震网蠕虫:零日漏洞的受害者

就在一年前,有关震网蠕虫病毒的新闻一度占据各大媒体的头版头条位置,也让那些常与信息安全打交道的家伙们感到有些不寒而栗。到底是谁创造了震网蠕虫病毒,创造这一病毒的原因又是什么,到现在依然是个谜。然而,有传言称来自美国和以色列的情报机关想利用这一病毒对伊朗核计划实施破坏活动。这一消息可信度相当高,因为该恶意软件的确有能力让铀浓缩离心机无法正常工作,从而让伊朗核计划推延数年时间。 震网病毒的创造者成功地对未联网且受保护的设备实施攻击,并进行大规模的破坏活动。正如许多专家所监控到的,该病毒随即失控并开始主动地进行自我散播。而由于一开始就将特定类型的工业系统作为攻击目标,因此至少从表面上并未对家庭和企业的电脑造成危害。 首批受害者或’零日漏洞受害者’ Kim Zetter是一名美国新闻记者,她于11月11日出版了一本名为《Countdown to Zero Day》(零日倒计时)的书。从该书中,我们得以有机会向广大公众介绍一些有关震网鲜为人知的真相。我们将不会花费过多篇幅介绍该病毒的早期活动,而将更多注意力放在该病毒的迭代,正是它导致2009-2010年期间轰动一时的大规模病毒感染事件。 我们能够很容易重现这一事件的前后始末,而这正是得益于该恶意软件的一个有趣属性:即自动保存所有曾感染过的计算机历史记录,包括:主机名、域名以及IP地址。尽管这一数据不断更新,但我们依然能够追踪到其最初的记录。 赛门铁克于2011年2月发布了”W32.Stuxnet Dossier”分析报告,其中确定了五家最先遭受震网病毒感染的公司(事实上,其中两家公司在2009年和2010年遭受了两次攻击),但并未公开披露这五家公司的名字。为了确定到底是哪几家公司,我们前后花费总共2年左右的时间对大约2,000份文件进行了分析。 #Stuxnet Zero VictimsThe identity of the companies targeted by the first known cyber-weapon https://t.co/W8PVyGp7b3 pic.twitter.com/BWDkVqWPLq — Dmitry Bestuzhev (@dimitribest)

就在一年前,有关震网蠕虫病毒的新闻一度占据各大媒体的头版头条位置,也让那些常与信息安全打交道的家伙们感到有些不寒而栗。到底是谁创造了震网蠕虫病毒,创造这一病毒的原因又是什么,到现在依然是个谜。然而,有传言称来自美国和以色列的情报机关想利用这一病毒对伊朗核计划实施破坏活动。这一消息可信度相当高,因为该恶意软件的确有能力让铀浓缩离心机无法正常工作,从而让伊朗核计划推延数年时间。

震网病毒的创造者成功地对未联网且受保护的设备实施攻击,并进行大规模的破坏活动。正如许多专家所监控到的,该病毒随即失控并开始主动地进行自我散播。而由于一开始就将特定类型的工业系统作为攻击目标,因此至少从表面上并未对家庭和企业的电脑造成危害。

首批受害者或’零日漏洞受害者’

Kim Zetter是一名美国新闻记者,她于11月11日出版了一本名为《Countdown to Zero Day》(零日倒计时)的书。从该书中,我们得以有机会向广大公众介绍一些有关震网鲜为人知的真相。我们将不会花费过多篇幅介绍该病毒的早期活动,而将更多注意力放在该病毒的迭代,正是它导致2009-2010年期间轰动一时的大规模病毒感染事件。

我们能够很容易重现这一事件的前后始末,而这正是得益于该恶意软件的一个有趣属性:即自动保存所有曾感染过的计算机历史记录,包括:主机名、域名以及IP地址。尽管这一数据不断更新,但我们依然能够追踪到其最初的记录。

赛门铁克于2011年2月发布了”W32.Stuxnet Dossier”分析报告,其中确定了五家最先遭受震网病毒感染的公司(事实上,其中两家公司在2009年和2010年遭受了两次攻击),但并未公开披露这五家公司的名字。为了确定到底是哪几家公司,我们前后花费总共2年左右的时间对大约2,000份文件进行了分析。

