震網電腦病毒攻擊事件

震網電腦病毒攻擊事件

　　相比以往的安全事件，此次攻擊呈現出許多新的手段和特點，值得我們特別關注。下面由學習啦小編給你做出詳細的震網病毒攻擊事件介紹!希望對你有幫助!

　　震網病毒攻擊如下：

　　4.1 專門攻擊工業系統

　　Stuxnet蠕蟲的攻擊目標直指西門子公司的SIMATIC WinCC系統。這是一款數據采集與監視控制(SCADA)系統，被廣泛用于鋼鐵、汽車、電力、運輸、水利、化工、石油等核心工業領域，特別是國家基礎設施工程;它運行于Windows平臺，常被部署在與外界隔離的專用局域網中。

　　一般情況下，蠕蟲的攻擊價值在于其傳播范圍的廣闊性、攻擊目標的普遍性。此次攻擊與此截然相反，最終目標既不在開放主機之上，也不是通用軟件。無論是要滲透到內部網絡，還是挖掘大型專用軟件的漏洞，都非尋常攻擊所能做到。這也表明攻擊的意圖十分明確，是一次精心謀劃的攻擊。

　　4.2 利用多個零日漏洞

　　Stuxnet蠕蟲利用了微軟操作系統的下列漏洞：

　　RPC遠程執行漏洞(MS08-067)

　　快捷方式文件解析漏洞(MS10-046)

　　打印機后臺程序服務漏洞(MS10-061)

　　內核模式驅動程序漏洞(MS10-073)

　　任務計劃程序程序漏洞(MS10-092)

　　后四個漏洞都是在Stuxnet中首次被使用，是真正的零日漏洞。如此大規模的使用多種零日漏洞，并不多見。

　　這些漏洞并非隨意挑選。從蠕蟲的傳播方式來看，每一種漏洞都發揮了獨特的作用。比如基于自動播放功的U盤病毒被絕大部分殺毒軟件防御的現狀下，就使用快捷方式漏洞實現U盤傳播。

　　另一方面，在安天捕獲的樣本中，有一部分實體的時間戳是2013年3月。這意味著至少在3月份，上述零日漏洞就已經被攻擊者掌握。但直到7月份大規模爆發，漏洞才首次披露出來。這期間要控制漏洞不泄露，有一定難度。

　　4.3 使用數字簽名

　　Stuxnet在運行后，釋放兩個驅動文件：

　　%System32%\drivers\mrxcls.sys

　　%System32%\drivers\mrxnet.sys

　　這兩個驅動文件偽裝RealTek的數字簽名(圖7)以躲避殺毒軟件的查殺。目前，這一簽名的數字證書已經被頒發機構吊銷，無法再通過在線驗證，但目前反病毒產品大多使用靜態方法判定可執行文件是否帶有數字簽名，因此有可能被欺騙。

　　4.4 明確的攻擊目標

　　根據賽門鐵克公司的統計，7月份，伊朗感染Stuxnet蠕蟲的主機只占25%，到9月下旬，這一比例達到60%。

　　WinCC被伊朗廣泛使用于基礎國防設施中。9月27日，伊朗國家通訊社向外界證實該國的第一座核電站“布什爾核電站”已經遭到攻擊。據了解，該核電站原計劃于2013年8月開始正式運行。因此，此次攻擊具有明確的地域性和目的性。
看過“震網電腦病毒攻擊事件 ”人還看了：

1.電腦病毒“火焰”

2.國內2016年最新計算機病毒

3.2016電腦病毒有哪些

4.工控網絡安全對社會重要嗎