震网病毒背景介绍:首先,震网病毒利用了4个Windows零日漏洞,这些漏洞是指软件中刚刚被发现、还没有被公开或者没有被修补的漏洞。零日漏洞可以大大提高电脑入侵的成功率,具有巨大的经济价值。在黑市上,一个零日漏洞通常可以卖到几十万美元。因此,震网病毒的开发者具备强大的经济实力,并对攻击目标怀有志在必得的决心,因此才会同时利用多个零日漏洞,确保一击得手。其次,震网病毒具备超强的USB传播能力。传统病毒主要是通过网络传播,而震网病毒大大增强了通过USB接口传播的能力,它会自动感染任何接入的U盘。这表明病毒的传播环境不仅限于真正的互联网,而是扩展到了USB口这样的传播途径。最奇怪的是,病毒中居然还含有两个针对西门子工控软件漏洞的攻击,这在当时的病毒中是绝无仅有的。这表明病毒不仅仅局限于互联网,还可以应用到工业系统中去。事件背景:2010年10月,国内外多家媒体相继报道了Stuxnet蠕虫对西门子公司的资料采集与监控系统SIMATIC WinCC进行攻击的事件,称其为“超级病毒”、“超级工厂病毒”,并形容成“超级武器”、“潘多拉的魔盒”。Stuxnet蠕虫俗称“震网”、“双子”,在2003年7月开始爆发。据赛门铁克公司的统计,截止到2010年09月全球已有约45000个网络被该蠕虫感染,其中60%的受害主机位于伊朗境内。伊朗已经确认该国的布什尔核电站遭到Stuxnet蠕虫的攻击。样本典型行为分析:Stuxnet蠕虫在Windows 2000、Windows Server 2000、Windows XP、Windows Server 2003、Windows Vista、Windows 7、Windows Server 2008等操作系统中可以启用执行。被攻击的软件系统包括SIMATIC WinCC 7.0和SIMATIC WinCC 6.2。样本被启用后,典型的执行流程包括判断当前操作系统型别,载入主要的DLL模块,修改系统文件,注册系统服务等行为。
