震網事件伊朗核電站用的什麼系統

㈠ 為什麼微軟曝光的漏洞被稱為「震網三代」

6月14日，每月的第二個周二是微軟公司集中發布一批影響其產品安全漏洞的補丁日。從今日凌晨發布的情況看，有兩個特殊漏洞值得關註：正在被利用的遠程代碼執行漏洞(CVE-2017-8543)Windows Search遠程代碼執行漏洞和(CVE-2017-8464)LNK文件（快捷方式）遠程代碼執行漏洞。其中，CVE-2017-8464被一些人稱為「震網三代」。

2010年，間諜組織買通伊朗核工廠的技術人員，將含有漏洞（CVE-2010-2568）利用工具的U盤插入了核工廠工業控制系統的電腦，被利用漏洞控制後的電腦繼續攻擊了核設施中的離心機設備，導致設備出現大量損壞，影響了伊朗核計劃的進程。此事件被曝光解密後，被業界稱為「震網事件（Stuxnet）」。

本次曝光的「LNK文件遠程代碼執行漏洞」同「震網事件」中所使用的、用於穿透核設施中隔離網路的Windows安全漏洞CVE-2010-2568非常相似。它可以很容易地被黑客利用，並組裝成用於攻擊基礎設施、核心數據系統等的網路武器。因此，被稱之為「震網三代

㈡ 震網病毒如何攻擊伊朗核設施

利用0day漏洞破壞伊朗那些核設施。似乎是對攻擊那些工業控制系統之類製作的，通過指令破壞控制系統進而破壞了伊朗那些核設施

㈢ 震網病毒怎麼可能攻擊伊朗核電站，難道核電站連得是互聯網，那不是誰都可以攻擊。伊朗核電站不怕嗎拜託各

這是很正常的，美國國防部五角大樓擁有著全世界最強的防護網，照樣有黑客攻擊。

㈣ 伊朗核問題實質

伊朗的核計劃開始於20世紀50年代後期，其核技術大部分從與當時關系密切的美國及西方國家引進。1979年伊朗伊斯蘭革命後，其核能項目陷於停滯狀態。90年代初，伊朗開始與俄羅斯商談恢復修建有關核電站問題，並與俄簽署《和平利用核能協議》。 1980年與伊朗斷交的美國對伊俄核合作十分不滿，曾多次指責伊朗以「和平利用核能」為掩護秘密發展核武器，並一直對其採取「遏制」政策。「9·11」事件之後，美國將伊朗視為支持恐怖主義的國家和「邪惡軸心」國家之一。
2003年2月，伊朗宣布發現並提煉出鈾後，其核計劃立即遭到美國的「嚴重質疑」，並引起國際社會的極大關注。同年9月12日，國際原子能機構理事會通過決議，要求伊朗在10月底前公開核計劃，以澄清其全部核活動，盡快簽署《不擴散核武器條約》附加議定書，允許國際原子能機構對其進行更為嚴格的突擊檢查，終止提煉濃縮鈾試驗。
在法德英三國的斡旋下，伊朗於2003年12月18日簽署了《不擴散核武器條約》附加議定書。(依朗核問題的背景)
依朗核問題的現狀
為充分利用核能資源，伊朗自20世紀50年代後期開始其核能發展計劃，並先後投入大量資金，建立了一個核電站、6個核研究中心和5個鈾處理設施。
目前，伊朗核計劃已經發展到關鍵階段，即核燃料循環系統建設階段。這個系統建成後，便可為伊朗的核電站和研究機構提供燃料，同時也可以進一步提高濃縮鈾的豐度，使伊朗能夠獲得武器級高濃縮鈾。
有資料表明，伊朗已在其中部發現鈾礦資源，並正在建設基於高速離心機技術的濃縮鈾設施，為建成一個完整的核燃料循環系統做准備；伊朗南部布希爾核電站在俄羅斯的幫助下已經建成；伊朗還在建設重水反應堆，這將使伊朗能夠更有效地從核廢料中獲取金屬鈈。根據美國和西方國家的情報，伊朗目前已經邁進了核門檻，但還未能獲得製造核武器所需的武器級濃縮鈾或鈈。
伊朗前總統哈塔米2003年2月9日發表電視講話時宣布，伊朗已在雅茲德地區發現鈾礦並已成功提煉出鈾，伊朗將開采鈾礦並將建設鈾轉換和鈾濃縮設施，以便建立一個完整的核燃料循環系統。
伊朗方面2003年10月透露，德黑蘭核研究中心曾進行鈈回收試驗。國際原子能機構估計伊朗已經分離出100克的鈈。
2004年9月21日，伊朗副總統兼原子能組織主席拉扎·阿加扎德說，伊朗已開始將37噸「鈾黃餅」（即鈾礦料）的一部分用於鈾轉化試驗。
今年1月1日，伊朗宣布已經開發出用「混合澄分」法從鈾礦石中提取鈾濃縮所需要的「鈾黃餅」的技術。該技術使伊朗朝自主建設核燃料循環系統邁進了一步。
鈾濃縮是生產核燃料的關鍵環節。伊朗2003年10月中止了鈾濃縮活動，2004年11月中止了與鈾濃縮有關的一切外圍活動。但2005年8月，伊朗又重新啟動作為鈾濃縮准備階段的鈾轉化活動。
依朗核問題大記事
伊朗核問題由來已久，美國一直指責伊朗從20世紀80年代中期就開始實施秘密的核武器發展計劃，而伊朗始終否認有核武器發展計劃，它的核計劃是為了和平利用核能，建立完整的核燃料循環體系是為了自力更生確保核電站的核燃料供應。這次核風波是從2002年8月15日伊朗反對派組織伊朗全國抵抗委員會向媒體揭露伊朗正在秘密建造兩座核設施而開始的，一直延續至今，現將這兩年多來有關伊朗核問題的大事記摘要如下：
截至2005年4月，歐盟與伊朗舉行多輪談判，但在一些關鍵問題上無法達成一致，談判陷入僵局。
2005年5月25日，歐盟三國與伊朗在外長級會議上商定，歐盟在約兩個月內提出一個推進與伊朗在技術和核能領域合作的綜合計劃，當年8月恢復雙方的談判。
8月5日，歐盟在向伊朗提交的提議中承認伊朗享有和平利用核能的權利，但敦促伊朗放棄與鈾濃縮有關的一切活動，改由他國提供核燃料。
8月8日，伊朗重啟中部城市伊斯法罕的鈾轉化設備，伊朗與歐盟的談判再次陷入僵局。
9月24日，國際原子能機構理事會以投票表決方式通過決議，指出伊朗多次不履行和違反《不擴散核武器條約》等有關文件，但沒有明確要求立即將伊朗核問題向聯合國安理會報告。
10月上旬，俄羅斯建議允許伊朗從事鈾轉化活動，而將後續的鈾濃縮活動轉移到俄羅斯境內完成，以確保其核技術不會用於軍事目的。
11月24日，國際原子能機構理事會決定暫時不將伊朗核問題提交聯合國安理會，以使伊朗與歐盟就俄羅斯提出的妥協方案進行磋商。
12月21日，歐盟和伊朗的高級官員在維也納就伊朗核問題進行接觸，同意雙方2006年1月18日再次會晤，就化解伊朗核問題的分歧尋求共同點。
12月24日，俄羅斯正式向伊朗提出在俄境內與伊建立鈾濃縮聯合企業的建議。
2006年1月3日，伊朗宣布將重新啟動核燃料研究設施。
1月7日，伊朗與俄羅斯開始就俄建議展開會談。
1月10日，伊朗正式啟封核燃料研究設施。
2006年春季，西方與伊朗在核問題上的對峙，已經進入一個非常危險的階段。備受爭議的伊朗總統馬哈茂德·艾哈邁迪·內賈德(Mahmoud Ahmadinejad)在4月11日宣布，伊朗已經提煉出濃度達3.5%的低濃縮鈾；國際社會對伊朗核計劃發展的擔心陡然加速。
同伊朗目前強硬路線相呼應的是，以美國《紐約客》雜志為首的一批西方媒體相繼作出「美國計劃對伊朗核目標實施軍事打擊」的報道，「動武論」一時甚囂塵上。而國際原子 能機構主席巴拉迪在4月28日做出的對伊朗核計劃進行評估的報告，幾乎無法對伊朗給予有利的評價。由外交斡旋發展到制裁，以及以美國為首的西方國家對伊朗核設施實施空中打擊的陰影，都使得伊朗核問題成為當前國際關系中最迫切、最棘手的問題。

