就利用其中的两个漏洞展攻:对对对对对对对对对对对对对对对对对 一是WinCC系中存在一个对对对对对对对对对对对对对对对对对对对对硬漏洞,保存了数据 的默对对对对对对对对名和密,Stuxnet利用一漏洞系的对对对对对对对对对对对对SQL数据，对对对,。对子对件 | | info@antiy.net 安天站 网| | 6 文档名称 对Stuxnet蠕虫攻工控制系事件的合告对对对对对对对对对对对对对对 文档版本-日期 2010-09-27第一版 2010-09-28最后更新 二是在WinCC需要使用的Step7中,在打对对对对对对对对对工程文件,存在DLL加对对对策略上的缺陷,从而对对对对对对对“致一似于DLL对对对”对对加攻的利用方式。最,Stuxnet通对对对替Step7对件中的s7otbxdx.dll,一对对对对对对对对对对对对对些、取函数的Hook。 对 对对WinCC的数据对 2.5环环环本文件的衍生系 本合对对对对对对对对对对对对对对对对对对对对对对对对对对对对对对对介本在上述制、播、攻程中,各文件的衍生系。 如对对对对对对对对对对对对所示。本的来源有多可能。 对对对对对对原始本、通RPC漏洞或打印服漏洞播的本,都是对对对对对对对对对对对exe文件,它在自己的.stud对对对对对对对对对对“中形加模,名kernel32.dll.aslr.<随机数字>.dll”。 对U对对对对对对对对对对对对对对对对对对对对对对对对播的本,当系示快捷方式文件触漏洞,加~wtr4141.tmp文件,后者加一个名对对对对对“shell32.dll.aslr.<随机数字>.dll”的模,个模将对对对对对对对对对对对对另一个文件~wtr4132.tmp加对对“kernel32.dll.aslr.<随机数字>.dll”。 对 对对对本文件衍生的系 模对“kernel32.dll.aslr.<随机数字>.dll”将启对对对对对对对对对对对对对对后的大部分操作,它出了22个函数来完成意代的主要对对对对对对对对对对对对对对对对对对对对对对对功能,在其源中,包含了一些要衍生的文件,它以加对对对对对对对对对对对密的形式被保存。 其中,第16号对对对对对对对对对对对对对对对对对对对出函数用于衍生本地文件,包括源号201的mrxcls.sys和对对号242的mrxnet.sys两个程序,以及对对对对对对对4个.pnf文件。 第17号对对对对对对对对出函数用于攻WinCC系的第对对对对对对对对对对对对对二个漏洞,它放一个s7otbxdx.dll,而将WinCC系中的同名文件修改对对对对对对对对对对s7otbxsx.dll,并个文件的出函数行一对对对对对对对对对对对对对对对对对对对对对次封装,从而Hook。 第19号对对对对对对对对对对对对对对对对对对对对对对对对对对出函数利用快捷方式解析漏洞行播。它放多个lnk文件和两个对展名对tmp的文件。 第22号对对对对对对对对出函数利用RPC漏洞和打印服漏洞行播。它放的对对对对对对对对对对对对文件中,对对对对源号221的文件用于RPC攻、对对对对号222的文件用于打印服攻、对对对对对对号250的文件用于提对对。 对子对件 | | info@antiy.net 安天站 网| | 7 文档名称 对Stuxnet蠕虫攻工控制系事件的合告对对对对对对对对对对对对对对 文档版本-日期 2010-09-27第一版 2010-09-28最后更新 第3章解方案安全建对决与 3.1抵御本次攻环 西子公司此对对对对对对对对对对对对对对对对对对对对对对对次攻事件出了一个解决方案,接地址附对对对对对对对对对对对对对对对对对对对对对对对对对。下面根据我的分析果,出更具体的措施。 1、使用相工具环环环环环环环环环环或手工清除Stuxnet蠕虫 手工清除的:步对对 1.使用Atool管理工具,对对对对对对对对对对对束系中的父程不是winlogon.exe的所有lsass.exe对程, 2.强行除下列衍生文件:对对对对对对对对对 ,%System32%\drivers\mrxcls.sys ,%System32%\drivers\mrxnet.sys ,%Windir%\inf\oem7A.PNF ,%Windir%\inf\mdmeric3.PNF ,%Windir%\inf\mdmcpq3.PNF ,%Windir%\inf\oem6C.PNF 3.