很少有恶意软件在斯肯纳特人中获得了同样的全球关注 - 电脑蠕虫用作网络武器,以攻击伊朗在纳塔尼茨的铀浓缩机构。

甚至几年,在发现之后,闪耀着攻击范围的新细节,继续涌现。

一个文章和白皮书(T.o杀死离心机)由Ralph Langner发布上周的意图将录制直接设置并纠正对Stuxnet的一些误解。

事实上,我们已经知道今年早些时候在赛门铁克出版了他们的报告之前的先前版本的STUXNET版本stuxnet 0.5:缺失的链接

但是,Langner的分析如此值得的是他的背景和关于工业系统的知识,特别是他花了几年的事实,研究了Natanz的核电站的特殊性。

STUXNET由来自白俄罗斯的小型防病毒公司(更具体地)于2010年6月遍布谢谢ulasen.谁现在为卡巴斯基工作)。这是将离心者旋转的版本比他们应该更快,从而导致早期失败,驾驶伊朗工程师疯狂寻找原因。

STUXNET版本的版本非常复杂,广泛接受,由一个具有网络能力的国家(如美国和以色列)创建。然而,它也很吵,因此长期没有未被发现。

早期版本,具有完全不同的感染矢量和有效载荷几乎未被发现,如果它不适用于在多个防病毒发动机扫描仪Virustotal上发现的样本,则显示它自至少2007年以来已经活跃。

这个早期的Stuxnet没有使用那些花哨的零天来感染它的目标,而是利用了一个漏洞在西门子的SIMATIC STEP 7 DLL中。

一旦活跃,它就达到了很大的长度,通过重播监控屏幕上的“正常”事件的预先记录的“正常”事件来保持未被发现。

Photodune-5403397-Controller-In-Electron-Station-L

与转子速度攻击不同,这种变体的方法是通过操纵隔离和排气阀来引起压力,以使转子对转子产生太大的压力,迫使它们进入早期退休。

Langner的论文证实了攻击者的身份,但他介绍了他的实际动机可能会让一些人感到惊讶。据他介绍,能力在那里造成巨大的伤害,而是攻击者非常注意,至少不是这样的方式。

Stuxnet符合有史以来最具侵略性的网络物理攻击,也许最误解了一体化。例如,STUXNET通过使用Internet没有“逃离”Natanz设施。相反,它通过网络股票繁殖,由于不知名的承包商,通过网络股票宣传,这是最终从伊朗走出来的。

Langner对抗防病毒供应商和其他防御技术(如入侵检测系统)具有非常关键的立场。

没有特定签名,原始的Stuxnet蠕虫可能永远不会被发现。刚刚发生的是,第二个版本足够邋,可以在其源代码中包含其前身的例程,最终导致Virustotal.com的记录中找到的匹配。

最后,Langner通过对网络冒犯和网络境内发表良好的观点来了解难以捍卫网络攻击。前者可以通过赋予预算的典型军事协议来实现。后者更困难

“关键国家基础设施的网络防守预计将由分散的私营部门自愿实施,这些部门感觉很少愿意通过对底线产生负面影响的不良风险管理练习来解决国家安全问题,”Langner表示。

对于那些对网络战和恶意代码感兴趣的人,我强烈推荐阅读这个白皮书

_________________________________________________________________

杰姆segura(@jeromesegura.)是Malwarebytes的高级安全研究员。必威平台APP