震网病毒是如何被发现的?

星级:
震网病毒由于本身代码的一个低级错误,导致其能在本身不支持的win 95和win 98上运行,导致电脑蓝屏,最终被伊朗察觉到,并最终在2010年6月被伊朗邀请的白俄罗斯计算机安全公司锁定找出,这才被发现的。

2010年6月,白俄罗斯的一家安全公司VirusBlokAda受邀为一些伊朗客户检查系统,调查他们电脑的死机和重启问题。技术人员在客户电脑中发现了一种新的蠕虫病毒。根据病毒代码中出现的特征字“stux”,新病毒被命名为“震网病毒(stuxnet)”,并加入到公共病毒库,公布给业界人士研究。

起初,研究人员以为,这不过是千万种流行病毒中的一种。世界上每天都有新病毒产生,大部分都是青少年的恶作剧,少部分则是犯罪分子用来盗取个人信息的工具,震网病毒也许只是其中之一。但进一步的深入研究却让他们瞠口结舌:震网的复杂度远远出乎人们的意料,它是当时所发现的最精妙、最复杂的病毒,没有之一。

首先,它利用了4个Windows零日漏洞。零日漏洞是指软件中刚刚被发现、还没有被公开或者没有被修补的漏洞。零日漏洞可以大大提高电脑入侵的成功率,具有巨大的经济价值,在黑市上,一个零日漏洞通常可以卖到几十万美元。即使是犯罪集团的职业黑客,也不会奢侈到在一个病毒中同时用上4个零日漏洞。仅此一点,就可以看出该病毒的开发者不是一般黑客,它具备强大的经济实力。并且,开发者对于攻击目标怀有志在必得的决心,因此才会同时用上多个零日漏洞,确保一击得手。

其次,它具备超强的USB传播能力。传统病毒主要是通过网络传播,而震网病毒大大增强了通过USB接口传播的能力,它会自动感染任何接入的U盘。在病毒开发者眼中,似乎病毒的传播环境不是真正的互联网,而是一个网络连接受到限制的地方,因此需要靠USB口来扩充传播途径。

最奇怪的是,病毒中居然还含有两个针对西门子工控软件漏洞的攻击,这在当时的病毒中是绝无仅有的。从互联网的角度来看,工业控制是一种恐龙式的技术,古老的通信方式、隔绝的网络连接、庞大的系统规模、缓慢的技术变革,这些都让工控系统看上去跟互联网截然不同。此前从没人想过,在互联网上泛滥的病毒,也可以应用到工业系统中去。


震网病毒引起了信息安全界的极大兴趣,随着更多专家投入到对它的分析,它的面纱渐渐揭开——它跟以往流行的病毒完全不一样,这是世界上第一例针对工控系统的病毒!说得再精准一点,它是专门针对伊朗纳坦兹核工厂量身定做的病毒武器。

关于震网病毒的暴露问题,据相关研究分析可归咎于病毒开发者的一个低级失误——一个编程错误使其能够扩散到 “古老的”Windows(Windows 95和98)系统,而震网病毒本身并不支持这些操作系统。

据恶意软件研究者Tillmann Werner和Felix Leder介绍称,这个狡猾无比的网络间谍工具——震网病毒延缓了伊朗的核项目长达两年。

设计者希望震网保持“低调”从而不被伊朗的人发现,否则它就要破坏计算机系统。然而,一个编程错误导致它可以蔓延到并不支持的低版本Windows系统的电脑中,导致系统崩溃。而那些在这场网络战中“牺牲”的蓝色电脑屏幕则引起了伊朗Natanz核试验室的怀疑。

​​​​​​​

Leder在RSA会议上表示:

“由于震网不支持win 95和win 98,因此震网蠕虫会在摧毁这两个系统时自行毁灭。 不幸的是,有人某天在编程震网的时候心情很糟糕,因此错误地将and和or字符交换,导致程序能够蔓延到任何版本的Windows系统中,甚至是它并不支持的版本。 当你在一项任务中花费了几年的时间,却因为一次远程攻击系统,突然在几分钟之内你就暴露了。这感觉应该很不好…… 然而震网在被发现之前能够成功地破坏了伊朗铀浓缩离心机,可能因为震网蠕虫之前没找到装有Windows老版本的计算机,或者是因为伊朗的科学家们已经习惯了Windows 95和Windows 98出现蓝屏的情况。”