国精品无码一区二区三区在线,欧美性XXXXX极品少妇,亚洲伊人成无码综合网

對Stuxnet蠕蟲攻擊工業控制系統事件的 綜合分析報告

安天安全研究與應急處理中心(Antiy CERT)

首次發布時間:2010年9月27日21時

本版本更新時間:2010年9月30日14時

PDF報告下載

1 事件背景

        近日,國內外多家媒體相繼報道了Stuxnet蠕蟲對西門子公司的數據采集與監控系統SIMATIC WinCC進行攻擊的事件,稱其為“超級病毒”、“超級工廠病毒”,并形容成“超級武器”、“潘多拉的魔盒”。 Stuxnet蠕蟲(俗稱“震網”、“雙子”)在今年7月開始爆發。它利用了微軟操作系統中至少4個漏洞,其中有3個全新的零日漏洞;為衍生的驅動程序使用有效的數字簽名;通過一套完整的入侵和傳播流程,突破工業專用局域網的物理限制;利用WinCC系統的2個漏洞,對其展開攻擊。它是第一個直接破壞現實世界中工業基礎設施的惡意代碼。據賽門鐵克公司的統計,目前全球已有約45000個網絡被該蠕蟲感染,其中60%的受害主機位于伊朗境內。伊朗政府已經確認該國的布什爾核電站遭到Stuxnet蠕蟲的攻擊。 安天實驗室于7月15日捕獲到Stuxnet蠕蟲的第一個變種,在第一時間展開分析,發布了分析報告及防范措施,并對其持續跟蹤。截止至本報告發布,安天已經累計捕獲13個變種、 600多個不同哈希值的樣本實體。


2 樣本典型行為分析

2.1 運行環境

        Stuxnet蠕蟲在下列操作系統中可以激活運行:

  • Windows 2000、Windows Server 2000
  • Windows XP、Windows Server 2003
  • Windows Vista
  • Windows 7、Windows Server 2008

        當它發現自己運行在非Windows NT系列操作系統中,會即刻退出。

        被攻擊的軟件系統包括:

  • SIMATIC WinCC 7.0
  • SIMATIC WinCC 6.2

        但不排除其他版本的WinCC被攻擊的可能。

2.2 本地行為

        樣本被激活后,典型的運行流程如圖1所示。

        樣本首先判斷當前操作系統類型,如果是Windows 9X/ME,就直接退出。

        接下來加載一個DLL模塊,后續要執行的代碼大部分都在其中。為了躲避反病毒軟件的監視和查殺,樣本并不將DLL模塊釋放為磁盤文件,而是直接拷貝到內存中,然后模擬正常的DLL加載過程。

        具體而言,樣本先申請一塊內存空間,然后Hook ntdll.dll導出的6個系統函數:

  • ZwMapViewOfSection
  • ZwCreateSection
  • ZwOpenFile
  • ZwClose
  • ZwQueryAttributesFile
  • ZwQuerySection

        為此,樣本先修改自身進程內存映像中ntdll.dll模塊PE頭的保護屬性,然后將偏移0x40字節處的一段數據改寫為跳轉代碼表,用以實現對上述函數的hook。 進而,樣本就可以使用修改過的ZwCreateSection在內存空間中創建一個新的PE節,并將要加載的DLL模塊拷貝到內存中,最后使用LoadLibraryW來獲取模塊句柄。

圖1 樣本的典型運行流程

        此后,樣本跳轉到被加載的DLL中執行,衍生下列文件:

  • %System32%\drivers\mrxcls.sys
  • %System32%\drivers\mrxnet.sys
  • %Windir%\inf\oem7A.PNF
  • %Windir%\inf\mdmeric3.PNF
  • %Windir%\inf\mdmcpq3.PNF
  • %Windir%\inf\oem6C.PNF

