震網(wǎng)：網(wǎng)絡中的特洛伊木馬

2025China.cn 2012年04月11日

自動化工程師需要認真對待“震網(wǎng)”病毒，要從中吸取經驗?！罢鹁W(wǎng)”不僅是一種IT中的蠕蟲，還是一種攻擊制造流程的成熟武器?！罢鹁W(wǎng)”使用編程軟件下載自己的編碼至PLC系統(tǒng)。
從不同的信源和觀點，對“震網(wǎng)”的話題已經有很多報道。但仍有很多誤解和要吸取的經驗。此文的目的是對工業(yè)控制系統(tǒng)（ICS）提出一些觀點和建議，為信息安全的從業(yè)者和標準組織提供參考。

背景
在“震網(wǎng)”之前，任何網(wǎng)絡攻擊（有目的或無目的）被認為能夠由IT信息安全技術發(fā)現(xiàn)，諸如防火墻或侵入檢測系統(tǒng)，縱深防御能夠防止對物理過程的危害。然而，過去控制系統(tǒng)的網(wǎng)絡事故（惡意的和無意的）已經顯示：很多ICS網(wǎng)絡事故是不容易檢測到的，并且能夠造成物理損壞，甚至已經有了縱深防御的設計。美國能源部（DOE）和家園安保部門（DHS）－一直在資助開發(fā)ICS的侵入檢測系統(tǒng)（IDS）/侵入預防系統(tǒng)（IPS）技術和加固監(jiān)督控制和數(shù)據(jù)采集（SCADA）系統(tǒng)。注意使用SCADA這個術語是重要的，因為這些新技術還沒有實施到很多老式的非SCADA設備上，諸如可編程邏輯控制器（PLC），電子驅動器，過程傳感器和其他現(xiàn)場設備。另一個假定是：在正在開發(fā)的標準中，諸如IEC62443（ISA99）和北美電氣可靠性公司（NERC）的關鍵基礎架構保護（CIP）標準，針對ICS的攻擊已經足夠全面，包括一些非常棘手的攻擊。這些假設抵抗諸如“震網(wǎng)”還不夠充分，需要對ICS的信息安全情況進行一次詳細的重新評估。

我們認為無論是誰開發(fā)了“震網(wǎng)”－我們不相信制造“震網(wǎng)”的人非常清楚目的－愿意花費相當大的資源（人力和財力）去開發(fā)蠕蟲進行攻擊。他們不想被認出，至少在早期階段，針對特定的目標采用外科手術式的方法。我們不認為仿冒者會重復這種做法，也不會對發(fā)現(xiàn)而不在乎。為了保護關鍵基礎設施，要采取了嚴厲措施，防止相似的漏洞受到類似的攻擊。

“震網(wǎng)”歷史
“震網(wǎng)”第一次網(wǎng)絡攻擊是針對ICS設備的說法尚有爭論?！罢鹁W(wǎng)”直到2010年的6月中才被人們發(fā)現(xiàn)，當它被調查人使用VirusBlockAda識別后，一家位于白俄羅斯明斯克的信息安全供應商。（VirusBlockAda監(jiān)視什么系統(tǒng)或誰是客戶尚不清楚）。

這個蠕蟲非常著名，不僅是它的技術復雜度，而是因為它針對ICS而設計，運行在電廠，包括核電站、智能電網(wǎng)、水處理、海上油井平臺、艦船和其他關鍵性基礎設施，甚至針對伊朗的核設施。具有諷刺意味的是，DOE有一個對等的研發(fā)部門在“震網(wǎng)”披露的那一周進行了審核，沒有一個DOE研發(fā)項目知道它的存在。

賽門鐵克公司（Symantec）的研究人員確認了一個在2009年的6月制造的早期蠕蟲版本，這個惡意軟件在2010年1月變得更為復雜。這個早期 “震網(wǎng)”版本的行為同當前的化身相同－它與西門子的PLC連接－但它沒有使用新版蠕蟲引人注目的技術，在安裝到Windows系統(tǒng)后能夠躲避反病毒檢測。這些特性剛剛加到最新的蠕蟲版本中，在幾個月之前首次被檢測到，卡巴斯基實驗室（Kaspersky Lab）的人員說道：“毫無疑問，它是我們到目前為止看到的最復雜精密的目標攻擊”。