伊朗核問題溯源

造成伊朗核問題今日今時危局的主要原因遠遠超越了伊朗自身，而是深深紮根於一系列錯綜復雜的國際關系，其中包括伊朗同西方、伊朗同以色列、伊朗同阿拉伯世界、阿拉伯世界之間、美國同歐洲圍繞核計劃，以及伊朗什葉派神權政權間種種相互交織的利益與沖突。
從歷史事件上看，以上種種關系的由來又可以追溯到1979年的伊朗伊斯蘭革命，幾乎持續上世紀整個80年代的兩伊戰爭，因伊拉克侵略科威特以及巴以沖突而加劇的阿拉伯世界的內部分歧，甚至「9·11」事件後恐怖主義勢力發展對西方體系的沖擊。
國際社會之所以為伊朗核計劃憂心忡忡，並不在於伊朗作為《核不擴散條約》的簽字國是否具有和平發展核能的權利，而是在於伊朗始終無法讓國際社會信服其核能開發是完全出於和平目的。國際社會進而擔心，伊朗在接受國際核監督之外，還可能另有一套用於製造核武器的核計劃。在恐怖主義和大規模殺傷性武器日益成為國際社會心腹大患之時，一個擁有核武器、並且在西方眼裡同恐怖組織有千絲萬縷聯系的伊朗，對西方而言是完全不可容忍的。這也就解釋了美國的底線：伊朗絕對不能擁有核武器。
在伊朗的強硬與西方的恫嚇背後，伊朗距離美國的底線究竟有多遠？根據製造核武器的基本知識，天然條件下出產的鈾礦需要加工成所謂的鈾濃縮體(俗稱「黃色蛋糕」)，然後轉變成鈾四氟化物(UF4)，後者再進一步轉換成為氣態的鈾六氟化物(UF6)，然後通過離心機將鈾六氟化物加工成低濃縮鈾(就是目前伊朗宣布已取得的技術突破)，低濃縮鈾進一步濃縮成高濃縮鈾，後者既可產生民用核能，也可以用來製造核武器。
如果伊朗的聲明屬實，根據有關專家估算，它距離生產出製造一枚原子彈所需要的高濃縮鈾還有十三年零七個月。但令國際社會擔心的是，伊朗不會滿足於其目前擁有的164台離心機機組——伊朗已經聲稱到今年底修建由3000台離心機組成的機組。據估算，這樣規模的機組將可以在271天內造出一枚原子彈所需的高濃縮鈾。而伊朗的內坦茲核工廠的裝機設計容量是5萬台離心機，假設在美國的炸彈降落下來之前建成並全力運行，只需16天就可以造出一枚核彈所需量的高濃縮鈾。
去年俄羅斯為解決僵局提出的在其領土上建立合作核燃料工廠的提案，主要是避免讓伊朗完成濃縮鈾的全過程，即將「黃色蛋糕」之後的階段轉移到俄境內進行加工。而伊朗宣稱的低濃縮鈾的製成，標志著伊朗掌握了濃縮鈾的全過程技術。因此，內賈德在4月11日驕傲地宣稱，伊朗從此加入核俱樂部的行列。

