对Stuxnet蠕虫攻击工业控制系统事件..

第1章 事件背景

    近日，国内外多家媒体相继报道了Stuxnet蠕虫对西门子公司的数据采集与监控系统SIMATIC WinCC进行攻击的事件，称其为“超级病毒”、“超级工厂病毒”，并形容成“超级武器”、“潘多拉的魔盒”。

    Stuxnet蠕虫（俗称“震网”、“双子”）在今年7月开始爆发。它利用了微软操作系统中至少4个漏洞，其中有3个全新的零日漏洞；伪造驱动程序的数字签名；通过一套完整的入侵和传播流程，突破工业专用局域网的物理限制；利用WinCC系统的2个漏洞，对其开展破坏性攻击。它是第一个直接破坏现实世界中工业基础设施的恶意代码。据赛门铁克公司的统计，目前全球已有约45000个网络被该蠕虫感染，其中60%的受害主机位于伊朗境内。伊朗政府已经确认该国的布什尔核电站遭到Stuxnet蠕虫的攻击。

    安天实验室于7月15日捕获到Stuxnet蠕虫的第一个变种，在第一时间展开分析，发布了分析报告及防范措施，并对其持续跟踪。截止至本报告发布，安天已经累计捕获13个变种、 600多个不同哈希值的样本实体。

第2章 样本典型行为分析

2.1 运行环境

Stuxnet蠕虫在以下操作系统中可以激活运行：

· Windows 2000、Windows Server 2000

· Windows XP、Windows Server 2003

· Windows Vista

· Windows 7、Windows Server 2008

当它发现自己运行在非Windows NT系列操作系统中，即刻退出。

被攻击的软件系统包括：

· SIMATIC WinCC 7.0

· SIMATIC WinCC 6.2

但不排除其他版本存在这一问题的可能。

2.2 本地行为

样本被激活后，典型的运行流程如图1 所示。
样本首先判断当前操作系统类型，如果是Windows 9X/ME，就直接退出。
接下来加载一个主要的DLL模块，后续的行为都将在这个DLL中进行。为了躲避查杀，样本并不将DLL模块释放为磁盘文件然后加载，而是直接拷贝到内存中，然后模拟DLL的加载过程。
具体而言，样本先申请足够的内存空间，然后Hook ntdll.dll导出的6个系统函数：

ZwMapViewOfSection

ZwCreateSection

ZwOpenFile

ZwClose

ZwQueryAttributesFile

ZwQuerySection

为此，样本先修改ntdll.dll文件内存映像中PE头的保护属性，然后将偏移0x40处的无用数据改写为跳转代码，用以实现hook。

进而，样本就可以使用ZwCreateSection在内存空间中创建一个新的PE节，并将要加载的DLL模块拷贝到其中，最后使用LoadLibraryW来获取模块句柄。

图1 样本的典型运行流程

此后，样本跳转到被加载的DLL中执行，衍生下列文件：

1. %System32%\drivers\mrxcls.sys
2. %System32%\drivers\mrxnet.sys
3. %Windir%\inf\oem7A.PNF
4. %Windir%\inf\mdmeric3.PNF
5. %Windir%\inf\mdmcpq3.PNF
6. %Windir%\inf\oem6C.PNF

其中有两个驱动程序mrxcls.sys和mrxnet.sys，分别被注册成名为MRXCLS和MRXNET的系统服务，实现开机自启动。这两个驱动程序都使用了Rootkit技术，并有数字签名。

mrxcls.sys负责查找主机中安装的WinCC系统，并进行攻击。具体地说，它监控系统进程的镜像加载操作，将存储在%Windir%\inf\oem7A.PNF中的一个模块注入到services.exe、S7tgtopx.exe、CCProjectMgr.exe三个进程中，后两者是WinCC系统运行时的进程。

mrxnet.sys通过修改一些内核调用来隐藏被拷贝到U盘的lnk文件和DLL文件（图2 ）。

图2   驱动程序隐藏某些lnk文件

图3 样本的多种传播方式

2.3 传播方式

Stuxnet蠕虫的攻击目标是SIMATIC WinCC软件。后者主要用于工业控制系统的数据采集与监控，一般部署在专用的内部局域网中，并与外部互联网实行物理上的隔离。为了实现攻击，Stuxnet蠕虫采取多种手段进行渗透和传播，如图3所示。

