震网蠕虫:零日漏洞的受害者
就在一年前,有关震网蠕虫病毒的新闻一度占据各大媒体的头版头条位置,也让那些常与信息安全打交道的家伙们感到有些不寒而栗。到底是谁创造了震网蠕虫病毒,创造这一病毒的原因又是什么,到现在依然是个谜。然而,有传言称来自美国和以色列的情报机关想利用这一病毒对伊朗核计划实施破坏活动。这一消息可信度相当高,因为该恶意软件的确有能力让铀浓缩离心机无法正常工作,从而让伊朗核计划推延数年时间。 震网病毒的创造者成功地对未联网且受保护的设备实施攻击,并进行大规模的破坏活动。正如许多专家所监控到的,该病毒随即失控并开始主动地进行自我散播。而由于一开始就将特定类型的工业系统作为攻击目标,因此至少从表面上并未对家庭和企业的电脑造成危害。 首批受害者或’零日漏洞受害者’ Kim Zetter是一名美国新闻记者,她于11月11日出版了一本名为《Countdown to Zero Day》(零日倒计时)的书。从该书中,我们得以有机会向广大公众介绍一些有关震网鲜为人知的真相。我们将不会花费过多篇幅介绍该病毒的早期活动,而将更多注意力放在该病毒的迭代,正是它导致2009-2010年期间轰动一时的大规模病毒感染事件。 我们能够很容易重现这一事件的前后始末,而这正是得益于该恶意软件的一个有趣属性:即自动保存所有曾感染过的计算机历史记录,包括:主机名、域名以及IP地址。尽管这一数据不断更新,但我们依然能够追踪到其最初的记录。 赛门铁克于2011年2月发布了”W32.Stuxnet Dossier”分析报告,其中确定了五家最先遭受震网病毒感染的公司(事实上,其中两家公司在2009年和2010年遭受了两次攻击),但并未公开披露这五家公司的名字。为了确定到底是哪几家公司,我们前后花费总共2年左右的时间对大约2,000份文件进行了分析。 #Stuxnet Zero VictimsThe identity of the companies targeted by the first known cyber-weapon https://t.co/W8PVyGp7b3 pic.twitter.com/BWDkVqWPLq — Dmitry Bestuzhev (@dimitribest)