一意孤行

今年2月，伊朗核問題被報告給安理會後，國際社會並未放棄在國際原子能機構的外交框架下解決該問題。但以內賈德為代表、主張發展核計劃的強硬勢力，至少在目前看來已經成為伊朗外交的主要聲音。這種執意獨立發展伊朗核工業的心態，主要來自在1980-1988年兩伊戰爭中成長起來的新一代伊朗領導人，既對西方核不擴散承諾的質疑，更對核武器禁忌不屑一顧。
在兩伊戰爭期間，薩達姆對伊朗軍隊使用了化學武器，但在當時幾乎整個阿拉伯世界和西方都支持伊拉克的情況下，世界輿論對薩達姆的行為指責寥寥。在意識形態以及地緣政治的考慮成為決策核心時，世界默許乃至縱容了薩達姆的行為。美國外交關系協會中東研究高級研究員雷·塔基亞(Ray Takeyh)在今年春季號的《國家利益》雜志中指出，對內賈德這樣兩伊戰爭老兵出身的新一代領導人而言，戰爭教給他們這樣的信條：國家的獨立和領土完整隻能靠自身的發展來保證，寄望國際公約和西方的善意是行不通的。
而在伊朗看來，美國對以色列實際擁有核武器的支持，以及最近美印之間關於核合作的條約，都表明以美國為首的西方在核不擴散問題上實行雙重標准——對「民主國家」和盟友，完全可以罔顧以色列和印度不是《核不擴散條約》簽字國的事實，對其發展核工業乃至核武器開綠燈，不惜一再破例；但對伊朗這樣身為條約簽字國的國家，僅因為其同美國不和，就可以被剝奪利用核能的權利。
在西方世界的雙重標准下，自主開發核能乃至最終造出核武器成為伊朗維護國家民族尊嚴和安全的虛實雙重保證。在兩次伊拉克戰爭以及阿富汗戰爭中，美軍常規力量所顯示出來的壓倒優勢，以及最近對伊朗核設施使用戰術核武器論調的抬頭，更使伊朗強硬派領導人確信，只有核威懾才能避免伊朗淪為下一個薩達姆或塔利班。這種看法伴隨著美國在海灣地區軍事存在的加強，美國全球民主化進程的加速，以及政權更迭(regime change)的威脅，增強了伊朗建立核威懾的迫切性。
內賈德認為，核問題僅是美國挑戰伊朗神權政權的第一步，即使伊朗按照美國要求停止核計劃，美國依然會以伊國內的人權、民主問題為借口步步進逼，直到1979年伊斯蘭革命以來的政權被推翻。美國國務卿賴斯要求的用於「推進伊朗國內民主力量發展」8500萬美元撥款，也被認為是美在伊朗實現政權更迭的步驟之一。

德黑蘭權力架構

根據伊朗憲法，國家最高領導人，即精神領袖哈梅內伊(Ayatollah Khamenei)是武裝力量統帥，同時也控制國家宣傳機器和國家司法權。
伊朗外交政策的決策機構是國家最高安全委員會(SNSC)，該委員會目前為拉里賈尼(Ali Larijani)領導，他也是此次核危機中伊朗的首席談判代表；但哈梅內伊對最高安全委員會的決定擁有最終決定權。在4月5日美國外交關系委員會舉辦的關於伊朗核問題的討論會上，國立伊朗大學的國家關系教授馬哈穆德·沙里奧哈蘭(Mahmood Sariolghalam)表示，從哈梅內伊掌權的17年歷史來看，他既不希望同西方實現和解，同時也不希望發生同西方的對抗。
另一方面，伊朗的國會以及由前總統拉夫桑賈尼(Ali Rafsanjani)領導的權宜委員會(Expediency Council)都有大批持溫和立場的改革人士。在伊朗國內經濟、失業問題日益突出的今天(伊朗75%人口不足30歲)，解決國內的發展問題更多成為上層的改革人士和廣大民眾關注的重心。
在這種獨特的外交、內政決策機制下，伊朗國內民生問題的日益突出，使得國際社會抱有希望：伊朗可以通過內部的角力來取得核問題的解決。這也是為何國際社會選擇一面向伊朗提供合作的美好前景，另一面輔以包括制裁在內的壓力的軟硬兩手策略。
在伊朗立場日趨強硬的今天，要求揮舞大棒的聲音也日益升高。同樣在4月5日的外交關系委員會研討會上，布魯津斯學會中東政策研究室主任肯尼斯·波拉克(Kenneth Pollack)指出，在伊朗經濟日益需要境外資本的今天，特別是未來五年伊朗每年需要200億美元、未來十年需要700億美元用來更新石油工業的融資計劃，對伊朗實行投資制裁會取得相當不錯的結果，同時又不會引發類似當年制裁伊拉克導致的人道主義災難。
一旦包括外交途徑以及投資制裁這樣的「軟制裁」方式，仍無法使伊朗停止濃縮鈾活動的話，那麼，更嚴厲的制裁乃至「外科手術式」的空中打擊就會成為一個選項。而這種選項的不利之處，除了具體的軍事方面的局限性(比如無法保證一次性消除所有的伊朗核設施，以及盡管核設施本身的消除，但有關核技術的知識卻無法根除)，還包括對油價不斷創下新高的國際石油市場產生重大沖擊，對伊朗周邊的阿拉伯國家國內政治經濟、對巴以沖突的解決種下種種惡果等。
勿輕言戰端

