常见网络攻击技术交流（2）

ltq80103402

1.3        病毒攻击技术
       Stuxnet蠕虫病毒对西门子公司的数据采集与监控系统SIMATIC进行攻击，Stuxnet蠕虫(俗称“震网”)在2010年7月开始爆发。它利用了微软操作系统中至少4个漏洞，其中有3个全新的零日漏洞；伪造驱动程序的数字签名；通过一套完整的入侵和传播流程，突破工业专用局域网的物理限制；利用SIMATIC系统的2个漏洞，对其开展破坏性攻击。它是第一个直接破坏现实世界中工业基础设施的恶意代码。据赛门铁克公司的统计，目前全球已有约45000个网络被该蠕虫感染，其中60%的受害主机位于伊朗境内。伊朗政府已经确认该国的布什尔核电站遭到Stuxnet蠕虫的攻击。为此工信部于2011年10月份发布了《关于加强工业控制系统信息安全管理的通知》工信部协[2011]451号文件，要求加强国家主要工业领域基础设施控制系统与SCADA系统的安全保护工作。
       Stuxnet是一个专门针对特定工业控制系统的威胁，Stuxnet的终极目标是帮助袭击者实现破坏可编程逻辑控制器(p1c)的程序，以及控制网络的边界。伊朗已经检测到了被专家们认为是基于“震网”病毒的“Duqu”计算机病毒。专家们表示，尽管“震网”病毒意在破坏工业控制系统，并且可能已经摧毁了伊朗的一些用于铀浓缩的离心机，但是“Duqu”病毒似乎专为收集数据而来，其目的是使未来发动网络袭击变得更加容易。赛门铁克公司称：“'Duqu’病毒基本上是未来‘震网’式袭击的预兆。”该公司在发布的报告中指出，这个变种新病毒的目的不是破坏工业控制系统，而是获得远距离的进入能力。报告《PLC-Blaster: A Worm Living Solely in the PLC》中介绍了一种不依赖于计算机，只通过西门子PLC设备来进行传播和感染的工控蠕虫病毒。该病毒可以通过一台被感染的PLC来接入整个系统，接下来会通过复制传播到更多的PLC中，并且能在不影响已存在的PLC程序的前提下被执行。
       Conficker病毒具备了蠕虫病毒和下载者病毒的双重属性，进入系统后，首先破坏默认属性设置，接着会自动搜索局域网内有漏洞的其他电脑，一旦发现存在漏洞的计算机系统，就会激活该漏洞并同感染系统创建链接，最后进行远程感染。
       StormWorm，2007年，造成损失100亿美元。公众之所以称呼这种病毒为风暴蠕虫，是因为有一封携带这种病毒的邮件标题为“风暴袭击欧洲，230人死亡”在广泛传播，一旦好奇者点击链接即刻感染。一旦计算机受到感染，就很容易受到病毒传播者的操纵。
       WannaCry，一种“蠕虫式”的勒索病毒软件，由不法分子利用NSA（美国国家安全局）泄露的危险漏洞“EternalBlue”进行传播，至少150个国家、30万名用户中招。受害者电脑被黑客锁定后，病毒会提示支付价值相当于300美元（约合人民币2069元）的比特币才可解锁。
“红色代码”病毒是2001年7月15日发现的一种网络蠕虫病毒，感染运行Microsoft IIS Web服务器的计算机，而且一台计算机一旦病毒感染了“红色代码”病毒，它就会主动寻找网络上的其他计算机进行攻击。
Slammer就攻击速度而言，Slammer的破坏性史无前例，它每隔8.5秒钟就能使它所侵袭的范围就增加一倍，而一台受到Slammer“蠕虫”病毒感染的服务器每秒钟能发出数以万计的数据访问命令，从而轻而易举地导致网络通道发生阻塞。据统计，在10分钟之内，全球范围内所有抵抗能力低下的服务器中90%都被Slammer“蠕虫”病毒成功侵袭。
NotPetya / ExPetr，同样是勒索性网络病毒，感染用户被要求支付300美元的加密式数字货币以解锁电脑。著名影响：俄罗斯最大石油企业Rosneft、乌克兰总理办公室、乌克兰基辅机场以及欧洲数十家大型跨国公司的计算机系统全部中招，陷入瘫痪。
       Havex的主要构成为通用的远程木马(RemoteAccessTrojan，RAT)和用PHP编写的服务器程序。可以在服务器的代码中看到“Havex”这个名字。在2014年的春天，我们发现Havex开始对工业控制系统(IndustrialControlSystems，ICS)有特殊的兴趣，该恶意软件背后的组织使用了一个创新型木马来接近目标。攻击者首先把ICS/SCADA制造商的网站上用来供用户下载的相关软件感染木马病毒，当用户下载这些软件并安装时实现对目标用户的感染。收集并分析了Havex的88个变种，主要分析了它们的访问目标、从哪收集数据、网络和机器。这一分析发现Havex通信用的C&C服务器多达146个，并且有1500多个IP地址向C&C服务器通信，从而识别最终的受害者。攻击者利用被攻陷的网站、博客作为C&C服务器。还发现了一个额外的功能组件，攻击者利用此组件从应用于ICS/SCADA系统中的机器上盗取数据。这意味着攻击者不仅仅对目标公司的网络感兴趣，还有对这些公司的ICS/SCADA系统进行控制的动机。我们目前对这一动机的缘由还不太清楚。
       Duqu木马造成网络犯罪增多，它是之前有名的工业恶意软件Stuxnet的姊妹恶意软件。它们都采用了各种各样的加密密钥 - 包括一些在Duqu之前，还未曾公开过的密钥，注入技术，零日漏洞，以及使用偷来的证书做为其驱动程序进行签名。但与Stuxnet不同的是，Stuxnet的主要目的是造成工业破坏，而Duqu木马则被用来收集与其攻击目标有关的各种情报。可以说，Duqu木马可以盗取目标系统中的所有信息，然而，从其发动的攻击情况来看，它似乎只对收集密码、抓取桌面截图（暗中监视用户的操作）、盗取各类文件感兴趣。这些行为预示着网络罪犯使用的技术将开启一个新的时代，网络犯罪将有足够的能力成功执行工业间谍活动，甚至绑架与勒索。目前，业界针对Duqu木马最大的疑团是该恶意程序感染计算机后，是如何同命令控制中心(C&C)进行通讯的。Duqu木马用于同C&C通讯的模块是其有效负荷DLL的一部分。对该有效负荷DLL进行全面的分析后，卡巴斯基实验室的研究者发现该DLL中存在一段特定采用一种未知编程语言编写的代码，其唯一功能就是同C&C进行通讯。卡巴斯基实验室的研究人员将这一段未知代码命名为“Duqu架构”。事件驱动架构是作为Duqu框架的一部分或者是"OO C"的扩展而开发。 同Duqu木马的其它组件不同，Duqu架构并不是采用C++编写，也没有使用微软的Visual C++ 2008进行编译，很可能其编写者使用了一种内部架构，生成了媒介C代码，或者他们使用了一种完全不同的编程语言。此外，卡巴斯基实验室研究人员已经确认该语言为面向对象式语言，并且能够自行执行其相关行为，而且适合网络应用的开发。Duqu架构所使用的语言高度专业化，能够让有效负荷DLL同其它Duqu模块独立，通过多种途径包括Windows HTTP、网络端口和代理服务器同C&C建立连接。还能够让有效负荷DLL直接处理来自C&C的HTTP服务器请求，甚至可以在网络中的其它计算机上传播辅助恶意代码，实现可控制并且隐蔽的感染手段，殃及其它计算机。