“震網”危機自動化安全亮紅燈

Stuxnet病毒--天生的工業殺手

　　Stuxnet蠕蟲病毒是世界上首個專門針對工業控製係統編寫的破壞性病毒，能夠利用對windows係統和西門子SIMATIC WinCC係統的7個漏洞進行攻擊。
　　特別是針對西門子公司的SIMATIC WinCC監控與數據采集係統進行攻擊，由於該係統在我國的多個重要行業應用廣泛，被用來進行鋼鐵、電力、能源、化工等重要行業的人機交互與監控。
　　其獨特性在於，第一次有人決定花時間，刻意以特定供貨商的SCADA係統監控與數據抓取功能軟件平台做為攻擊目標。去年9月，Stuxnet病毒已經感染了全球超過45000個網絡，伊朗、美國等多地均不能幸免。
【西門子：“震網”並不可怕】

　工業控製很“受傷” 西門子再曝係統新漏洞
　   去年因超級工廠病毒引發的製造業係統安全餘波未平；大爆發時，我國曾有上千家工廠受到攻擊。近日全球獨立安全檢測機構NSSLabs的一項報告，再次把此話題攪熱。
　   該機構5月中旬發布報告稱，西門子的一個工業控製係統存在新的漏洞，該漏洞易受黑客攻擊。
　   這一新漏洞被發現再次引起業界的擔心。媒體報道稱西門子漏洞產品在華深耕部分企業對隱患不知情。本專題將解剖StuxnetWorm病毒入侵過程，並提出解決措施。【詳細】

最新報道

事件背景

　　Stuxnet病毒被多國安全專家形容為全球首個“超級工廠病毒”，於2010年6月被發現曾造成伊朗核電站推遲發電。於9月進入中國，造成國內有近500萬網民及多個行業的企業遭其攻擊。
　　11月攻擊伊朗核電廠，鎖定水庫、油井、電廠等重要基礎設施。2011年5月，西門子公布了存在漏洞的自動化PLC SIMATICS7-1200。目前，這款小型PLC已經在國內應用於各個領域。

漏洞產品

SIMATICS7-1200可編程控製器是西門子公司推出的新一代PLC,作為S7-200的升級替代產品,它被定位在S7-200和S7-300之間。體積非常小，是工業自動化操作係統的核心，“代表了未來小型可編程控製器的發展方向”，應用領域十分廣泛。
　　為推廣該產品，2010年4月至6月，西門子自動化係統部在北京、哈爾濱、深圳等11個城市進行“互動體驗之旅”。2011年西門子又啟動了首屆有獎征文大賽。【詳細】

攻擊過程詳解

　　據西門子官網稱，目前全球共有 24 個ge工gong業ye領ling域yu的de西xi門men子zi客ke戶hu報bao告gao感gan染ran了le特te洛luo伊yi木mu馬ma病bing毒du。各ge種zhong情qing況kuang下xia惡e意yi軟ruan件jian都dou能neng被bei清qing除chu。所suo有you這zhe些xie感gan染ran都dou沒mei有you對dui自zi動dong化hua解jie決jue方fang案an造zao成cheng不bu利li影ying響xiang。對dui那na些xie和he被beiStuxnet視為目標類似的企業控製係統來說，這應該是一記警鍾。Stuxnet攻擊的“軟”目標皆未受到良好的防護。這些係統之所以未受到良好防護，是因為他們是位在網絡的“內部”，可能被認為其區域防護已足夠。網絡的安全性其實取決於其最弱的環節。有鑒於此，我們詳細解剖了該病毒是如何攻擊感染PLC的全過程。【 Stuxnet驅動分析】

Stuxnet會根據目標係統的特點，使用不同的代碼來感染PLC。一個感染的序列包括了許多PLC 模塊（代碼模塊和數據模塊），用以注入PLC來改變目標PLC 的行為。這個威脅包括了三個感染序列。其中兩個非常相似，功能也相同，我們將其命名為序列A和B。第三個序列我們命名為序列C。Stuxnet通過驗證“指紋”來判斷係統是否為計劃攻擊的目標。它會檢查： PLC種類/家族：隻有CPU 6ES7-417 和6ES7-315-2 會被感染。係統數據模塊：SDB 會被解析；根據他們包含的數據，感染進程會選擇A,B或其它感染方式開始行動。【全文閱讀】

運行環境
Windows 2000、Windows Server 2000
Windows XP、Windows Server 2003
Windows Vista
Windows 7、Windows Server 2008
當它發現自己運行在非Windows NT係列操作係統中，即刻退出
被攻擊的軟件係統包括：
SIMATIC WinCC 7.0
SIMATIC WinCC 6.2