一個核武裝的伊朗將打破中近東地區的戰略平衡，會影響到以遜尼派穆斯林為主的阿拉伯國家對權力的控制，同時可能產生所謂的「伊朗伊斯蘭革命輸出」，引發類似伊拉克目前的遜尼和什葉教派之爭。
但西方也有投鼠忌器的一面：戰端一開，目前剛剛迎來新總理的伊拉克，可能因為伊朗公開支持伊拉克境內的什葉派力量，再次將伊拉克動盪不安的國內安全局勢送到一個更加危險的境地。此外，西方指責的伊朗同黎巴嫩真主黨武裝的聯系，同敘利亞的密切關系，連同伊朗對巴勒斯坦哈馬斯政府的支持，都會因此得到加強，從而對美國在這一地區的反恐事業產生嚴重不利影響。
此外，在薩達姆在上世紀90年代初發動對科威特的侵略後，整個阿拉伯世界呈現「中東政治美國化」的局面，彼此間的互信程度下降，各國忙於自保。而另一場海灣地區戰爭的後果，很可能再次強化美國的在該地區本已十分強大的存在，加強阿拉伯國家互相孤立、各自為政的局面，導致阿拉伯世界在所謂的文明沖突中再次敗下陣來。
因此，阿拉伯世界如果不是反對用軍事手段解決伊朗核問題，至少也不希望造成支持美對伊朗軍事打擊的印象。對美國而言，如果不能聚合盡可能多的盟友，特別是阿拉伯盟友，發動對伊朗的攻擊將令其擺脫霸權形象的努力付之東流。
更為嚴重的是，鑒於美國正在世界推行的「民主化」浪潮，伊拉克戰爭似乎昭示著，至少在中東地區，戰爭已成為推進民主的主要手段。而一場對伊朗的軍事打擊將會導致這種印象實質化。這無疑對美國「民主化」的推進不利，使其民主成本呈指數級加大。
西方內部的分歧也幾乎排除了近期進行軍事打擊的可能。盡管歐洲三國(法國、德國和英國)在過去三年多的談判中無功而返，目前站在美國一邊要求對伊朗採取強硬立場，但美歐在處理方式上仍有本質區別：對歐洲國家而言，通過外交手段解決爭端是他們的原則，並不是一時之計。而美國則不同，主張用外交手段更多是考慮到眼下進行軍事打擊的准備不夠充分，是一種權益之計。歐洲主張必須在窮盡外交手段之後，才可以另尋它途，美國的布希政府顯然沒有這種信條與耐心。圍繞伊朗核問題的種種錯綜復雜關系使得該問題的解決分外棘手。但外交斡旋不會因為巴拉迪報告的出台而就此停止。相關各方將會各盡其力，尋求一個盡可能令各方保住面子，同時又不至於導致局面不可收拾的解決方案。安理會成為各方角力的主戰場的事實，並不理所當然地意味外交——制裁——戰爭這一路徑的不可逆轉。伊朗核問題的反復，也意味著其解決進程的一波三折。世界仍舊需要更多的耐心

