信息安全_震网事件的九年再复盘与思考.pdfVIP

震网事件的九年再复盘与思考 时间 ： 2019 年 9 月 30 日 来源： 安天 CERT 1、小序 2010 年 7 月，“震网”（Stuxnet ）蠕虫攻击事件浮出水面，引发了国 际主流安全厂商和安全研究者的全面关注，卡巴斯基、赛门铁克、安天等安全 厂商，Ralph Langne 等著名安全研究者，以及多国的应急组织和研究机构， 都投入到了全面的分析接力中。最终使这场攻击的大量细节被呈现出来：这是 一起经过长期规划准备和入侵潜伏作业；借助高度复杂的恶意代码和多个零日 漏洞作为攻击武器；以铀离心机为攻击目标；以造成超压导致离心机批量损坏 和改变离心机转数导致铀无法满足武器要求为致效机理，以阻断伊朗核武器进 程为目的的攻击。 9 年的时间过去了，这一安全事件依然在安天的研究视野中。安天从 2010 年 7 月 15 日展开对震网的分析工作，搭建了模拟环境，在 9 月 27 日发 布了《对 Stuxnet 蠕虫攻击工业控制系统事件的综合分析报告》[1] ，在后续形 成了对其传播机理进行分析的《对 Stuxnet 蠕虫的后续分析报告》[2] ，以及分 析其对工业生产过程作用机理的《WinCC 后发生了什么》[3]系列分析报告。 安天提出了震网与毒曲（Duqu ）同源的猜测，并先后发表了两篇验证性 报告，并启动了对火焰（Flame ）恶意代码的马拉松式的模块分析。在工作推 进中，安天逐步认识到震网、毒曲、高斯（Gauss ）、火焰，这些高度复杂的 恶意代码间存在着同样的背景联系。这些研究工作对安天后续展开对方程式组 织（Equation ）的深度分析起到了非常重要的作用。 由于历史原因，其中部分研究文献并未公开，而一些分析进展是碎片化 的，虽然在我们的对外技术演讲中有所提及，但并未作为文献发布。这是安天 编写这篇文献的原因之一。震网的整体运行框架、USB 摆渡机理和传播失控分 析，以及图解 Tilded 框架与 Flamer 框架的关联，将震网、火焰、毒曲、高 斯、Fanny、Flowershop 之间的关系进行串接的相关章节，是对这些成果的 整理。 今天看来，在前期分析震网系列事件的过程中，我们缺少一种真正意义上 的框架化方法。依然更多的是从自身习惯的反恶意代码视角来看待整个攻击过 2 程。尽管我们给震网这样的复杂攻击提出了一个 A PT （即高级的高级可持续性 威胁）的命名，但分析中始终缺乏作业到作战视角的思考。在相关专家的指导 下，我们对网空博弈、敌情想定有了新的体悟，逐渐从威胁框架视角进行方法 论切换，实现自我能力完善。也希望通过威胁框架这一视角来解读“震网”这 场看起来依然高度复杂的“昨天的战争”。 本文也详细解读了一个值得思考的问题，震网作为一种没有感染属性的蠕 虫，为何会有大量的样本存在。这个原理我们在早期的分析工作中已经发现， 即震网的载荷投放程序，在每落地一台机器时，会有一个内嵌配置数据的自我 更新，从而导致震网的每次落地形成的主执行体的 HASH 均不同，同时其实际 攻击载荷多数均被包裹在主 DLL 之中，并不落地。而震网的相关域名则是在其 已经达成其主体作业效果的情况下才被曝光的。这从某种意义上也昭示了面对 更高级、隐蔽的攻击行动，以 HASH、域名等为主体的威胁情报实际上早就面 对着无效的危机。 图 1-1 震网事件时间轴 2、为什么是震网 在信息技术发展历史上，出现过大量典型的安全事件，但为什么“震网” 被视为具有威胁里程碑意义？震网被认为是第一个以现实