        其中有兩個驅動程序mrxcls.sys和mrxnet.sys,分別被注冊成名為MRXCLS和MRXNET的系統服務,實現開機自啟動。這兩個驅動程序都使用了Rootkit技術,并使用了數字簽名。

        mrxcls.sys負責查找主機中安裝的WinCC系統,并進行攻擊。具體地說,它監控系統進程的鏡像加載操作,將存儲在%Windir%\inf\oem7A.PNF中的一個模塊注入到services.exe、S7tgtopx.exe、CCProjectMgr.exe三個進程中,后兩者是WinCC系統運行時的進程。

        mrxnet.sys通過修改一些內核調用來隱藏被拷貝到U盤的lnk文件和DLL文件(圖2)。

圖 2 驅動程序隱藏某些lnk文件

2.3傳播方式

        Stuxnet蠕蟲的攻擊目標是SIMATIC WinCC軟件。后者主要用于工業控制系統的數據采集與監控,一般部署在專用的內部局域網中,并與外部互聯網實行物理上的隔離。為了實現攻擊,Stuxnet蠕蟲采取多種手段進行滲透和傳播,如圖3所示。

圖 3 樣本的多種傳播方式

        整體的傳播思路是:首先感染外部主機;然后感染U盤,利用快捷方式文件解析漏洞,傳播到內部網絡;在內網中,通過快捷方式解析漏洞、RPC遠程執行漏洞、打印機后臺程序服務漏洞,實現聯網主機之間的傳播;最后抵達安裝了WinCC軟件的主機,展開攻擊。

快捷方式文件解析漏洞(MS10-046)

        這個漏洞利用Windows在解析快捷方式文件(例如.lnk文件)時的系統機制缺陷,使系統加載攻擊者指定的DLL文件,從而觸發攻擊行為。具體而言,Windows在顯示快捷方式文件時,會根據文件中的結構信息尋找它所需的圖標資源,并將其作為文件的圖標展現給用戶。如果圖標資源在一個DLL文件中,系統就會加載這個DLL文件。攻擊者可以構造一個這樣快捷方式文件,使系統加載他指定的惡意DLL文件,從而觸發后者中的惡意代碼。快捷方式文件的顯示是系統自動執行,無需用戶交互,因此漏洞的利用效果很好。 Stuxnet蠕蟲搜索計算機中的可移動存儲設備(圖4)。一旦發現,就將快捷方式文件和DLL文件拷貝到其中(圖5)。如果用戶將這個設備再插入到內部網絡中的計算機上使用,就會觸發漏洞,從而實現所謂的“擺渡”攻擊,即利用移動存儲設備對物理隔離網絡的滲入。

圖 4 查找U盤

圖5 拷貝文件到U盤

        拷貝到U盤的DLL文件有兩個:~wtr4132.tmp和~wtr4141.tmp。后者Hook了kernel32.dll和ntdll.dll中的下列導出函數:

  • FindFirstFileW
  • FindNextFileW
  • FindFirstFileExW
  • NtQueryDirectoryFile
  • ZwQueryDirectoryFile

        實現對U盤中lnk文件和DLL文件的隱藏。因此,Stuxnet一共使用了兩種措施(內核態驅動程序、用戶態Hook API)來實現對U盤文件的隱藏,使攻擊過程很難被用戶發覺,也能一定程度上躲避殺毒軟件的掃描。

RPC遠程執行漏洞(MS08-067)與提升權限漏洞

        這是2008年爆發的最嚴重的一個微軟操作系統漏洞,具有利用簡單、波及范圍廣、危害程度高等特點。

圖 6 發動RPC攻擊

        具體而言,存在此漏洞的系統收到精心構造的RPC請求時,可能允許遠程執行代碼。在Windows 2000、Windows XP和Windows Server 2003系統中,利用這一漏洞,攻擊者可以通過發送惡意構造的網絡包直接發起攻擊,無需通過認證地運行任意代碼,并且獲取完整的權限。因此該漏洞常被蠕蟲用于大規模的傳播和攻擊。