㈤ 震網病毒的深度分析

2010年10月，國內外多家媒體相繼報道了Stuxnet蠕蟲對西門子公司的數據採集與監控系統SIMATIC WinCC進行攻擊的事件，稱其為「超級病毒」、「超級工廠病毒」，並形容成「超級武器」、「潘多拉的魔盒」。
Stuxnet蠕蟲（俗稱「震網」、「雙子」）在2010年7月開始爆發。它利用了微軟操作系統中至少4個漏洞，其中有3個全新的零日漏洞；偽造驅動程序的數字簽名；通過一套完整的入侵和傳播流程，突破工業專用區域網的物理限制；利用WinCC系統的2個漏洞，對其開展破壞性攻擊。它是第一個直接破壞現實世界中工業基礎設施的惡意代碼。據賽門鐵克公司的統計，截止到2010年09月全球已有約45000個網路被該蠕蟲感染， 其中60%的受害主機位於伊朗境內。伊朗政府已經確認該國的布希爾核電站遭到Stuxnet蠕蟲的攻擊。
安天實驗室於7月15日捕獲到Stuxnet蠕蟲的第一個變種，在第一時間展開分析，發布了分析報告及防範措施，並對其持續跟蹤。截止至本報告發布，安天已經累計捕獲13個變種、600多個不同哈希值的樣本實體。 2.1 運行環境
Stuxnet蠕蟲在以下操作系統中可以激活運行： Windows 2000、Windows Server 2000 Windows XP、Windows Server 2003 Windows Vista Windows 7、Windows Server 2008 當它發現自己運行在非Windows NT系列操作系統中，即刻退出。
被攻擊的軟體系統包括： SIMATIC WinCC 7.0 SIMATIC WinCC 6.2 但不排除其他版本存在這一問題的可能。
2.2 本地行為
樣本被激活後，典型的運行流程如圖1 所示。
樣本首先判斷當前操作系統類型，如果是Windows 9X/ME，就直接退出。
接下來載入一個主要的DLL模塊，後續的行為都將在這個DLL中進行。為了躲避查殺，樣本並不將DLL模塊釋放為磁碟文件然後載入，而是直接拷貝到內存中，然後模擬DLL的載入過程。
具體而言，樣本先申請足夠的內存空間，然後Hookntdll.dll導出的6個系統函數： ZwMapViewOfSection ZwCreateSection ZwOpenFile ZwClose ZwQueryAttributesFile ZwQuerySection 為此，樣本先修改ntdll.dll文件內存映像中PE頭的保護屬性，然後將偏移0x40處的無用數據改寫為跳轉代碼，用以實現hook。
進而，樣本就可以使用ZwCreateSection在內存空間中創建一個新的PE節，並將要載入的DLL模塊拷貝到其中，最後使用LoadLibraryW來獲取模塊句柄。
圖1 樣本的典型運行流程
此後，樣本跳轉到被載入的DLL中執行，衍生下列文件：
%System32%driversmrxcls.sys %System32%driversmrxnet.sys%Windir%infoem7A.PNF%Windir%infmdmeric3.PNF %Windir%infmdmcpq3.PNF%Windir%infoem6C.PNF 其中有兩個驅動程序mrxcls.sys和mrxnet.sys，分別被注冊成名為MRXCLS和MRXNET的系統服務，實現開機自啟動。這兩個驅動程序都使用了Rootkit技術，並有數字簽名。
mrxcls.sys負責查找主機中安裝的WinCC系統，並進行攻擊。具體地說，它監控系統進程的鏡像載入操作，將存儲在%Windir%infoem7A.PNF中的一個模塊注入到services.exe、S7tgtopx.exe、CCProjectMgr.exe三個進程中，後兩者是WinCC系統運行時的進程。
mrxnet.sys通過修改一些內核調用來隱藏被拷貝到U盤的lnk文件和DLL文件（圖2 ）。
圖2驅動程序隱藏某些lnk文件
圖3 樣本的多種傳播方式
2.3 傳播方式Stuxnet蠕蟲的攻擊目標是SIMATIC WinCC軟體。後者主要用於工業控制系統的數據採集與監控，一般部署在專用的內部區域網中，並與外部互聯網實行物理上的隔離。為了實現攻擊，Stuxnet蠕蟲採取多種手段進行滲透和傳播，如圖3所示。
整體的傳播思路是：首先感染外部主機；然後感染U盤，利用快捷方式文件解析漏洞，傳播到內部網路；在內網中，通過快捷方式解析漏洞、RPC遠程執行漏洞、列印機後台程序服務漏洞，實現聯網主機之間的傳播；最後抵達安裝了WinCC軟體的主機，展開攻擊。
2.3.1. 快捷方式文件解析漏洞（MS10-046）
這個漏洞利用Windows在解析快捷方式文件（例如.lnk文件）時的系統機制缺陷，使系統載入攻擊者指定的DLL文件，從而觸發攻擊行為。具體而言，Windows在顯示快捷方式文件時，會根據文件中的信息尋找它所需的圖標資源，並將其作為文件的圖標展現給用戶。如果圖標資源在一個DLL文件中，系統就會載入這個DLL文件。攻擊者可以構造這樣一個快捷方式文件，使系統載入指定的DLL文件，從而執行其中的惡意代碼。快捷方式文件的顯示是系統自動執行，無需用戶交互，因此漏洞的利用效果很好。
Stuxnet蠕蟲搜索計算機中的可移動存儲設備（圖4）。一旦發現，就將快捷方式文件和DLL文件拷貝到其中（圖5）。如果用戶將這個設備再插入到內部網路中的計算機上使用，就會觸發漏洞，從而實現所謂的「擺渡」攻擊，即利用移動存儲設備對物理隔離網路的滲入。
圖4 查找U盤
拷貝到U盤的DLL文件有兩個：~wtr4132.tmp和~wtr4141.tmp。後者Hook了kernel32.dll和ntdll.dll中的下列導出函數：
FindFirstFileW FindNextFileW ZwQueryDirectoryFile 實現對U盤中lnk文件和DLL文件的隱藏。因此，Stuxnet一共使用了兩種措施（內核態驅動程序、用戶態Hook API）來實現對U盤文件的隱藏，使攻擊過程很難被用戶發覺，也能一定程度上躲避殺毒軟體的掃描。
圖5 拷貝文件到U盤
2.3.2. RPC遠程執行漏洞（MS08-067）與提升許可權漏洞
這是2008年爆發的最嚴重的一個微軟操作系統漏洞，具有利用簡單、波及范圍廣、危害程度高等特點。
圖6 發動RPC攻擊
具體而言，存在此漏洞的系統收到精心構造的RPC請求時，可能允許遠程執行代碼。在Windows 2000、Windows XP和Windows Server 2003系統中，利用這一漏洞，攻擊者可以通過惡意構造的網路包直接發起攻擊，無需通過認證地運行任意代碼，並且獲取完整的許可權。因此該漏洞常被蠕蟲用於大規模的傳播和攻擊。
Stuxnet蠕蟲利用這個漏洞實現在內部區域網中的傳播（圖6）。利用這一漏洞時，如果許可權不夠導致失敗，還會使用一個尚未公開的漏洞來提升自身許可權（圖1），然後再次嘗試攻擊。截止本報告發布，微軟尚未給出該提權漏洞的解決方案。
2.3.3. 列印機後台程序服務漏洞（MS10-061）
這是一個零日漏洞，首先發現於Stuxnet蠕蟲中。
Windows列印後台程序沒有合理地設置用戶許可權。攻擊者可以通過提交精心構造的列印請求，將文件發送到暴露了列印後台程序介面的主機的%System32%目錄中。成功利用這個漏洞可以以系統許可權執行任意代碼，從而實現傳播和攻擊。
圖7 利用列印服務漏洞
Stuxnet蠕蟲利用這個漏洞實現在內部區域網中的傳播。如圖7所示，它向目標主機發送兩個文件：winsta.exe、sysnullevnt.mof。後者是微軟的一種託管對象格式（MOF）文件，在一些特定事件驅動下，它將驅使winsta.exe被執行。
2.3.4.內核模式驅動程序（MS10-073）
2.3.5.任務計劃程序漏洞（MS10-092）
2.4 攻擊行為
Stuxnet蠕蟲查詢兩個注冊表鍵來判斷主機中是否安裝WinCC系統（圖8）：
HKLMSOFTWARESIEMENSWinCCSetup
HKLMSOFTWARESIEMENSSTEP7
圖8 查詢注冊表，判斷是否安裝WinCC
一旦發現WinCC系統，就利用其中的兩個漏洞展開攻擊：
一是WinCC系統中存在一個硬編碼漏洞，保存了訪問資料庫的默認賬戶名和密碼，Stuxnet利用這一漏洞嘗試訪問該系統的SQL資料庫（圖9）。
二是在WinCC需要使用的Step7工程中，在打開工程文件時，存在DLL載入策略上的缺陷，從而導致一種類似於「DLL預載入攻擊」的利用方式。最終，Stuxnet通過替換Step7軟體中的s7otbxdx.dll，實現對一些查詢、讀取函數的Hook。
圖9 查詢WinCC的資料庫
2.5 樣本文件的衍生關系
本節綜合介紹樣本在上述復制、傳播、攻擊過程中，各文件的衍生關系。
如圖10所示。樣本的來源有多種可能。
對原始樣本、通過RPC漏洞或列印服務漏洞傳播的樣本，都是exe文件，它在自己的.stud節中隱形載入模塊，名為「kernel32.dll.aslr.<隨機數字>.dll」。
