蠕蟲攻擊工業控制系統事件的綜合分析報告目錄事件景 1樣本型為析 1運行境 1本地為 1傳播式 4攻擊為 7樣本件衍關系 8解決案安建議 10抵御次擊 10安全議 11攻擊件特點 11專門擊業統 11利用個日洞 11使用效數簽名 12明確攻目標 13綜合價 13工業統全面嚴挑戰 13展望思考 15附錄：考料 17附錄：于天 17附錄：天急應間表 18事件背景近日，國內外多家媒體相繼報道了Stuxnet蠕蟲對西門子公司的數據采集與監控系統SIMATICWinCC進行攻擊的事件，稱其為“超級病毒”、“超級工廠病毒”，并形容成“超級武器”、“潘多拉的魔盒”。Stuxnet蠕蟲（俗稱“震網”、“雙子”）在今年7月開始爆發。它利用了微軟操作系統中至少4個漏洞，324500060%Stuxnet715Stuxnet13600樣本典型行為分析運行環境Stuxnet蠕蟲在下列操作系統中可以激活運行：Windows2000、WindowsServer2000WindowsXP、WindowsServer2003WindowsWindows7、WindowsServer2008當它發現自己運行在非WindowsNT系列操作系統中，會即刻退出。被攻擊的軟件系統包括：7.06.2但不排除其他版本的WinCC被攻擊的可能。本地行為樣本被激活后，典型的運行流程如圖1所示。樣本首先判斷當前操作系統類型，如果是Windows9X/ME，就直接退出。接下來加載一個DLL模塊，后續要執行的代碼大部分都在其中。為了躲避反病毒軟件的監視和查殺，樣本并不將DLL模塊釋放為磁盤文件，而是直接拷貝到內存中，然后模擬正常的DLL加載過程。具體而言，樣本先申請一塊內存空間，然后Hookntdll.dll導出的6個系統函數：ZwMapViewOfSectionZwCreateSectionZwOpenFileZwCloseZwQueryAttributesFileZwQuerySectionntdll.dllPE0x40hook。ZwCreateSection在內存空間中創建一個新的PEDLL模塊拷貝到內存中，最后使用LoadLibraryW來獲取模塊句柄。釋放驅動文件mrxnet.sysmrxcls.sys激活樣本釋放驅動文件mrxnet.sysmrxcls.sys激活樣本Win9x/ME判斷系統類型退出WinNT申請內存空間HookNtdll中的函數傳播HookNtdll中的函數傳播模擬DLL加載方式，加載內存數據攻擊WinCC系統RPC漏失敗 提權打印機服務漏洞快捷方式漏洞圖RPC漏失敗 提權打印機服務漏洞快捷方式漏洞此后，樣本跳轉到被加載的DLL中執行，衍生下列文件：%System32%\drivers\mrxcls.sys%System32%\drivers\mrxnet.sys%Windir%\inf\oem7A.PNF%Windir%\inf\mdmeric3.PNF%Windir%\inf\mdmcpq3.PNF%Windir%\inf\oem6C.PNF其中有兩個驅動程序mrxcls.sys和mrxnet.sys，分別被注冊成名為MRXCLS和MRXNET的系統服務，實現開機自啟動。這兩個驅動程序都使用了Rootkit技術，并使用了數字簽名。mrxcls.sys%Windir%\inf\oem7A.PNFservices.exeS7tgtopx.exeCCProjectMgr.exexne.ss通過修改一些內核調用來隱藏被拷貝到U盤的nk文件和DL文件（圖圖2 驅動程序隱藏某些lnk文件傳播方式Stuxnet蠕蟲的攻擊目標是SIMATICWinCC軟件。后者主要用于工業控制系統的數據采集與監控，一般部署在專用的內部局域網中，并與外部互聯網實行物理上的隔離。為了實現攻擊，Stuxnet蠕蟲采取多種手段進行滲透和傳播，如圖3所示。內部網絡打印服務漏洞MS10-061lnk內部網絡打印服務漏洞MS10-061lnk漏洞MS10-046 RPC漏洞MS08-067U盤WinCCRPC漏洞MS08-067被感染主機圖3 樣本的多種傳播方式整體的傳播思路是：首先感染外部主機；然后感染U盤，利用快捷方式文件解析漏洞，傳播到內部網絡；在內網中，通過快捷方式解析漏洞、RPC遠程執行漏洞、打印機后臺程序服務漏洞，實現聯網主機之間的傳播；最后抵達安裝了WinCC軟件的主機，展開攻擊。