安天实验室：对Stuxnet蠕虫攻击工业控制系统事件的综合报告

近日,国内外多家媒体相继报道了 Stuxnet 蠕虫对西门子公司的数 据采集与监控系统 SIMATIC WinCC 进行攻击的事件,称其为“超 级病毒”、“超级工厂病毒”,并形容成“超级武器”、“潘多拉的魔 盒”。Stuxnet 蠕虫(俗称“震网”、“双子”)在今年 7 月开始爆发。 它利用了微软操作系统中至少 4 个漏洞,其中有 3 个全新的零日漏 洞;为衍生的驱动程序使用有效的数字签名;通过一套完整的入侵 和传播流程,突破工业专用局域网的物理限制;利用 WinCC 系统 的 2 个漏洞,对其展开攻击。它是第一个直接破坏现实世界中工业 基础设施的恶意代码。据赛门铁克公司的统计,目前全球已有约 45000 个网络被该蠕虫感染,其中 60%的受害主机位于伊朗境内。 伊朗政府已经确认该国的布什尔核电站遭到 Stuxnet 蠕虫的攻击。 安天实验室于 7 月 15 日捕获到 Stuxnet 蠕虫的第一个变种,在第一 时间展开分析,发布了分析报告及防范措施,并对其持续跟踪。截 止至本报告发布,安天已经累计捕获 13 个变种、 600 多个不同哈 希值的样本实体。