對U盤傳播的樣本，當系統顯示快捷方式文件時觸發漏洞，載入~wtr4141.tmp文件，後者載入一個名為「shell32.dll.aslr.<隨機數字>.dll」的模塊，這個模塊將另一個文件~wtr4132.tmp載入為「kernel32.dll.aslr.<隨機數字>.dll」。
圖10 樣本文件衍生的關系
模塊「kernel32.dll.aslr.<隨機數字>.dll」將啟動後續的大部分操作，它導出了22個函數來完成惡意代碼的主要功能；在其資源節中，包含了一些要衍生的文件，它們以加密的形式被保存。
其中，第16號導出函數用於衍生本地文件，包括資源編號201的mrxcls.sys和編號242的mrxnet.sys兩個驅動程序，以及4個.pnf文件。
第17號導出函數用於攻擊WinCC系統的第二個漏洞，它釋放一個s7otbxdx.dll，而將WinCC系統中的同名文件修改為s7otbxsx.dll，並對這個文件的導出函數進行一次封裝，從而實現Hook。
第19號導出函數負責利用快捷方式解析漏洞進行傳播。它釋放多個lnk文件和兩個擴展名為tmp的文件。
第22號導出函數負責利用RPC漏洞和列印服務漏洞進行傳播。它釋放的文件中，資源編號221的文件用於RPC攻擊、編號222的文件用於列印服務攻擊、編號250的文件用於提權。 3.1 抵禦本次攻擊
西門子公司對此次攻擊事件給出了一個解決方案，鏈接地址見附錄。下面根據我們的分析結果，給出更具體的措施。
1.使用相關專殺工具或手工清除Stuxnet蠕蟲
手工清除的步驟為： 使用Atool管理工具，結束系統中的父進程不是winlogon.exe的所有lsass.exe進程； 強行刪除下列衍生文件：
%System32%driversmrxcls.sys
%System32%driversmrxnet.sys
%Windir%infoem7A.PNF
%Windir%infmdmeric3.PNF
%Windir%infmdmcpq3.PNF
%Windir%infoem6C.PNF 刪除下列注冊表項：
HKEY_LOCAL_
HKEY_LOCAL_ 2. 安裝被利用漏洞的系統補丁
安裝微軟提供的下列補丁文件： RPC遠程執行漏洞（MS08-067） 快捷方式文件解析漏洞（MS10-046） 列印機後台程序服務漏洞（MS10-061） 內核模式驅動程序漏洞（MS10-073） 任務計劃程序程序漏洞（MS10-092） 3. 安裝軟體補丁
安裝西門子發布的WinCC系統安全更新補丁，地址見附錄。
3.2 安全建議
此次攻擊事件凸顯了兩個問題： 即便是物理隔離的專用區域網，也並非牢不可破； 專用的軟體系統，包括工業控制系統，也有可能被攻擊。 因此，我們對有關部門和企業提出下列安全建議：
加強主機（尤其是內網主機）的安全防範，即便是物理隔離的計算機也要及時更新操作系統補丁，建立完善的安全策略；
安裝安全防護軟體，包括反病毒軟體和防火牆，並及時更新病毒資料庫；
建立軟體安全意識，對企業中的核心計算機，隨時跟蹤所用軟體的安全問題，及時更新存在漏洞的軟體；
進一步加強企業內網安全建設，尤其重視網路服務的安全性，關閉主機中不必要的網路服務埠；
所有軟體和網路服務均不啟用弱口令和默認口令；
加強對可移動存儲設備的安全管理，關閉計算機的自動播放功能，使用可移動設備前先進行病毒掃描，為移動設備建立病毒免疫，使用硬體式U盤病毒查殺工具。 相比以往的安全事件，此次攻擊呈現出許多新的手段和特點，值得我們特別關注。
4.1 專門攻擊工業系統
Stuxnet蠕蟲的攻擊目標直指西門子公司的SIMATIC WinCC系統。這是一款數據採集與監視控制（SCADA）系統，被廣泛用於鋼鐵、汽車、電力、運輸、水利、化工、石油等核心工業領域，特別是國家基礎設施工程；它運行於Windows平台，常被部署在與外界隔離的專用區域網中。
一般情況下，蠕蟲的攻擊價值在於其傳播范圍的廣闊性、攻擊目標的普遍性。此次攻擊與此截然相反，最終目標既不在開放主機之上，也不是通用軟體。無論是要滲透到內部網路，還是挖掘大型專用軟體的漏洞，都非尋常攻擊所能做到。這也表明攻擊的意圖十分明確，是一次精心謀劃的攻擊。
4.2 利用多個零日漏洞
Stuxnet蠕蟲利用了微軟操作系統的下列漏洞： RPC遠程執行漏洞（MS08-067） 快捷方式文件解析漏洞（MS10-046） 列印機後台程序服務漏洞（MS10-061） 內核模式驅動程序漏洞（MS10-073） 任務計劃程序程序漏洞（MS10-092） 後四個漏洞都是在Stuxnet中首次被使用，是真正的零日漏洞。如此大規模的使用多種零日漏洞，並不多見。
這些漏洞並非隨意挑選。從蠕蟲的傳播方式來看，每一種漏洞都發揮了獨特的作用。比如基於自動播放功的U盤病毒被絕大部分殺毒軟體防禦的現狀下，就使用快捷方式漏洞實現U盤傳播。
另一方面，在安天捕獲的樣本中，有一部分實體的時間戳是2013年3月。這意味著至少在3月份，上述零日漏洞就已經被攻擊者掌握。但直到7月份大規模爆發，漏洞才首次披露出來。這期間要控制漏洞不泄露，有一定難度。
4.3 使用數字簽名
Stuxnet在運行後，釋放兩個驅動文件：
%System32%driversmrxcls.sys
%System32%driversmrxnet.sys
這兩個驅動文件偽裝RealTek的數字簽名（圖7）以躲避殺毒軟體的查殺。目前，這一簽名的數字證書已經被頒發機構吊銷，無法再通過在線驗證，但目前反病毒產品大多使用靜態方法判定可執行文件是否帶有數字簽名，因此有可能被欺騙。圖11 Stuxnet偽造的數字簽名
4.4 明確的攻擊目標
根據賽門鐵克公司的統計，7月份，伊朗感染Stuxnet蠕蟲的主機只佔25%，到9月下旬，這一比例達到60%。
WinCC被伊朗廣泛使用於基礎國防設施中。9月27日，伊朗國家通訊社向外界證實該國的第一座核電站「布希爾核電站」已經遭到攻擊。據了解，該核電站原計劃於2013年8月開始正式運行。因此，此次攻擊具有明確的地域性和目的性。 5.1 工業系統安全將面臨嚴峻挑戰
在我國，WinCC已被廣泛應用於很多重要行業，一旦受到攻擊，可能造成相關企業的設施運行異常，甚至造成商業資料失竊、停工停產等嚴重事故。
對於Stuxnet蠕蟲的出現，我們並未感到十分意外。早在去年，安天就接受用戶委託，對化工行業儀表的安全性展開過研究，情況不容樂觀。
工業控制網路，包括工業乙太網，以及現場匯流排控制系統早已在工業企業中應用多年，目前在電力、鋼鐵、化工等大型重化工業企業中，工業乙太網、DCS（集散控制系統）、現場匯流排等技術早已滲透到控制系統的方方面面。工業控制網路的核心現在都是工控PC，大多數同樣基於Windows-Intel平台，工業乙太網與民用乙太網在技術上並無本質差異，現場匯流排技術更是將單片機/嵌入式系統應用到了每一個控制儀表上。工業控制網路除了可能遭到與攻擊民用/商用網路手段相同的攻擊，例如通過區域網傳播的惡意代碼之外，還可能遭到針對現場匯流排的專門攻擊，不可輕視。
針對民用/商用計算機和網路的攻擊，目前多以獲取經濟利益為主要目標，但針對工業控制網路和現場匯流排的攻擊，可能破壞企業重要裝置和設備的正常測控，由此引起的後果可能是災難性的。以化工行業為例，針對工業控制網路的攻擊可能破壞反應器的正常溫度/壓力測控，導致反應器超溫/超壓，最終就會導致沖料、起火甚至爆炸等災難性事故，還可能造成次生災害和人道主義災難。因此，這種襲擊工業網路的惡意代碼一般帶有信息武器的性質，目標是對重要工業企業的正常生產進行干擾甚至嚴重破壞，其背景一般不是個人或者普通地下黑客組織。
目前，工業乙太網和現場匯流排標准均為公開標准，熟悉工控系統的程序員開發針對性的惡意攻擊代碼並不存在很高的技術門檻。因此，對下列可能的工業網路安全薄弱點進行增強和防護是十分必要的： 基於Windows-Intel平台的工控PC和工業乙太網，可能遭到與攻擊民用/商用PC和網路手段相同的攻擊，例如通過U盤傳播惡意代碼和網路蠕蟲，這次的Stuxnet病毒就是一個典型的例子。 DCS和現場匯流排控制系統中的組態軟體（測控軟體的核心），目前其產品，特別是行業產品被少數公司所壟斷，例如電力行業常用的西門子SIMATIC WinCC，石化行業常用的浙大中控等。針對組態軟體的攻擊會從根本上破壞測控體系，Stuxnet病毒的攻擊目標正是WinCC系統。 基於RS-485匯流排以及光纖物理層的現場匯流排，例如PROFIBUS和MODBUS（串列鏈路協議），其安全性相對較好；但短程無線網路，特別是不使用Zigbee等通用短程無線協議（有一定的安全性），而使用自定義專用協議的短程無線通信測控儀表，安全性較差。特別是國內一些小企業生產的「無線感測器」等測控儀表，其無線通信部分採用通用2.4GHz短程無線通信晶元，連基本的加密通信都沒有使用，可以說毫無安全性可言，極易遭到竊聽和攻擊，如果使用，將成為現場匯流排中極易被攻擊的薄弱點。 工業控制網路通常是獨立網路，相對民用/商用網路而言，數據傳輸量相對較少，但對其實時性和可靠性的要求卻很高，因而出現問題的後果相當嚴重。
傳統工業網路的安全相對信息網路來說，一直是憑借內網隔離，而疏於防範。因此，針對工業系統的安全檢查和防範加固迫在眉睫。

