中華工控網(wǎng)首頁 新聞中心 論壇 看點 原創(chuàng) 下載 電子期刊
  Stuxnet病毒--天生的工業(yè)殺手

  Stuxnet蠕蟲病毒是世界上首個專門針對工業(yè)控制系統(tǒng)編寫的破壞性病毒,能夠利用對windows系統(tǒng)和西門子SIMATIC WinCC系統(tǒng)的7個漏洞進行攻擊。
  特別是針對西門子公司的SIMATIC WinCC監(jiān)控與數(shù)據(jù)采集系統(tǒng)進行攻擊,由于該系統(tǒng)在我國的多個重要行業(yè)應(yīng)用廣泛,被用來進行鋼鐵、電力、能源、化工等重要行業(yè)的人機交互與監(jiān)控。
  其獨特性在于,第一次有人決定花時間,刻意以特定供貨商的SCADA系統(tǒng)監(jiān)控與數(shù)據(jù)抓取功能軟件平臺做為攻擊目標。去年9月,Stuxnet病毒已經(jīng)感染了全球超過45000個網(wǎng)絡(luò),伊朗、美國等多地均不能幸免。
【西門子:“震網(wǎng)”并不可怕】

 工業(yè)控制很“受傷” 西門子再曝系統(tǒng)新漏洞
    去年因超級工廠病毒引發(fā)的制造業(yè)系統(tǒng)安全余波未平;大爆發(fā)時,我國曾有上千家工廠受到攻擊。近日全球獨立安全檢測機構(gòu)NSSLabs的一項報告,再次把此話題攪熱。
    該機構(gòu)5月中旬發(fā)布報告稱,西門子的一個工業(yè)控制系統(tǒng)存在新的漏洞,該漏洞易受黑客攻擊。
    這一新漏洞被發(fā)現(xiàn)再次引起業(yè)界的擔心。媒體報道稱西門子漏洞產(chǎn)品在華深耕部分企業(yè)對隱患不知情。本專題將解剖StuxnetWorm病毒入侵過程,并提出解決措施。【詳細】
  最新報道
  事件背景

  Stuxnet病毒被多國安全專家形容為全球首個“超級工廠病毒”,于2010年6月被發(fā)現(xiàn)曾造成伊朗核電站推遲發(fā)電。于9月進入中國,造成國內(nèi)有近500萬網(wǎng)民及多個行業(yè)的企業(yè)遭其攻擊。
  11月攻擊伊朗核電廠,鎖定水庫、油井、電廠等重要基礎(chǔ)設(shè)施。2011年5月,西門子公布了存在漏洞的自動化PLC SIMATICS7-1200。目前,這款小型PLC已經(jīng)在國內(nèi)應(yīng)用于各個領(lǐng)域。

  漏洞產(chǎn)品

SIMATICS7-1200可編程控制器是西門子公司推出的新一代PLC,作為S7-200的升級替代產(chǎn)品,它被定位在S7-200和S7-300之間。體積非常小,是工業(yè)自動化操作系統(tǒng)的核心,“代表了未來小型可編程控制器的發(fā)展方向”,應(yīng)用領(lǐng)域十分廣泛。
  為推廣該產(chǎn)品,2010年4月至6月,西門子自動化系統(tǒng)部在北京、哈爾濱、深圳等11個城市進行“互動體驗之旅”。2011年西門子又啟動了首屆有獎?wù)魑拇筚悺?a href="images/4080[1][1].pdf" target="_blank">【詳細】
  攻擊過程詳解

  據(jù)西門子官網(wǎng)稱,目前全球共有 24 個工業(yè)領(lǐng)域的西門子客戶報告感染了特洛伊木馬病毒。各種情況下惡意軟件都能被清除。所有這些感染都沒有對自動化解決方案造成不利影響。對那些和被Stuxnet視為目標類似的企業(yè)控制系統(tǒng)來說,這應(yīng)該是一記警鐘。Stuxnet攻擊的“軟”目標皆未受到良好的防護。這些系統(tǒng)之所以未受到良好防護,是因為他們是位在網(wǎng)絡(luò)的“內(nèi)部”,可能被認為其區(qū)域防護已足夠。網(wǎng)絡(luò)的安全性其實取決于其最弱的環(huán)節(jié)。有鑒于此,我們詳細解剖了該病毒是如何攻擊感染PLC的全過程。  Stuxnet驅(qū)動分析

    Stuxnet會根據(jù)目標系統(tǒng)的特點,使用不同的代碼來感染PLC。 一個感染的序列包括了許多PLC 模塊(代碼模塊和數(shù)據(jù)模塊),用以注入PLC來改變目標PLC 的行為。這個威脅包括了三個感染序列。其中兩個非常相似,功能也相同,我們將其命名為序列A和B。第三個序列我們命名為序列C。Stuxnet通過驗證“指紋”來判斷系統(tǒng)是否為計劃攻擊的目標。它會檢查: PLC種類/家族:只有CPU 6ES7-417 和6ES7-315-2 會被感染。系統(tǒng)數(shù)據(jù)模塊:SDB 會被解析;根據(jù)他們包含的數(shù)據(jù),感染進程會選擇A,B或其它感染方式開始行動。【全文閱讀】

