震网病毒
本文通过病毒排查方式,几个0day漏洞,病毒执行逻辑对stuxnet进行讲解。
参考“人类第一次网络战争行为,震网病毒是怎么被发现的,是怎么进行攻击的” https://www.bilibili.com/video/BV1r3411q7ff?from=search&seid=17833200498424434879&spm_id_from=333.337.0.0
排查方式
赛门铁克通过反汇编进行
0Day漏洞
平均一个0day漏洞价格100w rmb。
震网中发现4个0day漏洞,包含win2000-win7的两个0day漏洞;u盘和硬盘漏洞;局域网漏洞。
执行逻辑
- u盘插入电脑
- 利用ink漏洞,当windows扫描.ink来显示文件图标时注入
- 病毒进入电脑后,开始搜索计算机有无安装西门子step7软件。若无则病毒静默;若有,则感染工控机工程文件。
- 病毒分析工控机工程文件,是否使用了西门子s7-315这款PLC。若无则病毒静默;若有,则继续感染。
- 病毒查找这款PLC是否使用id=7050h伊朗法拉罗牌自产变频器和id=9500h的芬兰伟肯变频器。若无则病毒静默;若有,则病毒注入控制离心机的PLC中
具有针对性
被感染的电脑70%在伊朗
只感染装了西门子工控软件电脑
纳坦兹浓缩铀工厂遭受攻击
目的:通过工控网络攻击离心机的手段来组织伊朗核进程。