震网_深度分析.pdfVIP

震网病毒——设计思路的深度分析 震网病毒，英文名称是Stuxnet ，第一个针对 工业控制系统 的蠕虫病毒，第一个被发 现的 网络攻击武器。 2010 年6 月首次被白俄罗斯安全公司VirusBlokAda 发现，其名称是从代码中的关键字 得来，这是第一次发现震网病毒，实际上这还是震网病毒的第二个版本。 2007 年有人在计算机信息安全网站VirusTotal 上提交了一段代码，后来被证实是震网 病毒的第一个版本，至少是我们已知的第一个。对于第一个震网病毒变种，后来大家基于 震网病毒的第二个版本的了解基础上，才意识到这是震网病毒。 震网病毒的攻击目标是伊朗核设施。 据全球最大网络安全公司赛门铁克（Symantec ）和微软（Microsoft）公司的研究，近 60%的感染发生在伊朗，其次为印尼（约20% ）和印度（约10%）， 阿塞拜疆、美国与巴 基斯坦等地亦有小量个案。 2011 年1 月，俄罗斯常驻北约代表罗戈津表示，这种病毒可能给伊朗布什尔核电站造 成严重影响，导致有毒的放射性物质泄漏，其危害将不亚于1986 年发生的切尔诺贝利核电 站事故。 我们这次分析的案例是纳坦兹核设施。纳坦兹核基地对于伊朗的核计划非常重要，它 是伊朗能否顺利完成利用核能发电的关键。纳坦兹铀浓缩工厂用浓缩铀的关键原料——— 六氟化铀（UF6），灌入安装在这里的离心机，提炼浓缩铀，为布什尔核电站发电提供核燃 料。 进一步分析 它是如何攻击纳坦兹核设施并隐藏自己的？ 它是如何渗透纳坦兹核设施内部网络的？ 它是如何违背开发者的期望并扩散到纳坦兹之外的？ IR-1 离心机是伊朗铀浓缩的根基。它可以追溯到从20 世纪60 年代末由欧洲设计，70 年代初被窃取。全金属设计的IR-1 是可以稳定的运行的，前提是其零件的制造具有一定精 度，但是伊朗人其零件加工工艺不达标。因此他们不得不降级离心机的运行压力。但是较 小的工作压力意味着较少的产出，因而效率较低。 虽然低效，但对于伊朗来说有一个显而易见的优点，伊朗可以大规模的制造生产。伊 朗通过数量来弥补不稳定性和低效率，他们能够接受在运行过程中一定数量的离心机损 坏，因为他们制造离心机的速度比离心机损坏的速度要快多了。 图为2008 年至2010 年Natanz 工厂的离心机库存数据，伊朗始终保存着至少50%的备 用离心机。 离心处理操作是一个严苛的工业流程，在流程运行过程中，它不可以存在任何的问 题。伊朗建立了一套级联保护系统，它用来保证离心流程持续进行。在离心机层，级联保 护系统的每个离心机在出故障时都可以被隔离出来。隔离后的离心机可以停机并被维护工 程师替换，而工艺流程仍然正常运行。 可问题是他们的离心机太脆弱，会出现多个都坏了的情况。如果同一个组中的离心机 都停机了，运行压力将会升高，从而导致各种各样的问题。 伊朗人发现了一个很有创造力的解决方案来处理这一问题，在每一个铀浓缩组里，都 安装了一个排气阀门，当同一组中的多个离心机停机被隔离时，随着压力的升高，该排气 阀门可以排气并降低压力。 这种处理方案给了震网一个攻击机会。 震网病毒首先关闭位于前两组和最后两组离心处理的隔离阀。阻止了受影响的级联系 统的气体流出，从而导致其他的离心机压力提升。压力的增加将导致更多的六氟化铀进入 离心机,给转子更高的机械应力。最终,压力可能会导致气体六氟化铀固化,从而严重损害离 心机。 为了防止被保护系统和操作员发现，第一步是隐藏其踪迹，采用了来自好莱坞的策 略。震网病毒以21 秒为周期，记录保护系统的传感器数据，然后在攻击执行时以固定的循 环重复着21 秒钟的传感器数据。在控制室，一切看起来都正常。这样就欺骗了保护系统和 操作员。 这种攻击一直持续到攻击者认为达到目的为止，根据监控到的离心机的工作状态而 定。如果他们是为了毁灭性的破坏，那么很简单。在Nataz 的案例中，一个控制器控制的 气体固化可以轻易损坏上百台离心机。听起来这个目标非常有价值，但它也会暴露攻击 者。伊朗的工程师在后期的分析中可以轻易的找到事故发生的原因。这次攻击的实现过程 中，攻击者密切监视运行的压力和离心机的状态表明，他们小心翼翼的避免毁灭性的损 坏。增大运行压力的方式看起来更像是为了让转子寿命更短一些。 这次过压的攻击结果也是未知的。不管是什么，在2009 年的时候，攻击者决定尝试一 些新的东西。 新的攻击主