域名A

震网2009的首个迭代(被称为Stuxnet.a)于2009年6月22日首次出现。在编译后的数个小时内,该恶意软件感染了名为”ISIE”的主机。网络犯罪分子不太可能使用移动存储设备,因为这样就不可能在如此短的时间在特定设施内传播病毒。

我们能够轻易重现这一事件的前后始末,而这正是得益于该恶意软件的一个有趣属性:即自动保存所有曾感染过的计算机历史记录,包括:主机名、域名以及IP地址。尽管这一数据不断更新,但我们依然能够追踪到最初的记录。

由于缺少这方面的数据,我们无法正式确定这些受感染公司的名字。然而,我们非常肯定Foolad Technic Engineering Co (FIECO) — 一家伊朗专门为重工业公司生产自动化系统的生产商位列其中。

除了能对离心机转子造成影响外,震网还内含间谍组件,而FIECO正是其创造者的完美攻击目标。他们很可能将该公司作为连接最终目标的某种捷径,同时也是收集伊朗矿产数据以及核工业信息的目标–2010年该公司再次遭受震网第三迭代的攻击。

域名B

第二家受害公司总共遭受了三次攻击:2009年6月一次,其后两次分别发生在2010年3月和5月。其中第二次攻击直接导致震网 2010(即Stuxnet.b)在全球范围的爆发。”behpajooh”域名让我们立即想到了Behpajooh Co. Elec & Comp. Engineering这家公司。该家公司同样涉及工业自动化领域且与许多公司有所联系。


在2006年,据《海湾时报》(Khaleej Times)报道,一份迪拜的报纸撰写了本国阿联酋的一家公司涉嫌参与将一些原子弹部件非法装运至伊朗,而接收方则是伊朗Isfakhana的”Bejpajooh INC”公司。

由伊朗的一家冶金厂:Mobarakeh Steel Company(MSC)所拥有。该工厂安装了大量PC电脑,且与全球许多公司相连接。由于还能连接到兵工厂,震网病毒得以在全球范围传播:截止2010年夏天,该蠕虫病毒传播范围扩大到了位于俄罗斯和白俄罗斯的一些公司。

域名C、D和E

在2009年7月7日,震网感染了NEDA域名内的”applserver”PC电脑。对于受害者,我们可以百分之百确定是Neda Industrial Group。截止2008年,该公司遭受美国司法部调查并被控向伊朗非法出口违禁品。

与Neda一起感染该蠕虫病毒的还有一家使用”CGJ”域名的公司。经过一段时间的分析后,我们发现该公司也是一家参与工业自动化交易的伊朗公司– Control-Gostar Jahed Company。该恶意软件传播到这家公司后就戛然而止,尽管该公司拥有丰富的产品组合以及广泛的业务领域。

最后一家零日漏洞受害公司拥有许多受感染设备:2010年5月11日最后发现震网是在”KALA”域名内的三台计算机。这家公司很可能就是Kala Electric,即Kalaye Electric Co。该家公司被视为IR-1铀浓缩离心机的大型开发商,以及伊朗铀浓缩计划的重要参与者之一。有些奇怪的是,在此之前该家公司并没有遭受过任何攻击。

结束语

对于这样一种复杂精密且具有破坏性的载体(要想让铀浓缩离心机无法工作其实并不容易)而言,震网的传播方式有些过于简单了。此外,有一段时间震网就突然销声匿迹了;否则的话,就无法解释震网的传播范围,即为何创造者与最初的攻击目标相隔如此之远。

尽管缺点不少,但该恶意软件证明了自身”颇具成效”:它的创造者成功地实施全球最大的网络破坏活动,并推出了新时代的网络武器。

在#震网# 病毒出现之前,没有人曾主动考虑过如何确保工业设施安全的问题

在震网病毒出现之前,没有人曾主动考虑过如何确保工业设施安全的问题:我们许多人曾一度认为,将设施与全球网络分离,是一种有效的安全保护措施。在成功对未联网设备进行攻击后,该蠕虫病毒创造者可以说是开启了信息安全的新时代。唯一能与震网重要性相提并论的,是在1988年创造的被称为大蠕虫(Great Worm)或莫里斯蠕虫(Morris Worm)的病毒。