在“震網(wǎng)”制造出來以后，它的作者增加了新功能，允許它在USB設備之間擴散，事實上不需要受害者的任何操作。該惡意件還能夠獲取芯片公司瑞昱（Realtek）和智微（JMicron）的密鑰和數(shù)字簽名，所以反病毒掃描器檢測到它的困難更大。瑞昱和智微在臺灣的新竹科技園辦公室和卡巴斯基實驗室研究工程師舒文伯格（Schouwenberg）相信有人可能已經偷盜了兩個公司的網(wǎng)絡訪問計算機密鑰。這樣就使“震網(wǎng)”擊敗了兩因數(shù)的鑒權。

“震網(wǎng)”利用微軟產品當時四個著名的“0天”漏洞。0天事件（或0天病毒或0天感染）在計算機和因特網(wǎng)術語里本質上一個病毒或一些惡意代碼，因為新，所以反病毒和反間諜軟件還沒來得及更新，可能檢測不到它的存在。

[DividePage:NextPage]

“震網(wǎng)”比谷歌攻擊（Google attack）更有技術含量，舒文伯格說?！皹O光（Aurora）具有0天，但它針對的是IE版本6，”他說?！斑@里你有一個漏洞，它會對Windows2000之前的所有版本都有效?！被叵肽菚r，微軟不再支持Windows2000和其他老版本，而大多數(shù)ICS應用仍在使用。

雖然這個蠕蟲的第一個版本寫于2009年6月，這個版本是否用于了現(xiàn)實世界攻擊還不清楚。舒文伯格說他相信第一次攻擊可能早在2009年7月就發(fā)生了。第一個確認攻擊的賽門鐵克公司的信息安全技術副總裁認為這個日期是2010年1月。多數(shù)受感染的系統(tǒng)在伊朗，他說，雖然印度、印尼和巴基斯坦也受到了打擊。因為它本身非常獨特，副總裁說?！斑@是在20年里的第一次，我能記得伊朗展示的情況非常嚴重?！?/FONT>

很多人認為“震網(wǎng)”是一種數(shù)據(jù)泄漏問題。數(shù)據(jù)泄露涉及計算機系統(tǒng)信息的非授權隱蔽傳送。然而，“震網(wǎng)”遠不只數(shù)據(jù)泄漏－它是第一個針對PLC的根工具（rootkit）。根工具是一組程序和編碼，是隱藏在計算機中的惡意軟件。它是針對過程進行攻擊的武器。它有使用編程軟件的能力，把自己的編碼加載到PLC中。另外，“震網(wǎng)”隱藏在這些編碼塊中，所以當編程人員使用感染設備試圖觀看PLC的所有代碼塊時，他們發(fā)現(xiàn)不了被“震網(wǎng)”感染的代碼。因此，“震網(wǎng)”不僅是把自己隱藏在Windows系統(tǒng)中的根工具，還是第一個共所周知躲藏在PLC代碼背后的根工具。特別地，“震網(wǎng)”鉤住編程軟件，這意味著當有人使用該軟件觀察PLC的代碼塊時，感染的塊不會被發(fā)現(xiàn)，并且不能被重寫。“震網(wǎng)”包含70種加密的代碼塊，出現(xiàn)的形式是替換一些基礎的日常程序。在這些塊下載到PLC之前，它們要根據(jù)PLC類型進行定制。有報告稱：有大于100,000臺的機器受到“震網(wǎng)”的影響。然而，“震網(wǎng)”是一種多維度的攻擊?？梢姷拿婷彩菙?shù)據(jù)泄漏，這不影響PLC；影響PLC的真正嘴臉確看不見。基于拉爾夫?蘭那在應用控制解決方案2010研討會的介紹，病毒的作用只在滿足了特定的條件后才會爆發(fā)。因此，還不清楚究竟有多少機器實際被這種“武器”所感染。