整体的传播思路是：首先感染外部主机；然后感染U盘，利用快捷方式文件解析漏洞，传播到内部网络；在内网中，通过快捷方式解析漏洞、RPC远程执行漏洞、打印机后台程序服务漏洞，实现联网主机之间的传播；最后抵达安装了WinCC软件的主机，展开攻击。

    这个漏洞利用Windows在解析快捷方式文件（例如.lnk文件）时的系统机制缺陷，使系统加载攻击者指定的DLL文件，从而触发攻击行为。具体而言，Windows在显示快捷方式文件时，会根据文件中的信息寻找它所需的图标资源，并将其作为文件的图标展现给用户。如果图标资源在一个DLL文件中，系统就会加载这个DLL文件。攻击者可以构造这样一个快捷方式文件，使系统加载指定的DLL文件，从而执行其中的恶意代码。快捷方式文件的显示是系统自动执行，无需用户交互，因此漏洞的利用效果很好。

图4 查找U盘

拷贝到U盘的DLL文件有两个：~wtr4132.tmp和~wtr4141.tmp。后者Hook了kernel32.dll和ntdll.dll中的下列导出函数：

1. FindFirstFileW
2. FindNextFileW
3. FindFirstFileExW
4. NtQueryDirectoryFile
5. ZwQueryDirectoryFile

实现对U盘中lnk文件和DLL文件的隐藏。因此，Stuxnet一共使用了两种措施（内核态驱动程序、用户态Hook API）来实现对U盘文件的隐藏，使攻击过程很难被用户发觉，也能一定程度上躲避杀毒软件的扫描。

图5 拷贝文件到U盘

2. RPC远程执行漏洞（MS08-067）与提升权限漏洞 

    这是2008年爆发的最严重的一个微软操作系统漏洞，具有利用简单、波及范围广、危害程度高等特点。

图6 发动RPC攻击

具体而言，存在此漏洞的系统收到精心构造的RPC请求时，可能允许远程执行代码。在Windows 2000、Windows XP和Windows Server 2003系统中，利用这一漏洞，攻击者可以通过恶意构造的网络包直接发起攻击，无需通过认证地运行任意代码，并且获取完整的权限。因此该漏洞常被蠕虫用于大规模的传播和攻击。
Stuxnet蠕虫利用这个漏洞实现在内部局域网中的传播（图6）。利用这一漏洞时，如果权限不够导致失败，还会使用一个尚未公开的漏洞来提升自身权限（图1），然后再次尝试攻击。截止本报告发布，微软尚未给出该提权漏洞的解决方案。

这是一个零日漏洞，首先发现于Stuxnet蠕虫中。
Windows打印后台程序没有合理地设置用户权限。攻击者可以通过提交精心构造的打印请求，将文件发送到暴露了打印后台程序接口的主机的%System32%目录中。成功利用这个漏洞可以以系统权限执行任意代码，从而实现传播和攻击。

图7 利用打印服务漏洞

Stuxnet蠕虫利用这个漏洞实现在内部局域网中的传播。如图7所示，它向目标主机发送两个文件：winsta.exe、sysnullevnt.mof。后者是微软的一种托管对象格式（MOF）文件，在一些特定事件驱动下，它将驱使winsta.exe被执行。

2.4 攻击行为

Stuxnet蠕虫查询两个注册表键来判断主机中是否安装WinCC系统（图8）：
 HKLM\SOFTWARE\SIEMENS\WinCC\Setup
 HKLM\SOFTWARE\SIEMENS\STEP7