        Stuxnet蠕蟲利用這個漏洞實現在內部局域網中的傳播(圖6)。利用這一漏洞時,如果權限不夠導致失敗,還會使用一個尚未公開的漏洞來提升自身權限(圖1),然后再次嘗試攻擊。截止本報告發布,微軟尚未給出該提權漏洞的解決方案。

打印機后臺程序服務漏洞(MS10-061)

        這是一個零日漏洞,首先發現于Stuxnet蠕蟲中。

        Windows打印后臺程序沒有合理地設置用戶權限。攻擊者可以通過提交精心構造的打印請求,將文件發送到暴露了打印后臺程序接口的主機的%System32%目錄中。成功利用這個漏洞可以以系統權限執行任意代碼,從而實現傳播和攻擊。

圖 7 利用打印服務漏洞

        Stuxnet蠕蟲利用這個漏洞實現在內部局域網中的傳播。如圖7所示,它向目標主機發送兩個文件:winsta.exe、sysnullevnt.mof。后者是微軟的一種托管對象格式(MOF)文件,在一些特定事件驅動下,它將執行winsta.exe,也就是蠕蟲自身。

2.4攻擊行為

        Stuxnet蠕蟲查詢兩個注冊表鍵來判斷主機中是否安裝WinCC系統(圖8):

  • HKLM\SOFTWARE\SIEMENS\WinCC\Setup
  • HKLM\SOFTWARE\SIEMENS\STEP7

圖 8 查詢注冊表,判斷是否安裝WinCC

        一旦發現WinCC系統,就利用其中的兩個漏洞展開攻擊:

        一是WinCC系統中存在一個硬編碼漏洞,保存了訪問數據庫的默認賬戶名和密碼,Stuxnet利用這一漏洞嘗試訪問該系統的SQL數據庫(圖9)。

        二是在WinCC需要使用的Step7工程中,在打開工程文件時,存在DLL加載策略上的缺陷,從而導致一種類似于“DLL預加載攻擊”的利用方式。最終,Stuxnet通過替換Step7軟件中的s7otbxdx.dll,而將原來的同名文件修改為s7otbxsx.dll,并對這個文件的導出函數進行一次封裝,從而實現對一些查詢、讀取函數的Hook。

圖9 查詢WinCC的數據庫

2.5樣本文件的衍生關系

        本節綜合介紹樣本在上述復制、傳播、攻擊過程中,各文件的衍生關系。

        如圖10所示。樣本的來源有多種可能。

        對原始樣本、通過RPC漏洞或打印服務漏洞傳播的樣本,都是exe文件,它在自己的.stud節中隱形加載模塊,名為“kernel32.dll.aslr.<隨機數字>.dll”。

        對U盤傳播的樣本,當系統顯示快捷方式文件時觸發漏洞,加載~wtr4141.tmp文件,后者加載一個名為“shell32.dll.aslr.<隨機數字>.dll”的模塊,這個模塊將另一個文件~wtr4132.tmp加載為“kernel32.dll.aslr.<隨機數字>.dll”。

        模塊“kernel32.dll.aslr.<隨機數字>.dll”負責實現后續的大部分攻擊行為,它導出了22個函數來完成惡意代碼的主要功能;在其資源節中,包含了一些衍生文件,它們以加密的形式被保存。

        其中,第16號導出函數用于衍生一些本地文件,包括資源編號201的mrxcls.sys和編號242的mrxnet.sys兩個驅動程序,以及4個.pnf文件。

圖 10 樣本文件衍生的關系

        第17號導出函數用于攻擊WinCC系統的第二個漏洞,它釋放一個s7otbxdx.dll。

        第19號導出函數負責利用快捷方式解析漏洞進行傳播。它釋放多個lnk文件和兩個擴展名為tmp的DLL文件。

        第22號導出函數負責利用RPC漏洞和打印服務漏洞進行傳播。它釋放的文件中,資源編號221的文件用于RPC攻擊、編號222的文件用于打印服務攻擊、編號250的文件用于提權。

