Loading
0

Stuxnet震网“影子”再现,西门子ICS/SCADA设备不幸躺枪

六年前,美国和以色列联合研制的名为“震网”的电脑蠕虫病毒成功袭击了伊朗的纳坦兹铀浓缩工厂等核设施,使得大约900台离心机停止运转。

目前安全公司“火眼”(FireEye)的研究人员称,发现了一款十分复杂的恶意软件,虽然该软件在复杂性、传播能力和地缘政治影响发面和震网无法比较,但他利用了和震网相同的技术和特点。这款软件将目标锁定在了西门子工业控制系统上。
重顾震网
震网病毒又名Stuxnet病毒,是一个席卷全球工业界的病毒。震网(Stuxnet)病毒于2010年6月首次被检测出来,是第一个专门定向攻击真实世界中基础(能源)设施的“蠕虫”病毒,比如核电站,水坝,国家电网。作为世界上首个网络“超级破坏性武器”,Stuxnet的计算机病毒已经感染了全球超过 45000个网络,伊朗遭到的攻击最为严重,60%的个人电脑感染了这种病毒。计算机安防专家认为,该病毒是有史以来最高端的“蠕虫”病毒。
IRONGATE铁门
Josh Homan, Sean McBride, 和Rob Caldwell把这款恶意软件命名为“铁门”(Irongate)。研究人员称工业控制系统的恶意软件是很复杂的,因为对其开发需要的常常是生僻、陈旧并且专业性非常强的系统知识。
Irongate有哪些特点?
正是因为工业系统的复杂性使得这款软件变得很有趣。它采用中间人攻击来获取正常人机接口的流量,并通过传回数据来掩盖攻击时产生的异常。中间人攻击(MITM))是一种“间接”的入侵攻击,这种攻击模式通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间。
Irongate用恶意DLL替换正常的DLL,恶意DLL充当可编程序逻辑控制器(PLC)与合法监控系统之间的中间人。该恶意DLL从PLC到用户界面记录“正常”的流量并进行替换,同时将不同的数据再发回PLC。 这就允许攻击者在操作者不知情的情况下改动受控过程。
由此可见,Irongate和Stuxnet的相似之处:
均利用寻找和替代专用的DLL文件,来实现中间人攻击
二者不同点:
1.Stuxnet查找杀毒软件,Irongate检测恶意软件并“引爆”/观察环境。
2.Stuxnet没有试图去隐藏过程操作,但Irongate记录并回放过程数据隐藏操作。
有趣的是,这款恶意软件是FireEye的和美国麦迪安网络安全公司研究小组在VirusTotal上发现的,他们表示这有可能是作者自己上传的,目的是想测试自己的木马杀毒软件。目前该恶意软件还没有发现任何不良记录。

【声明】:8090安全小组门户(http://www.8090-sec.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们:邮箱hack@ddos.kim,我们会在最短的时间内进行处理。