对对对除下列注册表: ,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MR xCls ,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MR xNET 2、安装被利用漏洞的系环环环丁 安装微对对对对对对对对对对对提供的下列丁文件: ,RPC对对对对对对程行漏洞，MS08-067, ,快捷方式文件解析漏洞，MS10-046, ,打印机后台程序服漏洞，对对对对MS10-061, 此外,需要注意有一个对对对对对对对对对对对对对对尚未修的提升限，EoP,漏洞,以及微对对对对对对随后的另一个对对对对对对对对对对对对对对对对对对对对对对对对似漏洞。用需两个漏洞的修情况保持注。 3、安装环环环环件丁 安装西子布的对对对对对WinCC系安全更新对对对对对对对对对对对对对对丁,地址附。 3.2安全建环 此次攻事件对对对对对对对对对对对凸了两个: 1、即便是物理隔离的用局域网,对对对对对对对对对对对对对对也并非牢不可破, 2、对对对对对对对对对对对对对对对对对对对对对对对用的件系,包括工控制系,也有可能被攻。 因此,我对对对对对对对对对对对对对对对对对对有部和企提出下列安全建: ,加主机，强尤其是内网主机,的安全防范,即便是物理隔离的对对对对对算机也要 及更新操作系对对对对对对对对对对对对对对对对对对对对丁,建立完善的安全策略, ,安装安全防件,包括反病毒件和防对对对对对对对对对对对对对对对对对对对对对对对对对对对火,并及更新病毒数据, ,建立对对对对对对对对对对对对对对对对对对对对对对件安全意,企中的核心算机,随跟踪 所用件的安全,及更新存在漏洞的件,对对对对对对对对对对对对对对对对对对对对 对子对件 | | info@antiy.net 安天站 网| | 8 文档名称 对Stuxnet蠕虫攻工控制系事件的合告对对对对对对对对对对对对对对 文档版本-日期 2010-09-27第一版 2010-09-28最后更新 ,对对对对对对对对对对对对对对对对对对对对对一加步强企内网安全建,尤其重网服的安全性, 对对对对对对对对主机中不必要的网服端口, ,所有件和网服对对对对对对对对对对对对对对对对对对对对均不启用弱口令和默口令, ,加可移存的安全强对对对对对对对对对对对对对对对对对对对对对对对管理,算机的自播放功 能,使用可移前先行病毒对对对对对对对对对对对对对对对对对对对对对对对对对描,移建立病毒免疫,使用硬件式 U对对对对对对病毒工具。 对子对件 | | info@antiy.net 安天站 网| | 9 文档名称 对Stuxnet蠕虫攻工控制系事件的合告对对对对对对对对对对对对对对 文档版本-日期 2010-09-27第一版 2010-09-28最后更新 第4章攻对事件的特点 相比以往的安全事件,此次攻对对对对对对对对对对对对对对对对对对对对对对对呈出多新的手段和特点,得我特注。4.1环环环环环环环攻工系 Stuxnet蠕虫的攻目直对对对对对对对对对对对指西子公司的SIMATIC WinCC系。是一对对对对对对款数据采集与控制，对对对对对SCADA,系,对被广泛用于、对对对对对对对对对对对对对对对汽、力、运、水利、化工、石油等核心工域,对对对对对对对对对对对对对对对对对对对对特是国家基施工程,它运行于Windows平台,常被部署在与外界隔离的用局域网中。对对对对对对对 一般情况下,蠕虫的攻对对对对对对对对对对对对对对对对对对对对价在于其播范的广性、攻目的普遍性。此次攻与此截然相反,最目对对对对对对对对对对对对对对对对对对对对对对对对既不在放主机之上,也不是通用件。对对对对对对对对对对对对对对对对对对对对对对透到内无部渗是要网,是挖掘大型用件 的漏洞,都非常攻所能对对对对对对对对对对对对对对对对对对对对对对做到。也表明攻的意十分明确,是一次精心划对对对对对对的攻。 4.2利用多个零日漏洞 Stuxnet蠕虫利用了微操作系的下列漏洞:对对对对对对对对对对对 1.RPC对对对对对对程行漏洞，MS08-067, 2.快捷方式文件解析漏洞，MS10-046, 3.打印机后台程序服漏洞，对对对对MS10-061, 4.尚未公的一个对对对对对对对对对对提升限漏洞 后三个漏洞都是在Stuxnet中首次被使用,是真正的零日漏洞。如此大对对对对模的使用多零日漏洞,并不多。对对对对对对对对对对对 对对对对对对对对对对对对对对对对对些漏洞并非随意挑一漏洞都。