工控安全职业证书技能实践：攻击事件技术实现及检测特征分析.pptxVIP

攻击事件技术实现及检测特征分析 CONTENTS 工控安全职业证书 攻击事件背景 01 近日，国内外多家媒体相继报道了Stuxnet蠕虫对西门子公司的数据采集与监控系统SIMATIC WinCC进行攻击的事件，称其为“超级病毒”、“超级工厂病毒”，并形容成“超级武器”、“潘多拉的魔盒”。 Stuxnet蠕虫（俗称“震网”、“双子”）在今年7月开始爆发。它利用了微软操作系统中至少4个漏洞，其中有3个全新的零日漏洞；为衍生的驱动程序使用有效的数字签名；通过一套完整的入侵和传播流程，突破工业专用局域网的物理限制；利用WinCC系统的2个漏洞，对其展开攻击。 技术实现分析 02 1、运行环境 Stuxnet蠕虫在下列操作系统中可以激活运行： Windows 2000 Windows Server 2000 Windows XP Windows Server 2003 Windows Vista Windows 7 Windows Server 2008 被攻击的软件系统包括： SIMATIC WinCC 6.2 SIMATIC WinCC 7.0 当它发现自己运行在非Windows NT系列操作系统中，会即刻退出。 技术实现分析 02 2、本地行为 技术实现分析 02 3、传播方式 Stuxnet蠕虫的攻击目标是SIMATIC WinCC软件。后者主要用于工业控制系统的数据采集与监控，一般部署在专用的内部局域网中，并与外部互联网实行物理上的隔离。为了实现攻击，Stuxnet蠕虫采取多种手段进行渗透和传播 检测特征分析 03 1、专门攻击工业系统 Stuxnet蠕虫的攻击目标直指西门子公司的SIMATIC WinCC系统。这是一款数据采集与监视控制（SCADA）系统，被广泛用于钢铁、汽车、电力、运输、水利、化工、石油等核心工业领域，特别是国家基础设施工程；它运行于Windows平台，常被部署在与外界隔离的专用局域网中 检测特征分析 03 2、利用多个零日漏洞 Stuxnet蠕虫利用了微软操作系统的下列漏洞： RPC远程执行漏洞（MS08-067） 快捷方式文件解析漏洞（MS10-046） 打印机后台程序服务漏洞（MS10-061） 尚未公开的一个提升权限漏洞 3、使用有效的数字签名 Stuxnet在运行后，释放两个驱动文件： %System32%\drivers\mrxcls.sys %System32%\drivers\mrxnet.sys 这两个驱动文件使用了RealTek的数字签名以躲避杀毒软件的查杀。目前，这一签名已经被颁发机构吊销，无法再通过在线验证，但目前反病毒产品大多使用静态方法判定可执行文件是否带有数字签名，因此有可能被欺骗。 检测特征分析 03 谢谢观看