3 解決方案與安全建議
3.1 抵御本次攻擊

        西門子公司對此次攻擊事件給出了解決方案,鏈接地址見附錄。下面根據我們的分析結果,給出更具體的措施。

使用相關專殺工具或手工清除Stuxnet蠕蟲

        手工清除的步驟為

  • 使用安天Atool工具,結束系統中的父進程不是winlogon.exe的所有lsass.exe進程;
  • 強行刪除下列衍生文件:
  • %System32%\drivers\mrxcls.sys
  • %System32%\drivers\mrxnet.sys
  • %Windir%\inf\oem7A.PNF
  • %Windir%\inf\mdmeric3.PNF
  • %Windir%\inf\mdmcpq3.PNF
  • %Windir%\inf\oem6C.PNF
  • 刪除下列注冊表項:
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxCls
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxNET

安裝被利用漏洞的系統補丁

        安裝微軟提供的下列補丁文件:

  • RPC遠程執行漏洞(MS08-067)
  • 快捷方式文件解析漏洞(MS10-046)
  • 打印機后臺程序服務漏洞(MS10-061)

        此外,需要注意還有一個尚未修補的提升權限(EoP)漏洞,以及微軟隨后發現的另一個類似漏洞。用戶需對這兩個漏洞的修補情況保持關注。

安裝軟件補丁

        安裝西門子發布的WinCC系統安全更新補丁,下載地址見附錄。

3.2 安全建議

        此次攻擊事件凸顯了兩個問題:

  • 即便是物理隔離的專用局域網,也并非牢不可破;
  • 專用的軟件系統,包括工業控制系統,也有可能被攻擊。

        因此,我們對有關部門和企業提出下列安全建議:

        加強主機(尤其是內網主機)的安全防范,即便是物理隔離的計算機也要及時更新操作系統補丁,建立完善的安全策略;

        安裝安全防護軟件,包括反病毒軟件和防火墻,并及時更新病毒數據庫;

        建立軟件安全意識,對企業中的核心計算機,隨時跟蹤所用軟件的安全問題,及時更新存在漏洞的軟件;

        進一步加強企業內網安全建設,尤其重視網絡服務的安全性,關閉主機中不必要的網絡服務端口;

        所有軟件和網絡服務均不啟用弱口令和默認口令;

        加強對可移動存儲設備的安全管理,關閉計算機的自動播放功能,使用可移動設備前先進行病毒掃描,為移動設備建立病毒免疫,使用硬件式U盤病毒查殺工具。


4 攻擊事件的特點

        相比以往的安全事件,此次攻擊呈現出許多新的手段和特點,值得特別關注。

4.1 專門攻擊工業系統

        Stuxnet蠕蟲的攻擊目標直指西門子公司的SIMATIC WinCC系統。這是一款數據采集與監視控制(SCADA)系統,被廣泛用于鋼鐵、汽車、電力、運輸、水利、化工、石油等核心工業領域,特別是國家基礎設施工程;它運行于Windows平臺,常被部署在與外界隔離的專用局域網中。

        一般情況下,蠕蟲的攻擊價值在于其傳播范圍的廣闊性、攻擊目標的普遍性。此次攻擊與此截然不同,最終目標既不在開放主機之上,也不是通用軟件。無論是要滲透到內部網絡,還是挖掘大型專用軟件的漏洞,都非尋常攻擊所能做到。這也表明攻擊的意圖十分明確,是一次精心謀劃的攻擊。

4.2 利用多個零日漏洞洞

        Stuxnet蠕蟲利用了微軟操作系統的下列漏洞:

  • RPC遠程執行漏洞(MS08-067)
  • 快捷方式文件解析漏洞(MS10-046)
  • 打印機后臺程序服務漏洞(MS10-061)
  • 尚未公開的一個提升權限漏洞