“震網(wǎng)”能夠使用MS08-067漏洞，同樣是Downadup（也稱作Conficker）蠕蟲用于傳播的漏洞。MS08-067是一種致命的漏洞，存在于Windows 2008/Vista/2003/XP/2000服務器的服務中，它使感染計算機能被黑客遠程控制，與登錄的用戶有著相同的權限。如果這個用戶具有管理員的權限，黑客能夠接管系統(tǒng)的全部控制?！罢鹁W(wǎng)”出現(xiàn)的時間與Conficker蠕蟲相同?！罢鹁W(wǎng)”能夠使用 Conficker蠕蟲傳播它自己?！罢鹁W(wǎng)”還要回溯到2009年6月，那時Conficker蠕蟲首次被認定。那也是北美電氣可靠性公司（NERC）對Conficker蠕蟲發(fā)布的日期，因為電廠發(fā)現(xiàn)了這個情況。我們最近收到的一封電子郵件，一家主要的石油公司在他們的控制系統(tǒng)發(fā)現(xiàn)了Conficker－由一個U盤帶入系統(tǒng)。令人驚奇！一個最重要的問題是一個復雜的ICS網(wǎng)絡攻擊不能由ICS人員來識別。因此，ICS人員需要與IT研究人員組成團隊，比如像來自賽門鐵克和卡巴斯基的人員。

注意在7月披露之后不久，微軟發(fā)布了一個補丁，用于Windows的漏洞（LNK），“震網(wǎng)”利用它進行系統(tǒng)到系統(tǒng)的傳播（微軟LNK漏洞技術分析簡報(CVE-2010-2568)）。另外，一些反病毒廠家提供了新的反病毒簽名。然而，沒有針對寫入PLC固件惡意代碼的解決方案。

“震網(wǎng)”的啟示
        無論有意還是無意，“震網(wǎng)”使用了在ICS 網(wǎng)絡中出現(xiàn)的一系列常規(guī)弱點：
        ? “震網(wǎng)”使用閃存（U盤）從物理接口進入系統(tǒng)，然后使用Windows中的多處漏洞，獲得對PLC固件的訪問權限。通過攻擊Windows接口，焦點在Windows，而不是對PLC攻擊。另外，多數(shù)政府對工業(yè)初始的響應不直接針對ICS工程師。
        ? 工業(yè)不知道復雜的ICS網(wǎng)絡攻擊是什么樣子，或哪種控制系統(tǒng)的獨有屬性被當作目標。一種復雜攻擊，諸如“震網(wǎng)”，多數(shù)不能被ICS中的侵入檢測系統(tǒng)和侵入保護系統(tǒng)（IDS/IPS）或ICS的信息安全研究人員所發(fā)現(xiàn)。能源部贊助資金開發(fā)IDS規(guī)則和簽名的努力沒有實施。
        ? DOE資助項目沒有針對老版本W(wǎng)indows，而普遍用于ICS的多數(shù)系統(tǒng)是老系統(tǒng)，這是“震網(wǎng)”的攻擊對象。DOE資助的集成安保系統(tǒng)不能發(fā)現(xiàn)它。工業(yè)需要理解ICS網(wǎng)絡漏洞的獨特性，不能使用典型的IT分析來發(fā)現(xiàn)。
        ? “震網(wǎng)”有6種傳播途徑，而現(xiàn)在僅有一個針對的補丁。因此，補丁管理應該有最好減小影響的方法，阻止攻擊。
        ? DOE或DHS沒有針對PLC而作工作，就像針對基于Windows的SCADA系統(tǒng)、分布式控制系統(tǒng)和歸檔數(shù)據(jù)庫。因此，沒有開發(fā)出特定的IDS/IPS簽名。
        ? “震網(wǎng)”代碼是模塊化的，“震網(wǎng)”代碼的很多部分可以應用于任何ICS廠家。所以每家ICS廠商都需要做好準備，預防“震網(wǎng)”的網(wǎng)絡攻擊，并且要準備現(xiàn)場遭受攻擊后的恢復預案。

[DividePage:NextPage]

