震网电脑病毒攻击事件

2024年6月10日发(作者：)

震网电脑病毒攻击事件

相比以往的安全事件，此次攻击呈现出许多新的手段和特点，值得我们特别关注。下

面由店铺给你做出详细的震网病毒攻击事件介绍!希望对你有帮助!

震网病毒攻击如下：

4.1 专门攻击工业系统

Stuxnet蠕虫的攻击目标直指西门子公司的SIMATIC WinCC系统。这是一款数据采

集与监视控制(SCADA)系统，被广泛用于钢铁、汽车、电力、运输、水利、化工、石油等

核心工业领域，特别是国家基础设施工程;它运行于Windows平台，常被部署在与外界隔

离的专用局域网中。

一般情况下，蠕虫的攻击价值在于其传播范围的广阔性、攻击目标的普遍性。此次攻

击与此截然相反，最终目标既不在开放主机之上，也不是通用软件。无论是要渗透到内部

网络，还是挖掘大型专用软件的漏洞，都非寻常攻击所能做到。这也表明攻击的意图十分

明确，是一次精心谋划的攻击。

4.2 利用多个零日漏洞

Stuxnet蠕虫利用了微软操作系统的下列漏洞：

RPC远程执行漏洞(MS08-067)

快捷方式文件解析漏洞(MS10-046)

打印机后台程序服务漏洞(MS10-061)

内核模式驱动程序漏洞(MS10-073)

任务计划程序程序漏洞(MS10-092)

后四个漏洞都是在Stuxnet中首次被使用，是真正的零日漏洞。如此大规模的使用多

种零日漏洞，并不多见。

这些漏洞并非随意挑选。从蠕虫的传播方式来看，每一种漏洞都发挥了独特的作用。

比如基于自动播放功的U盘病毒被绝大部分杀毒软件防御的现状下，就使用快捷方式漏洞

实现U盘传播。

另一方面，在安天捕获的样本中，有一部分实体的时间戳是2013年3月。这意味着

至少在3月份，上述零日漏洞就已经被攻击者掌握。但直到7月份大规模爆发，漏洞才首

次披露出来。这期间要控制漏洞不泄露，有一定难度。

4.3 使用数字签名

Stuxnet在运行后，释放两个驱动文件：

%System32%

%System32%

这两个驱动文件伪装RealTek的数字签名(图7)以躲避杀毒软件的查杀。目前，这一

签名的数字证书已经被颁发机构吊销，无法再通过在线验证，但目前反病毒产品大多使用

静态方法判定可执行文件是否带有数字签名，因此有可能被欺骗。

4.4 明确的攻击目标

根据赛门铁克公司的统计，7月份，伊朗感染Stuxnet蠕虫的主机只占25%，到9月

下旬，这一比例达到60%。

WinCC被伊朗广泛使用于基础国防设施中。9月27日，伊朗国家通讯社向外界证实

该国的第一座核电站“布什尔核电站”已经遭到攻击。据了解，该核电站原计划于2013

年8月开始正式运行。因此，此次攻击具有明确的地域性和目的性。