        后三個漏洞都是在Stuxnet中首次被使用,是真正的零日漏洞。如此大規模的使用多種零日漏洞,并不多見。

        這些漏洞并非隨意挑選。從蠕蟲的傳播方式來看,每一種漏洞都發揮了獨特的作用。比如基于自動播放功的U盤病毒被絕大部分殺毒軟件防御的現狀下,就使用快捷方式漏洞實現U盤傳播。

        另一方面,在安天捕獲的樣本中,有一部分實體的時間戳是今年3月。這意味著至少在3月份,上述零日漏洞就已經被攻擊者掌握。但直到7月份大規模爆發,漏洞才首次披露出來。這期間要控制漏洞不泄露,有一定難度。

4.3 使用有效的數字簽名

        Stuxnet在運行后,釋放兩個驅動文件:

  • %System32%\drivers\mrxcls.sys
  • %System32%\drivers\mrxnet.sys

        這兩個驅動文件使用了RealTek的數字簽名(圖11)以躲避殺毒軟件的查殺。目前,這一簽名已經被頒發機構吊銷,無法再通過在線驗證,但目前反病毒產品大多使用靜態方法判定可執行文件是否帶有數字簽名,因此有可能被欺騙。

圖11 Stuxnet使用的數字簽名

4.4 明確的攻擊目標

        根據賽門鐵克公司的統計,7月份,伊朗感染Stuxnet蠕蟲的主機只占25%,到9月下旬,這一比例達到60%。

        WinCC被伊朗廣泛使用于基礎國防設施中。9月27日,伊朗國家通訊社向外界證實該國的第一座核電站“布什爾核電站”已經遭到攻擊。據了解,該核電站原計劃于今年8月開始正式運行。而Stuxnet編寫于3月,直到7月才大規模爆發,與這一計劃不謀而合。因此,有充分的理由相信此次攻擊具有明確的地域性和目的性。


5 綜合評價
5.1 工業系統安全將面臨嚴峻挑戰

        在我國,WinCC系統已經廣泛應用于很多重要行業,一旦受到攻擊,可能造成相關企業和工程項目的基礎設施運轉出現異常,甚至發生機密失竊、停工停產等嚴重事故。

        對Stuxnet蠕蟲的出現,我們并未感到十分意外。早在一年多以前,安天就接受用戶委托,對化工行業儀表的安全性展開過類似的分析研究,結論不容樂觀。

        工業控制網絡,包括工業以太網、現場總線控制系統,在工業企業中早已應用多年。目前在電力、鋼鐵、化工等大型重化工業企業中,工業以太網、DCS(集散控制系統)、現場總線等技術早已滲透到控制系統的方方面面。工業控制網絡的核心現在都是工控PC,大多數同樣基于Windows-Intel平臺;工業以太網與民用以太網在技術上并無本質差異;現場總線技術更是將單片機與嵌入式系統應用到了每一個控制儀表上。工業控制網絡除了可能遭到與攻擊民用或商用網絡手段相同的攻擊,例如通過局域網傳播的惡意代碼之外,還可能遭到針對現場總線的專門攻擊。

        針對民用或商用計算機和網絡的攻擊,目前多以獲取經濟利益為主要目標;但針對工業控制網絡和現場總線的攻擊,則可能破壞企業重要裝置和設備的正常測控,由此引起的后果將是災難性的。以化工行業為例,針對工業控制網絡的攻擊可能破壞反應器的正常溫度與壓力測控,導致反應器超溫或超壓,最終就會導致沖料、起火甚至爆炸等災難性事故,還可能造成次生災害和人道主義災難。因此,這種襲擊工業網絡的惡意代碼一般帶有信息武器的性質,目標是對重要工業企業的正常生產進行干擾甚至嚴重破壞,其發起者一般不是個人或者普通地下黑客組織。

        目前,工業以太網和現場總線標準均為公開標準,熟悉工控系統的程序員開發針對性的惡意攻擊代碼并不存在很高的技術門檻。因此,對下列可能的工業網絡安全薄弱點進行增強和防護是十分必要的:

        基于Windows-Intel平臺的工控PC和工業以太網。可能遭到與攻擊民用或商用PC和網絡手段相同的攻擊,例如通過U盤傳播惡意代碼和網絡蠕蟲。

        DCS和現場總線控制系統中的組態軟件(測控軟件的核心)。針對組態軟件的攻擊會從根本上破壞測控體系。目前,這類產品,特別是行業產品,被少數公司所壟斷,例如電力行業常用的西門子SIMATIC WinCC、石化行業常用的浙大中控等。

        隨著現場總線的進一步廣泛應用,基于數字通信的現場總線將成為新的攻擊目標,攻擊現場總線的危害性不次于攻擊工業以太網?;赗S-485總線以及光纖物理層的現場總線,例如PROFIBUS和MODBUS(串行鏈路協議),其安全性相對較好;但短程無線網絡,尤其是不使用Zigbee等通用短程無線協議(有一定的安全性),而使用自定義專用協議的短程無線通信測控儀表,安全性較差。特別是國內一些小企業生產的“無線傳感器”等測控儀表,其無線通信部分采用通用2.4GHz短程無線通信芯片,連基本的加密通信都沒有使用,可以說毫無安全性可言,極易遭到竊聽和攻擊,如果使用,將成為現場總線中最容易被攻擊的薄弱點。

        相對信息網絡而言,傳統工業網絡的安全一直是憑借內網隔離,而疏于防范。因此,針對工業系統的安全檢查和安全加固迫在眉睫。

5.2 展望和思考

        在傳統工業與信息技術的融合不斷加深、傳統工業體系的安全核心從物理安全向信息安全轉移的趨勢和背景下,此次Stuxnet蠕蟲攻擊事件尤為值得我們深入思考。

        這是一次極為不同尋常的攻擊,其具體體現是:

  • 傳統的惡意攻擊追求影響范圍的廣泛性,而這次攻擊極富目的性;
  • 傳統的攻擊大都利用通用軟件的漏洞,而這次攻擊則完全針對行業專用軟件;
  • 這次攻擊使用了多個全新的零日漏洞進行全方位攻擊,這是傳統攻擊難以企及的;
  • 這次攻擊通過恰當的漏洞順利滲透到內部專用網絡中,這也正是傳統攻擊的弱項;
  • 從時間、技術、手段、目的、攻擊行為等多方面來看,完全可以認為發起此次攻擊的不是個人或者普通地下黑客組織。

        因此,這次攻擊中所采用的多個新漏洞和傳播手段,將在接下來很長一段時間內給新的攻擊提供最直接的動力。至少有兩種新的攻擊趨勢值得注意:

        1.針對行業專用軟件的漏洞挖掘和攻擊,特別是對上升到國家戰略層面的關鍵行業和敏感行業的專用軟件的攻擊。安天實驗室在今年年初發布的《多家企業網絡入侵事件傳言的同源木馬樣本分析報告》中就明確指出:“目前的漏洞分析挖掘的注意點已經不集中于主流廠商,而開始普遍擴散”。另一方面,這些攻擊雖然針對軟件,但并不一定就是利用軟件本身的缺陷,安全是全方位的問題,攻擊可能來自于任何一個角度。

        2.針對企業內部網絡,特別是物理隔離的內部專用網絡的攻擊。這類網絡具有較高的安全要求,也更具攻擊價值。通過U盤等可移動存儲設備滲入這類網絡的常用方法和技術包括感染、欺騙、自動播放等。本次出現的快捷方式文件解析漏洞,為此類攻擊提供了一種更有效的方法。此外,這種內部網絡也將因為本次事件而被攻擊者關注和研究,不能排除出現新的攻擊方式的可能。

        在對病毒未來發展的種種預言中,最令人恐懼的還不是它對計算機節點自身數據的影響,而在于它對相關環節可能產生的關聯影響,比如對武器系統的非法控制等等。不幸的是,此次Stuxnet蠕蟲攻擊事件就證明:如果沒有有效的防范,上述預言就一定會變成事實。

