透视_震网_病毒

收稿时间：2011-07-15

作者简介：李战宝（1964-），男，河南，副研究员，本科，主要研究方向：国外信息安全研究；潘卓（1986-），女，黑龙江，翻译，本科，主要研究方向：国外信息安全研究。

李战宝，潘卓

（1.国家信息技术安全研究中心，北京 100084）

摘　要：2010年伊朗发生的“震网”病毒事件震动全球，成为业界瞩目的热点。文章介绍了“震网”

病毒的关键技术、运行环境、传播方式、特点、危害及防范措施等，并探讨了该事件带来的启示。

关键词：“震网”病毒；数据采集与监视控制系统；工业控制系统

中图分类号：TP393.08 文献标识码：A 文章编号：1671-1122（2011）09-0230-03

The Perspective of Stuxnet Viru

LI Zhan-bao, PAN Zhuo

( 1. National Research Center for Information Technology Security, Beijing 100084, China )

Abstract: Last year, the event of Stuxnet virus happened in Iran was a shock to the whole world and it became

a hot spot in the industry of the Internet security. This paper introduces the key technology of the Stuxnet virus,

its operating environment, its ways and features of infection, as well as its harm and preventive measures. We also

explore several inspirations referred to this event to our people, all of this as for reference only.

Key words: stuxnet virus; SCADA; ICS

doi：10.3969/j.issn.1671-1122.2011.09.070

透视“震网”病毒

1 “震网”病毒震动业界

近期，“震网”病毒（Stuxnet病毒）成为业界热议的焦点之一，信息安全界的许多专家将“震网”病毒攻击伊朗核设施列为2010年十大IT事件之一，并预测类似“震网”病毒的攻击将成为2011年网络破坏行为的重要方式之一，且病毒攻击将更具目的性、精确性和破坏性。

根据著名网络安全公司赛门铁克的研究反映，早在2009年6月，“震网”病毒首例样本就被发现。2010年6月，“震网”病毒开始在全球范围大肆传播，截至2010年9月，已感染超过4.5万网络及相关主机。其中，近60%的感染发生在伊朗，其次为印尼和印度(约30％)，美国与巴基斯坦等国家也有少量计算机被感染。数据显示“震网”病毒大约在2009年1月左右就开始大规模感染伊朗国内相关计算机系统。德国GSMK公司专家认为，“震网”病毒对位于伊朗纳坦兹的铀浓缩工厂以及相关设施发起攻击是大概率事件。2010年8月布什尔核电站推迟启动的事件，将“震网”病毒推向前台，并在社会各界迅速升温。2010年11月29日，伊朗总统内贾德公开承认，黑客发起的攻击造成伊朗境内一些浓缩铀设施离心机发生故障。据报道，“震网”病毒可能破坏了伊朗核设施中的1,000台离心机[1]。一位德国计算机高级顾问指出，由于“震网”病毒的侵袭，伊朗的核计划至少拖后了两年[2]。

据悉，2010年7月，我国某知名安全软件公司就监测到了“震网”病毒的出现，并发现该病毒已经入侵我国。该公司反病毒专家警告说，“震网”病毒也有可能在我国企业中的大规模传播。2010年10月3日，中国国家计算机病毒应急处理中心向我国网络用户发出“震网”病毒的安全预警，要求我国能源、交通、水利等部门立即采取措施，加强病毒防范工作。

由于“震网”病毒在伊朗感染的计算机占全球范围的60%，其首要目标就是伊朗的核设施，且技术实现复杂，很多专家推测该病毒发起的攻击很可能是某些国家出于政治目的而操纵实施的。以色列记者罗纳 伯格曼曾撰写《与伊朗的秘密战争》中透露：“如果不是美国和以色列方面早已发动了旨在迟滞伊朗核项目的‘秘密战争’，伊朗的核武研发项目早已实现突破。”书中列举，以色列曾通过欧洲公司向伊朗出售一些工业变电器，通过某种操控，该设备能在瞬间产生数万伏高压电，而在过去几年中，伊朗多处核设施发生供电事故。以色列新闻网站 2010年曾引述以色列前内阁成员称，牵制伊朗核计划的唯一可行方法，就是利用计算机恶意软件发动网络攻击。因此，有媒体认为，美国和以色列最有可能是发动该病毒袭击的幕后操纵者。

