震网病毒的秘密.pdfVIP

深度：震网病毒的秘密 引子： 看到 litdg 翻译的《震网的秘密兄弟（一）》，感觉有些地方跟我想象的不一样，所以在 litdg 兄的基础上就 行了更新，我是搞工业自动化的，恰巧阴差阳错的跟信息安全有了些交集，所以以 ICS （工业控制系统）的视角， 来阐述我对原文的理解。 真正用来破坏伊朗核设施的震网病毒，其复杂程度超出了所有人的预料。 作为第一个被发现的网络攻击武器，震网病毒在被发现后三年来仍然困扰着军事战略家、信息安全专家、政治 决策者和广大公众。围绕震网病毒的分析主要有： （1 ）它是如何攻击位于 Natanz 的伊朗核设施的？ （2 ）它是如何隐藏自己的？ （3 ）它是如何违背开发者的期望并扩散到 Natanz 之外的？但是这些分析的主要内容要么是错误的要么是不完整 的。 因为，震网病毒并不是一个而是一对。大家的注意力全都关注着震网病毒的“简单功能”，即该功能用来改变 铀浓缩的离心机转速，而另外一个被忽视的功能是却是更加的复杂和隐秘的。这一“复杂功能”对于了解 ICS （IndustrialControl System 的简称）信息安全的人来说简直是梦魇，奇怪的是“复杂功能”竟然先于“简单功 能”出现。“简单功能”在几年后才出现，不久即被发现。 随着伊朗的核计划成为世界舆论的中心，这有利于我们更清晰的了解通过程序来尝试破坏其核计划。震网病毒 对于伊朗核计划的真实影响并不确定，因为到底有多少控制器真正的被感染，并不清楚，没有这方面的消息。但是 不管怎样，通过深入的分析我们可以知道攻击者的意图、以及如何实现意图。我在过去的三年里对震网病毒进行分 析，不但分析其计算机代码，还有被攻击工厂中采用的硬件设备以及核工厂的操作流程。我的发现如下全景图所示， 它包含震网病毒的第一个不为人知的变种（“复杂功能”），这一变种需要我们重新评估其攻击。事实上这一变种 要比公众所认知的网络武器危险的多。 2007 年有人在计算机信息安全网站VirusTotal 上提交了一段代码，后来被证实是震网病毒的第一个 变种（“复杂功能”），至少是我们已知的第一个。对于第一个震网病毒变种，在五年后（2012）大 家基于震网病毒的第二个变种（“简单功能”）的了解基础上，才意识到这是震网病毒。如果没有后 来的“简单功能”版本，老的震网病毒（“复杂功能”）可能至今沉睡在反病毒研究者的档案中，并 且不会被认定为历史上最具攻击性的病毒之一。 今天，我们已经知道，拥有“复杂功能”的震网病毒包含一个 payload ，该payload 可以严重的干扰位于 Natanz 的铀浓缩工厂中的离心机保护系统。 后来的震网病毒，被大家熟知的那个“简单功能”版，控制离心机的转速，通过提高其转速而起到破坏离心机 的效果。老版本的震网病毒（“复杂功能”）其 Payload 采用了不同的策略，它用来破坏用于保护离心机的 Safe 系统。 译者注：工控系统中通常会部署Safe 系统，当现场的控制器和执行器出现异常的时候，该Safe 系统 会运行，紧急停车防止事故发生。而本文论述的震网病毒“复杂功能”版，将Safe 系统也攻陷了。 震网病毒的“简单功能”版在没有“复杂功能”的配合下是不能够损坏离心机的，因为离心机的转速 不正常的情况下，Safe 系统就会工作，会停止离心机的运转，这样伊朗的技术人员能够迅速的发现 震网病毒。只有Safe 系统也被破坏的情况下，震网病毒的“简单功能”才能够随意的控制离心机的 转速。当然伊朗的Safe 系统与工业现场的传统意义上的Safe 系统有所不同，该Safe 系统可以说是 辅助系统，因为其离心机质量不过关，必须通过该Safe 系统保证整体系统的正常运转。工业现场中 很重要的一点是连续长时间的稳定运行。 Safe 系统通常部署在发生异常的条件下，可能导致设备毁坏或生命财产损失的地方。在 Natanz ，我们看见一 个特殊的安全保护系统，通过它的部署可以使得过时且不可靠的离心机型号“IR-1”持续的运转。安全保护系统是 伊朗核计划的关键组成部分，如果没有它，离心机 IR-1 几乎无用。 IR-1 离心机是伊朗铀浓缩的根基。它可以追溯到从 20 世纪 60 年代末由欧洲设计，70 年代初被窃取，并被 巴基斯坦的核贩子A.Q.Khan 稍稍改进。全金属设计的IR-1 是可以稳定的运行的，前提是其零件的制造具有一定 精度，并且关键组件例如高质量频率转换器和恒力矩驱动质量很高。但是伊朗人并未设法从过时的设计中获取更高 的可靠性。因此他们不得不降级离心机的运行压力在 Natanz 工厂。较低的运行压