        工業電子化體系的第一次進步是模擬電子技術與機械制造技術的結合。此后,隨著數字化技術的不斷引入,依托單片機、嵌入式程序及早期數字化工業控制協議,它完成了第二次跳躍。此時的工業控制系統與辦公信息網絡異構并且分離,其安全考慮以物理安全為主。

        隨著PC環境、互聯網絡的成本逐漸降低,越來越多的工業系統和其它信息系統開始走向標準的x86環境,越來越多的控制信號和采集傳輸開始采用TCP/IP協議標準甚至使用公網傳輸,這就讓龐大的x86病毒種群找到了可能帶來更致命威脅的新目標。因此,即便采用基于傳統物理隔離的數據交換也不能絕對保證安全,本次事件中,U盤這種非實時傳播途徑帶來的威脅就再次凸顯。另一方面,出于內網隔離和穩定性考慮,工業系統常使用版本較老的操作系統,且沒有有效的補丁條件,這更加劇了安全隱患。

        傳統工業系統的設計者和使用者,在物理安全方面已經作出了很多考量,通過足夠多的傳感器、大量的流程、文獻、以及人的積極努力來保證工業系統的正常運行。而本次事件中,系統開發人員把連接數據庫的用戶名和口令做成硬編碼,而不是與程序獨立的可配置內容,這是軟件開發中的一種低級失誤,卻可能普遍存在于目前的專用軟件系統中。我們可以看到,在安全方面,傳統PC開發走過的每一條彎路,在工業控制系統基本都會重演。也可以判定,在未來的20年內,工業系統的安全問題核心已不再是孤立的物理和實體安全問題,而是作為其運轉靈魂的信息系統的安全問題。而這個問題更大地存在于人類視為未來發展和前進方向的物聯網之上。

        安全廠商并沒有被視為傳統工業安全體系中的一員。因此,本次事件的初期,安全廠商與攻擊者處在信息不對稱的位置。攻擊者針對目標工業系統進行了長期的分析和準備,然后發動攻擊;而當安全廠商面對突發事件,卻并不能像常用操作系統或互聯網軟件出現漏洞時一樣,在第一時間重現問題并跟進分析,而必須得到有關軟件開發商的配合。從這個角度來看,利用PC環境的通用性傳播,然后對相對封閉的工業系統或者其他專用系統展開攻擊,利用制造廠商與安全廠商之間的信息不對稱來獲得有效攻擊時間,這將成為一種新的、具有極大挑戰和諷刺意味的攻擊方法。因此,認為專有體系獨立于安全威脅之外的錯誤觀念,導致對安全廠商的拒之門外的行為,實際上反而是對攻擊者的開門揖盜。 作為職業的安全工程師,我們將積極主動地承擔更大的責任。未來將證明,我們的工作不僅是在保護一個虛擬的世界,也在保護著我們賴以生存的真實世界。


附錄一:參考資料

        1.西門子公司就此次攻擊給出的解決方案:

        http://support.automation.siemens.com/WW/llisapi.dll?func=cslib.csinfo&objid=43876783

        2.微軟提供的補丁文件下載地址如下:

        RPC遠程執行漏洞(MS08-067)

        http://www.microsoft.com/technet/security/bulletin/MS08-067.mspx

        快捷方式文件解析漏洞(MS10-046)

        http://www.microsoft.com/technet/security/bulletin/MS10-046.mspx

        打印機后臺程序服務漏洞(MS10-061)

        http://www.microsoft.com/technet/security/bulletin/MS10-061.mspx

        3.西門子公司給出的WinCC系統安全更新補丁的下載地址:

        http://support.automation.siemens.com/WW/llisapi.dll/csfetch/43876783/SIMATIC_Security_Update_V1_0_0_11.exe?func=cslib.csFetch&nodeid=44473682

        4.安天ATool工具下載地址:

        http://www.antiyfx.com/download/atool.zip