㈥ 震網病毒的概述

㈦ Stuxnet蠕蟲病毒的病毒簡介

Stuxnet又名「震網」，是針對微軟體系統以及西門子工業系統的最新病毒，目前已感染多個國家及地區的工業系統和個人用戶，此病毒可通過網路傳播，與以往病毒不同，其代碼非常精密
曾造成伊朗核電站推遲發電的全球首個「超級工廠病毒」Stuxnet目前已經侵入我國。瑞星昨日發布的預警顯示，國內已有近500萬網民及多個行業的領軍企業遭Stuxnet蠕蟲病毒攻擊，而且由於安全制度上的缺失，該病毒還存在很高的大規模傳播風險。
據瑞星安全專家介紹，Stuxnet蠕蟲病毒是世界上首個專門針對工業控制系統編寫的破壞性病毒，能夠利用對windows系統和西門子SIMATIC WinCC系統的7個漏洞進行攻擊。特別是針對西門子公司的SIMATIC WinCC監控與數據採集 (SCADA) 系統進行攻擊，由於該系統在我國的多個重要行業應用廣泛，被用來進行鋼鐵、電力、能源、化工等重要行業的人機交互與監控。
Stuxnet及其變種是一種利用最新的Windows Shell漏洞傳播惡意文件的蠕蟲。造成這個漏洞的原因是Windows 錯誤地分析快捷方式，當用戶單擊特製快捷方式的顯示圖標時可能執行惡意代碼（文件帶有.LNK擴展名）。