        ? 反病毒解決方案可能不一定成功。直到實際的攻擊被破解之后，IT類型的解決方案可能提供了一種安保的錯覺，并且影響ICS設備的性能。
        ? 發(fā)現(xiàn)這種蠕蟲要花費資深IT安保研究人員的很大精力，還要花費有經驗的ICS人員去理解這個機理。需要建立一支由IT安保研究人員、ICS專家、威脅分析師和法律專家的團隊，應對這些復雜的攻擊。
        ? 可能與以前的網(wǎng)絡病毒爆發(fā)（如Conficker）有很多聯(lián)系。聯(lián)系這些點和重新檢查以前ICS網(wǎng)絡事故，來考慮“新”攻擊是非常重要的。
        ? “震網(wǎng)”蠕蟲代表一種不同的相互依存－ICS廠商與用戶。在這種情況下，西門子PLC的感染可能影響多個工業(yè)領域，每種情況都有其依存性。需要理解這種依存性。
        ? NERC CIP流程還不足以應對諸如“震網(wǎng)”這樣的事件，特別在運行（變電站或工廠）環(huán)境。
        ? “震網(wǎng)”對智能電網(wǎng)的關鍵方面提出了危險提示－依靠密鑰管理。智能電網(wǎng)網(wǎng)絡安保的緩解方法需要重新檢查。

其他問題
華盛頓郵報刊登了一名高級防衛(wèi)部門官員在外交事務雜志上寫的報告，透露在2008年，由一個加載到在中東美國軍方筆記本的U盤進行傳播，對美國政府（軍方）計算機和網(wǎng)絡的一次攻擊。“那個代碼傳播在機密和非機密的系統(tǒng)上都檢測不到，建立了相當于數(shù)字的灘頭陣地，從這里出發(fā)，由外國人控制把數(shù)據(jù)轉移到多臺服務器?！彼谖恼轮姓f道。聽上去非常像“震網(wǎng)”，不是嗎？

對于法規(guī)問題，NERC CIP標準有效但把“震網(wǎng)”排除在外，就像傳遞工具是閃存盤，不是一個可路由的協(xié)議?！罢鹁W(wǎng)”使用危及安全的密匙。因為智能電網(wǎng)將依靠密鑰管理，這對智能電網(wǎng)意味著什么？此外，PLC的使用遍及智能電網(wǎng)的各處，包括可再生能源等。

在2010年9月2日，美國計算機網(wǎng)緊急響應組（CERT）發(fā)布一個對“震網(wǎng)”更新的咨詢報告（ICSA -10-238-01A –“震網(wǎng)”惡意件緩解）。然而，咨詢報告沒有討論如何刪除在PLC級別的感染，甚至沒有告訴怎樣識別和發(fā)現(xiàn)它。

對于“震網(wǎng)”我們可以做什么還是個問題，因為現(xiàn)在不可能指認哪個控制器被“感染了”。因為這是一個工程攻擊，工廠和變電站工程設計和計劃組織部門需要圍繞這類攻擊進行工作，因為從網(wǎng)絡的觀點這是無法工作的。安全、保護和控制在同一個網(wǎng)絡上融合使得攻擊諸如“震網(wǎng)”會造成破壞性的結果。

建議：
        ? 根據(jù)IEC62443（ISA S99）、NERC CIP、核管制委員會（NRC）管制指南5-71和核能研究所（NEI）08-09，執(zhí)行一次詳細的漏洞分析。
        ? 建立和執(zhí)行ICS網(wǎng)絡安保策略和程序。
        ? 理解你的ICS中實際上有什么。
        ? 針對不同的ICS應用恰當?shù)募夹g。
        ? 有工程和計劃組織部門評估“震網(wǎng)”攻擊的潛在影響。
        ? 要準備備份方案，因為ICS可被有意或無意的網(wǎng)絡事故所影響。
        ? ICS網(wǎng)絡安保研究需要包括ICS現(xiàn)場設備，它們通常沒有安保功能，但可能遭受最糟的后果。

結論
        ? “震網(wǎng)”是一種對物理過程的攻擊，這意味著它不是“可補丁的”。
        ? 對ICS為目標的復雜網(wǎng)絡攻擊，ICS人員幾乎沒機會能檢測它。
        ? IT惡意件的研究人員有最佳的機會去發(fā)現(xiàn)它。ICS人員需要與他們合作。
        ? 對于“震網(wǎng)”，ICS人員需要理解怎樣檢測感染，知道是否可以信任控制系統(tǒng)。
        ? 不要固定在西門子的設備上，這可能發(fā)生在任何的ICS上。
        ? 當你的系統(tǒng)受影響時，馬上啟動備份方案。

（轉載）

標簽：羅克韋爾自動化震網(wǎng) 特洛伊木馬 PLC系統(tǒng)

我要反饋