（MS10-046）這個漏洞利用Windows.lnkDLLDLL就會加載這個DLLDLLSuxnet圖DL文件拷貝圖5”圖4 查找U盤圖5 拷貝文件到U盤拷貝到U盤的DLL文件有兩個：~wtr4132.tmp和~wtr4141.tmp。后者Hook了kernel32.dll和ntdll.dll中的下列導出函數：FindFirstFileWFindNextFileWFindFirstFileExWNtQueryDirectoryFileZwQueryDirectoryFile實現對UlnkDLL戶態Hook來實現對URPC遠程執行漏洞（MS08-067）與提升權限漏洞2008圖6 發動RPC攻擊RPCWindows2000、WindowsXPWindowsServer2003Suxnet圖6（圖（MS10-061）這是一個零日漏洞，首先發現于Stuxnet蠕蟲中。Windows%System32%圖7 利用打印服務漏洞Stuxnet7sysnullevnt.mofwinsta.exe攻擊行為SuxnetnC圖8HKLM\SOFTWARE\SIEMENS\WinCC\SetupHKLM\SOFTWARE\SIEMENS\STEP7圖8 查詢注冊表，判斷是否安裝WinCC一旦發現WinCC系統，就利用其中的兩個漏洞展開攻擊：QL圖9Step7DLL“DLL”StuxnetStep7s7otbxdx.dll，s7otbxsx.dllHook。圖9 查詢WinCC的數據庫樣本文件的衍生關系本節綜合介紹樣本在上述復制、傳播、攻擊過程中，各文件的衍生關系。如圖10所示。樣本的來源有多種可能。對原始樣本、通過RPC漏洞或打印服務漏洞傳播的樣本，都是exe文件，它在自己的.stud節中隱形加載模塊，名為“kernel32.dll.aslr.<隨機數字>.dll”。對U盤傳播的樣本，當系統顯示快捷方式文件時觸發漏洞，加載~wtr4141.tmp文件，后者加載一個名為“shell32.dll.aslr.<隨機數字>.dll”的模塊，這個模塊將另一個文件~wtr4132.tmp加載為“kernel32.dll.aslr.<隨機數字>.dll”。模塊“kernel32.dll.aslr.<>.dll”2216201的mrxcls.sys242的mrxnet.sys兩個驅動程序，以及4個.pnf文件。#17攻擊系統208s7otbxdx.dll#19USB#17攻擊系統208s7otbxdx.dll#19USB傳播~wtr4132.tmp241~wtr4141.tmp240.lnk#22MS08-067、MS10-061250提權文件222打印文件221RPC文件#4、#18刪除自身.stub節映射kernel32.dll.aslr*.lnk~wtr4132.tmpexe樣本shell32.dll.aslr~wtr4141.tmp#16衍生文件mdmeric3.pnfmdmcpq3.pnfoem6c.pnfoem7a.pnf201mrxcls.sys#16衍生文件mdmeric3.pnfmdmcpq3.pnfoem6c.pnfoem7a.pnf201mrxcls.sys.242mrxnet.sys第17號導出函數用于攻擊WinCC系統的第二個漏洞，它釋放一個s7otbxdx.dll。第19號導出函數負責利用快捷方式解析漏洞進行傳播。它釋放多個lnk文件和兩個擴展名為tmp的DLL文件。22RPC221用于RPC222250解決方案與安全建議抵御本次攻擊西門子公司對此次攻擊事件給出了解決方案，鏈接地址見附錄。下面根據我們的分析結果，給出更具體的措施。