㈧ 什麼時候美國曾利用震網病毒成功入侵伊朗布希爾核電站

2010年12月15日，一位德國計算機高級顧問表示，「震網」計算機病毒令德黑蘭的核計劃拖後了兩年。這個惡意軟體2010年一再以伊朗核設施為目標，通過滲透進「視窗」（Windows）操作系統，並對其進行重新編程而造成破壞。2011年1月26日，俄羅斯常駐北約代表羅戈津表示，這種病毒可能給伊朗布希爾核電站造成嚴重影響，導致有毒的放射性物質泄漏，其危害將不亞於1986年發生的切爾諾貝利核電站事故 採納

㈨ 近幾年幾個網路病毒事件有哪些

您好，近幾年出現的網路病毒有以下幾個。
1、磁碟機（2007年）
磁碟機病毒也稱mmycom，它是一個下載者病毒，會關閉一些安全工具和殺毒軟體並阻止其運行；對於不能關閉的某些輔助工具會通過發送窗口信息洪水使得相關程序因為消息得不到處理處於假死狀態；破壞安全模式，刪除一些殺毒軟體和實時監控的服務，遠程注入到其它進程來啟動被結束進程的病毒；病毒會在每個分區下釋放AUTORUN.INF來達到自運行，感染除SYSTEM32目錄外其它目錄下的所有可執行文件。磁碟機病毒造成的危害及損失10倍於同年的熊貓燒香。

2、機器狗（2007年）
機器狗病毒因最初的版本採用電子狗的照片做圖標而被網民命名為「機器狗」，該病毒的主要危害是充當病毒木馬下載器，與AV終結者病毒相似，病毒通過修改注冊表，讓大多數流行的安全軟體失效，然後瘋狂下載各種盜號工具或黑客工具，給用戶計算機帶來嚴重的威脅。機器狗病毒直接操作磁碟以繞過系統文件完整性的檢驗，通過感染系統文件（比如explorer.exe，userinit.exe，winhlp32.exe等）達到隱蔽啟動；通過還原系統軟體導致大量網吧用戶感染病毒，無法通過還原來保證系統的安全。

3、Stuxnet（2009-2010年）
Stuxnet，震網是一種Windows平台上針對工業控制系統的計算機蠕蟲，它是首個旨在破壞真實世界，而非虛擬世界的計算機病毒，利用西門子公司控制系統（SIMATIC WinCC/Step7）存在的漏洞感染數據採集與監控系統（SCADA），向可編程邏輯控制器（PLCs）寫入代碼並將代碼隱藏。這是有史以來第一個包含PLC Rootkit的計算機蠕蟲，也是已知的第一個以關鍵工業基礎設施為目標的蠕蟲。據報道，該蠕蟲病毒可能已感染並破壞了伊朗納坦茲的核設施，並最終使伊朗的布希爾核電站推遲啟動。不過西門子公司表示，該蠕蟲事實上並沒有造成任何損害。

4、Conficker（2008-2009年）
Conficker，也被稱作Downup，Downap或Kido，Conficker蠕蟲最早於2008年11月20日被發現，針對微軟Windows操作系統。迄今已出現了A、B、C、E四個版本，目前全球已有超過1500萬台電腦受到感染。Conficker主要利用Windows操作系統MS08-067漏洞來傳播，同時也能藉助任何有USB介面的硬體設備來感染。

5、Online Games盜號木馬
這是一類針對網路游戲賬號的盜號木馬，它們的特點就是通過進程注入盜取網路游戲的帳號從而通過買賣裝備獲得利益。一般情況下，這類病毒本身不會對抗殺毒軟體，但經常伴隨著AV終結者、機器狗等病毒出現。
推薦您使用騰訊電腦管家來保護您的電腦系統安全，騰訊電腦管家使用5大引擎，層層保護您的電腦，防止病毒侵入，並且擁有全面的病毒庫，保證實時更新，還有著較高的病毒查殺率！
騰訊電腦管家下載地址：http://guanjia.qq.com/
希望我的回答能幫助到您！

騰訊電腦管家企業平台：http://..com/c/guanjia/

㈩ 伊朗核設施癱瘓事件是因為遭受了什麼病毒的攻擊

伊朗核設施癱瘓事件是因為遭受了震網病毒病毒的攻擊。
震網病毒又名Stuxnet病毒，是一個席捲全球工業界的病毒。
震網（Stuxnet）病毒於2010年6月首次被檢測出來，是第一個專門定向攻擊真實世界中基礎（能源）設施的「蠕蟲」病毒，比如核電站，水壩，國家電網。互聯網安全專家對此表示擔心。
作為世界上首個網路「超級破壞性武器」，Stuxnet的計算機病毒已經感染了全球超過 45000個網路，伊朗遭到的攻擊最為嚴重，60%的個人電腦感染了這種病毒。計算機安防專家認為，該病毒是有史以來最高端的「蠕蟲」病毒。蠕蟲是一種典型的計算機病毒，它能自我復制，並將副本通過網路傳輸，任何一台個人電腦只要和染毒電腦相連，就會被感染。