独家连载 | 零日漏洞:震网病毒全揭秘(24)
作者:星期四, 十月 15, 20150

640.webp

法里尔被攻击的复杂程度及其可怕的意图吓到了……震网的目的并非像人们之前想的那样,监听受PLC控制设备的运行数据,而是赤裸裸的破坏……

第八章 载荷(接上)

每当工程师要向PLC发送指令时,震网都会将自己的恶意指令和代码发送出去并执行。但是,它并未简单的将原始指令覆盖掉,而是增加了代码的长度,把自己的恶意代码放在的原始代码的前面。然后,为了确认被激活的是恶意代码而非原始代码,震网还在负责读取和执行指令的PLC上“嵌入”(hook)了一段核心代码。要将代码天衣无缝的注入到PLC中,同时又不会造成PLC失灵,需要非常丰富的知识和高超技巧。攻击者做的,实在太漂亮了。

攻击的第二部分更精彩。在震网的恶意指令运行之前,恶意代码会先耐心的在PLC上守候两周甚至更久的时间,专门做这件事——当控制器将运行数据发给监控台时,就把合法操作对应的正常值记录下来。之后,当震网的恶意指令开始执行时,程序就会把之前记录下来的正常值“重放”给操作人员,让他们无法知道机器中的任何差错。这简直跟好莱坞警匪片中,窃贼将循环播放的录像插入监控摄像头硬盘中一样。当震网侵入PLC时,它还通过修改PLC安全系统中一个名为OB35的代码段,废掉了PLC的自动数字警报系统,以防止安全系统发现设备面临危险时,停止受PLC控制的工作进程。这段代码的功能,是监控受PLC控制的涡轮的转速等关键操作数据。PLC每100毫秒就会生成这样一段代码,以便让安全系统能在涡轮失控或出现其它问题的第一时间发现并介入,从而让系统(自动)或操作人员及时关机、停车。震网一来,安全系统只能看到被震网修改过的正常数据,再也没机会发现危险情况并介入其中了。

攻击并未到此结束。如果程序员发现受PLC控制的涡轮或其他设备出了问题,要去看看PLC的指令中看有没有程序错误,震网就会对此进行干涉,并阻止其看到恶意代码。它是怎么做到的呢?原来,震网会拦截所有读取PLC代码段的请求,并向其提供减去恶意代码段的“清洁版”代码。如果某个试图解决问题的程序员要用新代码覆盖旧代码,震网同样会介入,并将恶意指令注入其中。就算有人把PLC程序更新100次,震网也会把新代码反复感染100次。

法里尔被攻击的复杂程度及其可怕的意图吓到了。真相已经水落石出,震网的目的并非像人们之前想的那样,是监听受PLC控制设备的运行数据。它将指令注入PLC并将其隐蔽起来,同时关闭报警系统,根本不是什么间谍行为,而是赤裸裸的破坏!

而且,这不是一个简单的“拒绝服务”类攻击。攻击者并不是要把PLC关闭,而是要在保留其正常功能的同时,从物理上破坏受PLC控制的工业进程和设备。这是法里尔第一次看到数字代码不是用来改写或盗取数据,而是从物理上破坏受程序控制的实体。

震网做的事情,简直就是好莱坞大片的套路。这个大片,请布鲁斯·威利斯当男猪脚再合适不过了。三年前,一部名叫《虎胆龙威4:虚拟危机》(Live Free or Die Hard)的电影中,曾上演过与之类似的桥段,其中带着些许好莱坞特有的傲娇和创造力。在这部电影中,由一个对政府不满的前官员带着一帮网络恐怖分子,精心策划并发动了一系列连环网络攻击:攻击证交所造成恐慌抛售、攻击交通信号造成交通混乱、攻击电网造成大范围停电……通过这些攻击分散当局的注意力,从而实现他们的真正目标——从政府金库中盗取大笔美元,并引发终极大爆炸。

640.webp (33)

电影海报上的布鲁斯·威利斯

但是,这些电影情节甫一放映,就有计算机安全人士宣称这是纯属虚构。黑客通过网络关闭一两个关键系统还有可能,但是爆炸?别逗了。《虎胆龙威》中大部分爆炸都是通过物理手段而非通过网络攻击实现的。但是,震网的存在似乎又在证明,这并非不可能。震网代码中所蕴藏的技术、手段和智慧之丰富,远远超出了法里尔的见闻和预期。

虽然规模庞大、成就斐然,赛门铁克终究还是一家充满技术气质的公司,以保护客户的安全为己任。15年来,这家公司打败过的“对手”,既有屌炸天的黑客和网络犯罪分子,又有以猎取机构与政府情报的官方间谍。他们水平和特点各异,都算得上强大的对手,但没有谁会想去对目标进行物理层面的破坏。而且多年来,恶意代码的进化是渐进的。在90年代,恶意代码制作者的动机非常相似,虽然有一些确实具有微弱的破坏性,但恶意代码制作者的主要目的就是出名。那时,典型的病毒所追求的是张扬的、恶作剧式的效果。后来,当电子商务在互联网上生根发芽后,黑客行为进入了以金融犯罪为主要特征的阶段。病毒制作者的目的不再是吸引眼球,而是使出浑身解数让病毒在目标系统中藏得越久越好,以供他们盗取大量信用卡卡号和银行账户密码等值钱的信息。最近,随着官方情报部门的加入,在目标网络中潜伏数月至数年、旨在不间断获取国家机密和其他敏感信息的高风险间谍活动开始出现。

但震网显然走的更远。可以说,它的出现,是病毒进化过程中的一次“基因突变”。法里尔和他的同事们之前所检测过的所有恶意代码,包括以信用卡中心服务器和国防部绝密情报为目标的顶级作品,与之相比都相形见绌。震网的出现,创造了一个网络攻击的全新领域,在这个领域中,赌注更大、风险更大、回报也更大。(待续)

译者:李云凡

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章