Stuxnet使用安天Atool工具，結束系統中的父進程不是winlogon.exelsass.exe進程；%System32%\drivers\mrxcls.sys%System32%\drivers\mrxnet.sys%Windir%\inf\oem7A.PNF%Windir%\inf\mdmeric3.PNF%Windir%\inf\mdmcpq3.PNF%Windir%\inf\oem6C.PNFHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxClsHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxNET安裝微軟提供的下列補丁文件：RPC（MS08-067）（MS10-046）（MS10-061）安裝軟件補丁安裝西門子發布的WinCC系統安全更新補丁，下載地址見附錄。安全建議此次攻擊事件凸顯了兩個問題：（U攻擊事件的特點相比以往的安全事件，此次攻擊呈現出許多新的手段和特點，值得特別關注。專門攻擊工業系統Stuxnet蠕蟲的攻擊目標直指西門子公司的SIMATICWinCC系統。這是一款數據采集與監視控制（SCADA）系統，被廣泛用于鋼鐵、汽車、電力、運輸、水利、化工、石油等核心工業領域，特別是國家基礎設施工程；它運行于Windows平臺，常被部署在與外界隔離的專用局域網中。利用多個零日漏洞Stuxnet蠕蟲利用了微軟操作系統的下列漏洞：RPC（MS08-067）（MS10-046）（MS10-061）后三個漏洞都是在Stuxnet中首次被使用，是真正的零日漏洞。如此大規模的使用多種零日漏洞，并不多見。這些漏洞并非隨意挑選。從蠕蟲的傳播方式來看，每一種漏洞都發揮了獨特的作用。比如基于自動播放功的U盤病毒被絕大部分殺毒軟件防御的現狀下，就使用快捷方式漏洞實現U盤傳播。另一方面，在安天捕獲的樣本中，有一部分實體的時間戳是今年3月。這意味著至少在3月份，上述零日漏洞就已經被攻擊者掌握。但直到7月份大規模爆發，漏洞才首次披露出來。這期間要控制漏洞不泄露，有一定難度。使用有效的數字簽名Stuxnet在運行后，釋放兩個驅動文件：%System32%\drivers\mrxcls.sys%System32%\drivers\mrxnet.sys這兩個驅動文件使用了圖11Stuxnet使用的數字簽名明確的攻擊目標根據賽門鐵克公司的統計，7月份，伊朗感染Stuxnet蠕蟲的主機只占25%，到9月下旬，這一比例達到60%。927”8Stuxnet3月，直到7月才大規模爆發，與這一計劃不謀而合。因此，有充分的理由相信此次攻擊具有明確的地域性和目的性。綜合評價工業系統安全將面臨嚴峻挑戰在我國，WinCC系統已經廣泛應用于很多重要行業，一旦受到攻擊，可能造成相關企業和工程項目的基礎設施運轉出現異常，甚至發生機密失竊、停工停產等嚴重事故。StuxnetDCS（PCWindows-Intel針對民用或商用計算機和網絡的攻擊，目前多以獲取經濟利益為主要目標；但針對工業控制網絡和現場總線的攻擊，則可能破壞企業重要裝置和設備的正常測控，由此引起的后果將是災難性的。以化工行業為例，針對工業控制網絡的攻擊可能破壞反應器的正常溫度與壓力測控，導致反應器超溫或超壓，最終就會導致沖料、起火甚至爆炸等災難性事故，還可能造成次生災害和人道主義災難。因此，這種襲擊工業網絡的惡意代碼一般帶有信息武器的性質，目標是對重要工業企業的正常生產進行干擾甚至嚴重破壞，其發起者一般不是個人或者普通地下黑客組織。目前，工業以太網和現場總線標準均為公開標準，熟悉工控系統的程序員開發針對性的惡意攻擊代碼并不存在很高的技術門檻。因此，對下列可能的工業網絡安全薄弱點進行增強和防護是十分必要的：Windows-Intel平臺的工控PCPC擊，例如通過UDCS（、害性不次于攻擊工業以太網。基于RS-485總線以及光纖物理層的現場總線，例如PROFIBUSMODBUS（Zigbee2.4GHz相對信息網絡而言，傳統工業網絡的安全一直是憑借內網隔離，而疏于防范。因此，針對工業系統的安全檢查和安全加固迫在眉睫。展望和思考在傳統工業與信息技術的融合不斷加深、傳統工業體系的安全核心從物理安全向信息安全轉移的趨勢和背景下，此次Stuxnet蠕蟲攻擊事件尤為值得我們深入思考。這是一次極為不同尋常的攻擊，其具體體現是：因此，這次攻擊中所采用的多個新漏洞和傳播手段，將在接下來很長一段時間內給新的攻擊提供最直接的動力。至少有兩種新的攻擊趨勢值得注意：“”。UStuxnet工業電子化體系的第一次進步是模擬電子技術與機械制造技術的結合。此后，隨著數字化技術的不斷引入，依托單片機、嵌