  • 運行環(huán)境
  • Windows 2000、Windows Server 2000
  • Windows XP、Windows Server 2003
  • Windows Vista
  • Windows 7、Windows Server 2008
  • 當它發(fā)現(xiàn)自己運行在非Windows NT系列操作系統(tǒng)中,即刻退出
  • 被攻擊的軟件系統(tǒng)包括:
  • SIMATIC WinCC 7.0
  • SIMATIC WinCC 6.2
  解決方案

Tofino提出解決Stuxnet震網(wǎng)病毒的完美解決方案
????????“Stuxnet震網(wǎng)”病毒肆虐證明了我們的工業(yè)控制系統(tǒng)并非想象中的安全,黑客的針對目標也不僅僅是普通的民用網(wǎng)絡(luò)。 Stuxnet攻擊的復(fù)雜性以及協(xié)同的高級持續(xù)性威脅的殺傷力足以令包括工業(yè)網(wǎng)絡(luò)安全在內(nèi)的所有公用事業(yè)企業(yè)膽戰(zhàn)心驚。
??????? Stuxnet 攻擊凸顯出多芬諾為確保工業(yè)網(wǎng)絡(luò)安全所做出的一系列努力的重要性。多芬諾(Tofino)工業(yè)安全解決方案,是一個獨特的硬件和軟件安全系統(tǒng),可以保護客戶的工業(yè)控制系統(tǒng)不會遭到Stuxnet的攻擊與破壞。傳統(tǒng)的防火墻并非專為控制系統(tǒng)或工業(yè)環(huán)境而設(shè)計,這樣就會把一切工廠設(shè)備和系統(tǒng)都暴露在蠕蟲病毒的威脅之下,每年,因網(wǎng)絡(luò)攻擊和主要基礎(chǔ)設(shè)施被病毒破壞帶來的損失高達數(shù)十億甚至百數(shù)億美元,而多芬諾為客戶提供度身定做的防火墻, 可以為設(shè)備提供其獨有的區(qū)級安全保護,超越一般傳統(tǒng)的防火墻。【詳細】

西門子推薦的識別和清除 Stuxnet 病毒感染的過程
        由于Stuxnet針對某個特定的工業(yè)生產(chǎn)控制系統(tǒng)進行攻擊,而這些行為不會在測試環(huán)境中出現(xiàn),因此在測試環(huán)境下觀察到的病毒行為不全面,很可能產(chǎn)生誤導(dǎo)。事實上,運行后,Stuxnet會立即嘗試進入一個可編程邏輯控制器(PLC)?的數(shù)據(jù)塊—DB890。這個數(shù)據(jù)塊其實是Stuxnet自己加的,并不屬于目標系統(tǒng)本身。Stuxnet?會監(jiān)測并向這個模塊里寫入數(shù)據(jù),以根據(jù)情況和需求實時改變PLC的流程。
        建議檢查如下類型的計算機: 嵌入式系統(tǒng) (例如,Microbox), 其它計算機 ,如 用于基礎(chǔ)服務(wù)的計算機 (文件服務(wù)器,域控制器,其它服務(wù)器...)?、 安裝和未安裝 WinCC 的計算機, 虛擬機 (例如:VMWARE 安裝) 按如下所述執(zhí)行各種措施。
       重要信息
       在掃描 ZIP 文件前一定要做備份。應(yīng)在掃描前解壓縮大于 1 MB 的 ZIP 文件,以確保可以掃描其包含的文件。 【詳細】
  分析報告

        在傳統(tǒng)工業(yè)與信息技術(shù)的融合不斷加深、傳統(tǒng)工業(yè)體系的安全核心從物理安全向信息安全轉(zhuǎn)移的趨勢和背景下,此次Stuxnet 蠕蟲攻擊事件尤為值得深入思考。這是一次極為不同尋常的攻擊,其具體體現(xiàn)是:
         傳統(tǒng)的惡意攻擊追求影響范圍的廣泛性,而這次攻擊極富目的性; 傳統(tǒng)的攻擊大都利用通用軟件的漏洞,而這次攻擊則完全針對行業(yè)專用軟件; 這次攻擊使用了多個全新的零日漏洞進行全方位攻擊,這是傳統(tǒng)攻擊難以企及的; 這次攻擊通過恰當?shù)穆┒错樌麧B透到內(nèi)部專用網(wǎng)絡(luò)中,這也正是傳統(tǒng)攻擊的弱項; 從時間、技術(shù)、手段、目的、攻擊行為等多方面來看,完全可以認為發(fā)起此次攻擊的不是個人或者普通地下黑客組織。【詳細 】

  中國警惕

中國制造工業(yè)新危機 部分企業(yè)對隱患不知情
       西門子工業(yè)控制系統(tǒng)存在安全漏洞經(jīng)過《每日經(jīng)濟新聞》曝光后,引發(fā)廣泛關(guān)注。不過,記者采訪多位業(yè)內(nèi)人士發(fā)現(xiàn),不少企業(yè)并不了解西門子工業(yè)控制系統(tǒng)存在安全漏洞的情況。
       如果真的有潛在的惡意攻擊者想定點打擊某些企業(yè)的生產(chǎn),這些忽視或者沒有意識到系統(tǒng)隱患的企業(yè),會更容易被攻陷。對自動化控制存在的漏洞了解不多。企業(yè)風(fēng)險意識待提升。【詳細】】
“震網(wǎng)”打響工業(yè)系統(tǒng)呼喚自主技術(shù)
無線技術(shù):期待與IT技術(shù)深層融合
  推薦工具




版權(quán)所有 中華工控網(wǎng) Copyright @ 2010 Gkong.com, All Rights Reserved