从蠕虫的播每方式来看,了独特的作用。比如基于自播放对对对对对功的U对对对对对对对对对对对对对病毒被大部分毒件防御的状下,就使用快捷方式漏洞对对U对对播。 另一方面,在安天捕的本中,有一对对对对对对对对对对对对对对对对对对对部分体的戳是今年3月。意对对对对味着至少在3月份,上述零日漏洞就已被攻对对对对对对对对对对对者掌握。但直到7月份大对对对对对对模爆,漏洞才首次披露出来。期要控制漏洞对对对对对对对对 泄露,有一定度对对对。 4.3使用数字名环环 Stuxnet在运行后,放两个文件:对对对对对对对对对 ,%System32%\drivers\mrxcls.sys ,%System32%\drivers\mrxnet.sys 对对对对对对对两个文件装RealTek的数字名，对对对对对对对对对对对对对对对对,以避毒件的。目前,对对对对对对对对对对对对对对对对对对对对对对对对对对对对一名的数字已被机构吊,无法再通在,但目前反病毒对对对对对对对对对对对对对对对对对对对对对品大多使用静判定可行文件是否有数字名,对对对对对对对对对对对对因此有可能被欺。 对子对件 | | info@antiy.net 安天站 网| | 10 文档名称 对Stuxnet蠕虫攻工控制系事件的合告对对对对对对对对对对对对对对 文档版本-日期 2010-09-27第一版 2010-09-28最后更新 对 Stuxnet对对对造的数字名 4.4明确的攻目环环环 根据克公司的,对对对对对对对对对对7月份,伊朗感染Stuxnet蠕虫的主机只占25%,到9月下旬,一对对对对对对比例达到60%。 WinCC被伊朗广泛使用于基国防施中。对对对对对对对9月27日,伊朗国家通对对对对对社向外界对对对对对“国的第一座核站布什核站对对”对对对对对对对对对对对对对对对对对对对对已遭到攻。据了解,核站原划于今年8月对对对对对对对对对对对对对对对始正式运行。因此,此次攻具有明确的地域性和目的性。 对子对件 | | info@antiy.net 安天站 网| | 11 文档名称 对Stuxnet蠕虫攻工控制系事件的合告对对对对对对对对对对对对对对 文档版本-日期 2010-09-27第一版 2010-09-28最后更新 第5章对合对价 5.1工系安全将环环环环环环环环环环环环面峻挑 在我国,WinCC已被广泛对对对对对对对对对对对对对对对对用于很多重要行,一旦受到攻,可能造成相对对对对对对对对对对对对对对对对对对对对对对对对对对对对对对对对企的施运行异常,甚至造成商料失窃、停工停等重事故。 对于Stuxnet蠕虫的出,对对对对对对对对对对对对对对对对对我并未感到十分意外。早在去年,安天就接受用对对对对对对对对对对对对对对对对对对对对对对对对对对对对委托,化工行表的安全性展研究,情况不容。 工控制网,包括工以对对对对对对对对对对对对对对对对对对对对对对对对对太网,以及控制系早已在工对对对对对对对对对对对对对对对对对对对对对对对对企中用多年,目前在力、、化工等大型重化工对对对对对对对对对对对企中,工以太网、DCS，集散控制系,、对对对对对对对对对对对对透渗等技早已到控制系的对对对对对对对对对对对对对对对对对对对对对对方方面面。工控制网的核心在都是工控PC,大多数同基于对对对Windows-Intel平台,工以对对对对对对对对对对对对对对对对对对太网与民用以太网在技上并无本差异,对对对对对对对对对对对对技更是将片机/嵌入式系用到了对对对对对对对对对对对一个控制表上。工每对对对对对对对对对对对对对控制网除了可能遭到与攻民用/商用网对对对对对对对对对对对对对手段相同的攻,例如通局域网播的意代对对对对对对对对对对对对对对对对对对对对对对对对对对对对对对对对之外,可能遭到的攻,不可。 对对民用/商用对对对对对对对对对对对对对对对对对对对对对对算机和网的攻,目前多以取利益主要目,但工控制网和的攻,可能破坏对对对对对对对对对对对对对对对对对对对对对对对对对对对企重要装置和的正常控,对对对对对对对对对对对对对对对对对对对对对对由此引起的后果可能是灾性的以化工行对对对对对对对对对对对对对对对对对对对对对对对对对对对例,工控制网的攻可能破坏反器的正常温度/对对对对对力控,致反器超对对对对温/超,最就对对对对对对对对对对对对对对对对对对对对会致冲料、起火甚至爆炸等灾性事故,可能造成对对对对对对对对对对对对对对对对对对对对对对对对次生灾害和人道主灾。