薄弱环节:如何在丢失SIM卡情况下避免其他损失

似乎近期我们已习惯于讨论如何保护社交网络个人资料、个人照片日志、智能手机、个人电脑、银行账号及许多其它资产。但似乎我们遗忘了一样小东西,从某种程度上说,它能保障上述所有内容的安全性。SIM卡虽然只提供最基本的保护,但却是保护我们关键数据和资金的最后一道防线。 那么SIM卡为何如此重要呢?答案很简单:这样一块焊有微芯片的小塑料片携带有像通讯录和服务数据这样的信息,–而且最重要的是–里面还保存了你的电话号码。 如今双重认证的使用范围越来越广,通常依靠的是短信发送的一次性密码。这意味着,SIM卡在某些方面(并非全部)是窥视你数字生活大门的一把钥匙:社交网络个人资料、在线服务登录凭证甚至是网银服务。正如最薄弱的环节才能决定整条安全链的坚固性,个人数据的安全性也同样取决于你的手机号码–即SIM– 是否得到了坚固保护,从而阻止未授权的访问。 许多包括Facebook和Gmail在内的网站以及所有网银服务均提供额外的访问保护,即通过将手机号码与账户捆绑,通过短信获取一次性密码。 根据不同设置和用户偏好,此类一次性密码不仅可用于访问网银账户,还可更改常规密码以及确认交易。这意味着就算网络犯罪分子成功破解你的主密码,在无法通过手机得到一次性密码的情况下就无权访问你的账户。 https://pbs.twimg.com/media/BpwGzxcCcAI-t52.png 什么是双重认证?哪些情况下应该使用双重认证?http://t.cn/RzzkrVv pic.twitter.com/3i9YyLdEpI — Eugene Kaspersky (@e_kaspersky) June 10, 2014 该认证方法被认为是保护你在线资产的最强大方式,但依然存在漏洞:该方法有效的前提条件是只有手机的合法拥有人使用自己手机,但在实际生活中,手机也有可能被偷或被他人不正当使用。 一旦你的手机或SIM卡落入他人之手,那会发生什么? 在你智能手机内所使用的#SIM#卡可能会导致金钱损失和个人数据丢失 最坏的情形是所丢失的智能手机内存有你的银行信息。一旦获得了这样的”超级大礼包”,网络犯罪分子能够在瞬间将你的资金全部转移出去。近些年来,越来越多的人选择使用卡到卡交易,即使如此不方便的资金转移方式也能轻易地被使用。 你的数据就如你的SIM卡一样安全。 盗用你的卡进行网购就更容易了。要进行此类操作,只需卡登录凭证以及发送至与卡捆绑的手机号码的一次性密码。就算你的主密码设置得再复杂和可靠,也根本无济于事,因为完全不会用到。所设的屏幕解锁密码也根本不会用到:他们只需将你的SIM卡插入另一部手机,就能接受发给你手机号码的短信了。 从理论上讲,可以要求银行撤销这样的非法交易。但实际情况下却困难十足:因为银行会完全认定是你执行了交易,且很难撤销或更改。 许多在线交易仅需要卡登录凭证以及短信发送的一次性密码即可完成–网络犯罪分子甚至不需要用到你的网银登陆密码。 危害性相对较小的情形是仅仅丢失了手机。在此类情形下,网络犯罪分子要盗取你的资金似乎有些难度,但实际上他们可以轻松用你的账号登录各种在线服务,从而窃取你的个人数据。方法相当简单:对那些只需发送你手机确认码的网站进行密码重置。 即使是最懒的黑客,碰巧获得了你的手机或SIM卡,也至少会以你发生紧急情况为借口,向你的朋友和家人群发短信,以此索取金钱。诸如’没有时间再解释’这样的短信欺诈方式就算发自未知联系人也相当奏效,就更不用说是你认识的人了。 “Five lessons I’ve learned

提示