对 Stuxnet 蠕虫攻击工业控制系统事件的 综合分析报告 安天安全研究与应急处理中心(Antiy CERT) 首次发布时间：2010 年 9 月 27 日 21 时 本版本更新时间：2010 年 9 月 30 日 14 时 目 录 1 事件背景 ................................................................................................................................................ 1 2 样本典型行为分析 ................................................................................................................................. 1 3 4 5 2.1 运行环境 ..................................................................................................................................................... 1 2.2 本地行为 ..................................................................................................................................................... 1 2.3 传播方式 ..................................................................................................................................................... 4 2.4 攻击行为 ..................................................................................................................................................... 7 2.5 样本文件的衍生关系 ................................................................................................................................. 8 解决方案与安全建议.............................................................................................................................10 3.1 抵御本次攻击 ........................................................................................................................................... 10 3.2 安全建议 ................................................................................................................................................... 11 攻击事件的特点 ....................................................................................................................................11 4.1 专门攻击工业系统 ................................................................................................................................... 11 4.2 利用多个零日漏洞 ................................................................................................................................... 11 4.3 使用有效的数字签名 ............................................................................................................................... 12 4.4 明确的攻击目标 ....................................................................................................................................... 13 综合评价 ...............................................................................................................................................13 5.1 工业系统安全将面临严峻挑战 ............................................................................................................... 13 5.2 展望和思考 ............................................................................................................................................... 15 附录一：参考资料........................................................................................................................................17 附录二：关于安天........................................................................................................................................17 附录三：安天应急响应时间表 .....................................................................................................................18 对 Stuxnet 蠕虫攻击工业控制系统事件的综合分析报告 1 事件背景 近日，国内外多家媒体相继报道了 Stuxnet 蠕虫对西门子公司的数据采集与监控系统 SIMATIC WinCC 进行攻击的事件，称其为“超级病毒”、“超级工厂病毒”，并形容成“超级武器”、“潘多拉的魔盒”。 Stuxnet 蠕虫（俗称“震网”、“双子”）在今年 7 月开始爆发。它利用了微软操作系统中至少 4 个漏洞， 其中有 3 个全新的零日漏洞；为衍生的驱动程序使用有效的数字签名；通过一套完整的入侵和传播流程， 突破工业专用局域网的物理限制；利用 WinCC 系统的 2 个漏洞，对其展开攻击。它是第一个直接破坏现实 世界中工业基础设施的恶意代码。据赛门铁克公司的统计，目前全球已有约 45000 个网络被该蠕虫感染， 其中 60%的受害主机位于伊朗境内。伊朗政府已经确认该国的布什尔核电站遭到 Stuxnet 蠕虫的攻击。 安天实验室于 7 月 15 日捕获到 Stuxnet 蠕虫的第一个变种，在第一时间展开分析，发布了分析报告及 防范措施，并对其持续跟踪。截止至本报告发布，安天已经累计捕获 13 个变种、 600 多个不同哈希值的样 本实体。 2 样本典型行为分析 2.1 运行环境 Stuxnet 蠕虫在下列操作系统中可以激活运行：  Windows 2000、Windows Server 2000  Windows XP、Windows Server 2003  Windows Vista  Windows 7、Windows Server 2008 当它发现自己运行在非 Windows NT 系列操作系统中，会即刻退出。 被攻击的软件系统包括：  SIMATIC WinCC 7.0  SIMATIC WinCC 6.2 但不排除其他版本的 WinCC 被攻击的可能。 2.2 本地行为 样本被激活后，典型的运行流程如图 1 所示。 ©安天版权所有，欢迎无损转载 第1页 对 Stuxnet 蠕虫攻击工业控制系统事件的综合分析报告 样本首先判断当前操作系统类型，如果是 Windows 9X/ME，就直接退出。 接下来加载一个 DLL 模块，后续要执行的代码大部分都在其中。为了躲避反病毒软件的监视和查杀， 样本并不将 DLL 模块释放为磁盘文件，而是直接拷贝到内存中，然后模拟正常的 DLL 加载过程。 具体而言，样本先申请一块内存空间，然后 Hook ntdll.dll 导出的 6 个系统函数：  ZwMapViewOfSection  ZwCreateSection  ZwOpenFile  ZwClose  ZwQueryAttributesFile  ZwQuerySection 为