因此,工网的意代一对对对对对对对对对对对对对对对对对对对对对对对对对对般有信息武器的性,目是重要工对对对对对对对对对对对对对对对对对对对对对对对对对企的正常生行干甚至重破坏,其背景一般不是个人或者普通地下黑客对对对。 目前,工以对对对对对对对对对对对对对对对对对对对对对对对对对对太网和准均公准,熟悉工控系的程序性的意攻代并不存在对对对对对对对对对对对对对对对对对对对对对对对对对对对对对很高的技。因此,下列可能的工网安全对对对对对对对对对对对对对对对对对对对对对和防是强十薄弱点分必要的:行增 1、基于Windows-Intel平台的工控PC和工以对对对对对对对对对对对对对对太网,可能遭到与攻民用/商用PC 和网对对对对对对对对对对对对对手段相同的攻,例如通U对对对对对对对对对对对对对对对播意代和网蠕虫,次的Stuxnet病 毒就是一个典型的例子。 2、DCS和控制系中的件，控件的核对对对对对对对对对对对对对对对对对对对对对对对对心,, 目前其对对对对对对对对对对对对对对对对对对对对对对对对对对对对对对对品,特是行品被少数公司所断,例如力行常用的西子 SIMATIC WinCC,石化行常用的对对对对对对对对对对对对对对对对对浙大中控等。件的 攻对对对对对对对对对对对对对会从根本上破坏控体系,Stuxnet病毒的攻目正是对对对对对WinCC系。对对 3、基于RS-485对对对对对对对对对对对对对对以及光物理的,例如PROFIBUS和MODBUS，串 行对对对对对对对对对对对对对对对对对对对对对对对对对对对对对路,,其安全性相好,但短程无网,特是不使用Zigbee等通 用短程无对对对对对对对对对对对对对对对对对对对对对对对对对对对对对对对对对对，有一定的安全性,,而使用自定用的短程无通信控表 安全性对对对对“对对”对对对对对对对对无差。特感器是国内一些小企生的等控表,其无 通信部分采用通用2.4GHz短程无对对对对对对对对对对对对对通信芯片,基本的加密通 信都没有使用,可以对对对对对对对对对对对对对对对毫无安全性可言,极易遭到窃听 和攻,如果使用,将成中对对对对对对对对对对对对对对对对对对对对对对对对对极易被攻的薄弱点。 对子对件 | | info@antiy.net 安天站 网| | 12 文档名称 对Stuxnet蠕虫攻工控制系事件的合告对对对对对对对对对对对对对对 文档版本-日期 2010-09-27第一版 2010-09-28最后更新 工控制网通常是对对对对对对对对对对对对对对对对对独立网,相民用/商用网而言,数据对对对对对对对对对对对对量相少,但其性和可对对对对对对对对对对对对对对对对对对对对对对对对对对对对对对靠性的要求却很高,因而出的后果相当重。 对对对对对对对对对对对对对对对对对对对对对对对对工网的安全相信息网来,一直是凭借内网隔离,而疏于防范。因此,工系的安全和防范加对对对对对对对对对对对对对对对对对对对对对固迫在眉睫。5.2展望和思考 在工与对对对对对对对对对对对对对对对对对对对对对对对对信息技的融合不断加深、工体系的安全核心从物理安全向信息安全移的和对对对对对对对对对对对对背景下,此次Stuxnet蠕虫攻事件对对对对对对对尤得我对对对对对一思考。步 对对对对对对对对对对对对对对对对对是一次极不同常的攻,其具体体是: ,对对对对对对对对对对对对对对对对对对对对对对对对对对对对的意代追求影响范的广泛性,而次攻极富目的性, ,对对对对对对对对对对对对对对对对对对对对对的攻大都利用通用件的漏洞,而次攻 完全行用件,对对对对对对对对对 ,对对对对对对对对对对对对对对对对对对对次攻使用了多个全新的零日漏洞行全方位 攻,是攻以对对对对对对对对对对对对对对企及的, ,对对对对对对对对对对对对对对对对对对对对对对对对对对对对对对对对对次攻通透到内渗恰当的漏洞利部用网中,也正是攻的弱, ,从对对对对对对对对对对对对对对对对对对对对对、技、手段、目的、攻行等多方面来 看,完全可以对对对对对对对对对对对对对对对对对对对对对起此次攻的不是一般的攻者或。 因此,对对对对对对对对对对对对对对对对对对对对对次攻中所采用的多个新漏洞和播手段,将在接下来很对对对对对对对对对对对对对对对对对对对对对对对一段内新的攻提供最直接的力。而更大的影响是,事件中对对对对对对对对对对对对对对对对对对对对对露出来的攻思路和攻野会来久的示范效对对对对对对对对对对对对对对对对对对对对对对对对。