解決方案

Tofino提出解決Stuxnet震網病毒的完美解決方案
“Stuxnet震網”病毒肆虐證明了我們的工業控製係統並非想象中的安全，黑客的針對目標也不僅僅是普通的民用網絡。 Stuxnet攻擊的複雜性以及協同的高級持續性威脅的殺傷力足以令包括工業網絡安全在內的所有公用事業企業膽戰心驚。
Stuxnet 攻擊凸顯出多芬諾為確保工業網絡安全所做出的一係列努力的重要性。多芬諾(Tofino)工業安全解決方案，是一個獨特的硬件和軟件安全係統，可以保護客戶的工業控製係統不會遭到Stuxnetdegongjiyupohuai。chuantongdefanghuoqiangbingfeizhuanweikongzhixitonghuogongyehuanjingersheji，zheyangjiuhuibayiqiegongchangshebeihexitongdoubaoluzairuchongbingdudeweixiezhixia，meinian，yinwangluogongjihezhuyaojichusheshibeibingdupohuaidailaidesunshigaodashushiyishenzhibaishuyimeiyuan，erduofennuoweikehutigongdushendingzuodefanghuoqiang, 可以為設備提供其獨有的區級安全保護，超越一般傳統的防火牆。【詳細】

西門子推薦的識別和清除 Stuxnet 病毒感染的過程
        由於Stuxnet針zhen對dui某mou個ge特te定ding的de工gong業ye生sheng產chan控kong製zhi係xi統tong進jin行xing攻gong擊ji，而er這zhe些xie行xing為wei不bu會hui在zai測ce試shi環huan境jing中zhong出chu現xian，因yin此ci在zai測ce試shi環huan境jing下xia觀guan察cha到dao的de病bing毒du行xing為wei不bu全quan麵mian，很hen可ke能neng產chan生sheng誤wu導dao。事shi實shi上shang，運yun行xing後hou，Stuxnet會立即嚐試進入一個可編程邏輯控製器(PLC) 的數據塊—DB890。這個數據塊其實是Stuxnet自己加的，並不屬於目標係統本身。Stuxnet 會監測並向這個模塊裏寫入數據，以根據情況和需求實時改變PLC的流程。
        建議檢查如下類型的計算機：嵌入式係統 (例如，Microbox)，其它計算機，如用於基礎服務的計算機 (文件服務器，域控製器，其它服務器...) 、安裝和未安裝 WinCC 的計算機，虛擬機 (例如：VMWARE 安裝) 按如下所述執行各種措施。
       重要信息
       在掃描 ZIP 文件前一定要做備份。應在掃描前解壓縮大於 1 MB 的 ZIP 文件，以確保可以掃描其包含的文件。【詳細】

分析報告

在傳統工業與信息技術的融合不斷加深、傳統工業體係的安全核心從物理安全向信息安全轉移的趨勢和背景下，此次Stuxnet 蠕蟲攻擊事件尤為值得深入思考。這是一次極為不同尋常的攻擊，其具體體現是：
傳統的惡意攻擊追求影響範圍的廣泛性，而這次攻擊極富目的性；傳統的攻擊大都利用通用軟件的漏洞，而這次攻擊則完全針對行業專用軟件；這次攻擊使用了多個全新的零日漏洞進行全方位攻擊，這是傳統攻擊難以企及的；這次攻擊通過恰當的漏洞順利滲透到內部專用網絡中，這也正是傳統攻擊的弱項；從時間、技術、手段、目的、攻擊行為等多方麵來看，完全可以認為發起此次攻擊的不是個人或者普通地下黑客組織。【詳細】

中國警惕

中國製造工業新危機部分企業對隱患不知情
西門子工業控製係統存在安全漏洞經過《每日經濟新聞》曝光後，引發廣泛關注。不過，記者采訪多位業內人士發現，不少企業並不了解西門子工業控製係統存在安全漏洞的情況。
如(ru)果(guo)真(zhen)的(de)有(you)潛(qian)在(zai)的(de)惡(e)意(yi)攻(gong)擊(ji)者(zhe)想(xiang)定(ding)點(dian)打(da)擊(ji)某(mou)些(xie)企(qi)業(ye)的(de)生(sheng)產(chan)，這(zhe)些(xie)忽(hu)視(shi)或(huo)者(zhe)沒(mei)有(you)意(yi)識(shi)到(dao)係(xi)統(tong)隱(yin)患(huan)的(de)企(qi)業(ye)，會(hui)更(geng)容(rong)易(yi)被(bei)攻(gong)陷(xian)。對(dui)自(zi)動(dong)化(hua)控(kong)製(zhi)存(cun)在(zai)的(de)漏(lou)洞(dong)了(le)解(jie)不(bu)多(duo)。企(qi)業(ye)風(feng)險(xian)意(yi)識(shi)待(dai)提(ti)升(sheng)。【詳細】】
“震網”打響工業係統呼喚自主技術
 無線技術：期待與IT技術深層融合

推薦工具