《Nmap渗透测试指南》—第9章9.9节检测Stuxnet蠕虫

本节书摘来自异步社区《Nmap渗透测试指南》一书中的第9章9.9节检测Stuxnet蠕虫，作者 商广明,更多章节内容可以访问云栖社区“异步社区”公众号查看。

9.9　检测Stuxnet蠕虫
表9.10所示为本章节所需Nmap命令表，表中加粗命令为本小节所需命令——检测Stuxnet蠕虫。

操作步骤
使用命令“nmap --script stuxnet-detect -p 445 目标”即可检测stuxnet蠕虫。

root@Wing:~# nmap --script stuxnet-detect -p 445 192.168.126.131

Starting Nmap 6.40 ( http://nmap.org ) at 2014-06-13 13:42 CST
Nmap scan report for 192.168.126.131
Host is up (0.00032s latency).
PORT　　STATE SERVICE
445/tcp open　microsoft-ds
|_stuxnet-detect: INFECTED (version 4c:04:00:00:01:00:00:00)
MAC Address: 00:0C:29:E0:2E:76 (VMware)

Nmap done: 1 IP address (1 host up) scanned in 2.20 seconds
root@Wing:~#

分析
Stuxnet蠕虫病毒（超级工厂病毒）是世界上首个专门针对工业控制系统编写的破坏性病毒，能够利用Windows系统和西门子SIMATIC WinCC系统的7个漏洞进行攻击。特别是针对西门子公司的SIMATIC WinCC监控与数据采集 (SCADA) 系统进行攻击，该系统在我国的多个重要行业应用广泛，被用来进行钢铁、电力、能源、化工等重要行业的人机交互与监控。Stuxnet蠕虫病毒传播途径为主要通过U盘和局域网进行传播，历史“贡献”是曾造成伊朗核电站推迟发电，于2010年9月25日进入中国。

使用stuxnet-detect脚本可以轻易地发现Stuxnet蠕虫病毒，保障系统安全。