它攻者、安全研究人、企管理者来的更多是一安全对对对对对对对对对对对对对对对对对对对对对对对对对对对念和安全意上的冲。一些的已略旧,能在一对对对对对对对对对对对对对对对对对对对对对对对对对对次念和意跑中得更清、看得更,就能在未来一段内保持。对对对对对对对对 至少有以下两新的攻对对对对对对对对对对对对对对得特注: 1、对对对对对对对对对对对对对对对对对对对对对对对行用件的漏洞挖掘和攻,特是上升到国 家对对对对对对对对对对对对对对对对对对对对对对对对对对对对对略面的行和敏感行。安天室在今年年初布的《多家企对对网 对对对对对对对对对对对对对对对对对对对对对入侵事件言的同源木本分析告》中就明确指出:目前的漏洞分析“挖掘 的注意点已不集中于主流厂对对对”对对。商,而始另普遍散一方面,些攻然对对对 对对对对对对对对对对对对对对对对件,但并不一定是利用件本身的缺陷,安全是一个 全方位的,攻可能来自于对对对对对对对对对对对对对对对对对任何一个角度。 2、对对对对对对对对对对对对对对对对对对对对对对对企内部网,特是物理隔离的内部用网的 攻。网具有对对对对对对对对对对对对对对对对对对对对对对对对对对对对高的安全要求,也更具攻价。一般通U对对对对等可移存 对对对对对对对对对对对对对对对对对对对对对对对对渗入网的方法是感染式病毒、欺、自播放，Autorun.inf,等。本次 出的对对对对对对对对对对对对对对对对对对对对对对快捷方式文件解析漏洞,此攻提供了一 对对对对对对对对对对对对对对对对对更有效的方法。此外,内部网也将因本次事件而被 攻对对对对对对对对对对对对对对对对对对对对对对对对者注和研究,不能排除出新的攻方式的可能。 基于上述,建有对对对对对对对对对对对对对对对对对对对对对对对对对步部和企以此次攻事件,一加强信息网和对对对对对对对对对对对对对对对对对对对对对对算机的安全管理、制定完善的安全管理方案、形成合理的安全策略、提高安全意,与安全厂对对对对对对对对对对对对对对商一同构建的防,对对对对对对对对对抵御安全威。 对子对件 | | info@antiy.net 安天站 网| | 13 文档名称 对Stuxnet蠕虫攻工控制系事件的合告对对对对对对对对对对对对对对 文档版本-日期 2010-09-27第一版 2010-09-28最后更新 作安全厂对对对对对对对对对对对对对对对对对对对对对商,安天呼吁各兄弟厂商一起共建良好的行境,不断对对对对对对对对对对对对对对对对对对对对对对对对促安全技的良性展。同,安天也期盼公众和用能对对对对对对对对对对对对对对对对对对对对对对信息安全予更多的注。安天信保障公众和社会的安全是一家安全厂商对对对对对对对对对对对对对对对对不容辞的使命,但在段靠厂商的力量尚不足以解决目前的所有。对对对对对对对对对对对对对对对对只有各方心力,才能迎来一个更加美好的世界。 对子对件 | | info@antiy.net 安天站 网| | 14 文档名称 对Stuxnet蠕虫攻工控制系事件的合告对对对对对对对对对对对对对对 文档版本-日期 2010-09-27第一版 2010-09-28最后更新 附对 安天事环环环环环环环环急响表 2010.07.15安天捕到对对Stuxnet的第一个,对对对对对对对对对对对对对对对对对对对随即更新安天防病毒, 2010.07.20对Stuxnet对对对对本和快捷方式漏洞展分析 2010.07.23形成初步分析告对对 2010.08.18正式对对对对对对对对对对对布分析告与防范措施 2010.07.15 — 2010.09.28持捕本,跟踪事件事对对对对对对对对对对对对对化 2010.09.27对对对对对对布本告第一版 2010.09.28对对对对对对对对对对布本告第二版、第三版 相接环环环 1.西子公司就此对对对对对对对对对对对对对对对对对次攻出的解决方案: ;objid=43876783 2.微对对对对对对对对对对对对对对对提供的丁文件下地址如下: ,RPC对对对对对对程行漏洞，MS08-067, ,快捷方式文件解析漏洞，MS10-046, ,打印机后台程序服漏洞，对对对对MS10-061, 西子公司出的对对对对对对对WinCC系安全更新对对对对对对对对对对对对对丁的下地址: _Update_V1_0_0_11.exe?func=cslib.csFetch&nodeid=444736824.ATool管理工具下地对对对对址: 对子对件 | | info@antiy.net 安天站 网| | 15