231

2 “震网”病毒技术分析

“震网”病毒主要利用Windows 系统漏洞通过移动存储介质和局域网进行传播，攻击以西门子公司控制系统（SIMATIC WinCC ／Step7）的数据采集与监视控制系统（简称SCADA ）。SCADA 系统是一种广泛用于能源、交通、水利、铁路交通、石油化工等领域的工业控制系统（ICS ）。SCADA 系统不仅能够实现生产过程控制与调度的自动化,而且具备现场数据采集、监视、参数调节与各类信息报警等多项功能。“震网”病毒激活后，将攻击SCADA 系统，修改其可编程逻辑控制器（PLC ），劫持控制逻辑发送控制指令，造成工业控制系统控制混乱，最终造成业务系统异常、核心数据泄露、停产停工等重大事故,给企业造成难以估量的经济损失，甚至给国家安全带来严重威胁。

2.1 运行环境

“震网”病毒可以在Windows 2000、Windows XP、Windows Vista、Windows 7以及Windows Serve 等操作系统中激活运行。该病毒激活后，将利用SIMATIC WinCC 7.0、SIMATIC WinCC 6.2等版本的工业控制系统软件漏洞，实现对CPU 6ES7-417和6ES7-315-2型可编程逻辑控制器（PLC ）的攻击控制。

2.2 传播方式

由于“震网”病毒的攻击目标SIMATIC WinCC 软件主要用于工业控制系统的数据采集与监控，一般部署在专用的内部局域网中，并与外部互联网实行物理上的隔离。为了实现攻击，“震网”病毒首先通过互联网等感染外部主机；然后利用Windows 系统漏洞感染U 盘，传播到内部网络；在内网中，通过快捷方式解析漏洞、RPC 远程执行漏洞、打印机后台程序服务漏洞等多项系统漏洞，实现联网主机之间的传播；最后抵达安装了WinCC 软件的主机，实现对工业控制系统的攻击。

2.3 关键技术[3]

“震网”病毒主要利用了五个Windows 系统漏洞（其中四个是“零日”漏洞）以及西门子公司控制系统SIMATIC WinCC 软件的漏洞，伪装RealTek 与JMicron 两大公司的数字签名，绕过安全产品的检测，最终实现了对工业控制系统的攻击。由于“震网”病毒在U 盘和网络中的感染、传播技术与传统的蠕虫病毒相类似，因此，我们主要讨论“震网”病毒对工业控制系统可编程逻辑控制器的感染过程。

可编程逻辑控制器（PLC ）是工业控制系统得以自主运行的关键。PLC 中的控制代码通常由一台控制计算机通过数据线利用SIMATIC WinCC/step 7等软件进行上传和配置。同时控制计算机还可以通过管理软件检测PLC 代码合法性和安全性。PLC 中的代码一旦配置完成，就可以脱离控制计算机独立运行，自主完成工业控制系统中对生产现场的数据采集、监视、调度等工作。

图1 通过库文件s7otbxdx.dll来和PLC完成读写、查找等通信控制

“震网”病毒激活后，会将原始的s7otbxdx.dll 文件重命名为s7otbxsx.dll。然后，它将用自身取代原始的DLL文件。现在，“震网”就可以拦截任何来自其他软件的访问PLC 的命令。被“震网”修改后的s7otbxdx.dll 文件保留了原来的导出表，导出函数仍为109个，其中93个导出命令会转发给真正的DLL，即重命名后的s7otbxsx.dll，而剩下的16种涉及PLC 的读、写、定位代码块的导出命令则被“震网”病毒改动后的DLL 拦截。

图2 修改发送至PLC或从PLC返回的数据并将恶意代码隐藏在PLC中

此外，“震网”病毒为了防止其写入PLC 的恶意数据被PLC 安全检测和防病毒软件发现，“震网”病毒利用PLC rootkit 技术将其代码藏身于假冒的s7otbxdx.dll 中，主要监测和截获对自己的隐藏数据模块的读请求、对受感染代码的读请求以及可能覆盖“震网”病毒自身代码的写请求，修改这些请求以保证“震网”病毒不会被发现或被破坏。如，“震网”病毒劫持s7blk_read 命令，监测对PLC 的读数据请求，凡是读请求涉及“震网”病毒在PLC 中的恶意代码模块，将返回一个错误信息，以规避安全检测。

“震网”病毒在感染PLC 后，将改变控制系统中两种频率转换器的驱动，修改其预设参数。频率转换器用来控制其他设备的运行速度，如发动机，大量应用于供水、油气管道系统、HVAC 等设施中。“震网”病毒主要针对伊朗德黑兰

Fararo Paya 生产的和芬兰VACON 生产的变频器，导致其控制设备发生异常。

2.4 防范措施

“震网”病毒的传播和破环，凸显了物理隔离的专用网络和专用控制系统的安全问题。目前，虽然微软公司和西门子公司都已经提供了针对“震网”病毒相关的漏洞补丁，安全厂商也提供了专用的杀毒软件，但为了防范类似“震网”病毒的破坏，还需要采取以下措施：一是为物理隔离的网络和主机及