图8 查询注册表，判断是否安装WinCC

一旦发现WinCC系统，就利用其中的两个漏洞展开攻击：
一是WinCC系统中存在一个硬编码漏洞，保存了访问数据库的默认账户名和密码，Stuxnet利用这一漏洞尝试访问该系统的SQL数据库（图9）。
二是在WinCC需要使用的Step7工程中，在打开工程文件时，存在DLL加载策略上的缺陷，从而导致一种类似于“DLL预加载攻击”的利用方式。最终，Stuxnet通过替换Step7软件中的s7otbxdx.dll，实现对一些查询、读取函数的Hook。

图9 查询WinCC的数据库

2.5 样本文件的衍生关系
本节综合介绍样本在上述复制、传播、攻击过程中，各文件的衍生关系。
如图10所示。样本的来源有多种可能。
对原始样本、通过RPC漏洞或打印服务漏洞传播的样本，都是exe文件，它在自己的.stud节中隐形加载模块，名为“kernel32.dll.aslr.<随机数字>.dll”。
对U盘传播的样本，当系统显示快捷方式文件时触发漏洞，加载~wtr4141.tmp文件，后者加载一个名为“shell32.dll.aslr.<随机数字>.dll”的模块，这个模块将另一个文件~wtr4132.tmp加载为“kernel32.dll.aslr.<随机数字>.dll”。

图10 样本文件衍生的关系

模块“kernel32.dll.aslr.<随机数字>.dll”将启动后续的大部分操作，它导出了22个函数来完成恶意代码的主要功能；在其资源节中，包含了一些要衍生的文件，它们以加密的形式被保存。
其中，第16号导出函数用于衍生本地文件，包括资源编号201的mrxcls.sys和编号242的mrxnet.sys两个驱动程序，以及4个.pnf文件。
第17号导出函数用于攻击WinCC系统的第二个漏洞，它释放一个s7otbxdx.dll，而将WinCC系统中的同名文件修改为s7otbxsx.dll，并对这个文件的导出函数进行一次封装，从而实现Hook。
第19号导出函数负责利用快捷方式解析漏洞进行传播。它释放多个lnk文件和两个扩展名为tmp的文件。
第22号导出函数负责利用RPC漏洞和打印服务漏洞进行传播。它释放的文件中，资源编号221的文件用于RPC攻击、编号222的文件用于打印服务攻击、编号250的文件用于提权。

第3章 解决方案与安全建议

3.1 抵御本次攻击

西门子公司对此次攻击事件给出了一个解决方案，链接地址见附录。下面根据我们的分析结果，给出更具体的措施。

1.使用相关专杀工具或手工清除Stuxnet蠕虫

手工清除的步骤为：
1. 使用Atool管理工具，结束系统中的父进程不是winlogon.exe的所有lsass.exe进程；
2. 强行删除下列衍生文件：
 %System32%\drivers\mrxcls.sys
 %System32%\drivers\mrxnet.sys
 %Windir%\inf\oem7A.PNF
 %Windir%\inf\mdmeric3.PNF
 %Windir%\inf\mdmcpq3.PNF
 %Windir%\inf\oem6C.PNF
3. 删除下列注册表项：
 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxCls
 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxNET

安装微软提供的下列补丁文件：
RPC远程执行漏洞（MS08-067）
快捷方式文件解析漏洞（MS10-046）
打印机后台程序服务漏洞（MS10-061）
此外，需要注意还有一个尚未修补的提升权限（EoP）漏洞，以及微软随后发现的另一个类似漏洞。用户需对这两个漏洞的修补情况保持关注。

安装西门子发布的WinCC系统安全更新补丁，地址见附录。

3.2 安全建议

此次攻击事件凸显了两个问题：
1、 即便是物理隔离的专用局域网，也并非牢不可破；
2、 专用的软件系统，包括工业控制系统，也有可能被攻击。
因此，我们对有关部门和企业提出下列安全建议：
加强主机（尤其是内网主机）的安全防范，即便是物理隔离的计算机也要及时更新操作系统补丁，建立完善的安全策略；
安装安全防护软件，包括反病毒软件和防火墙，并及时更新病毒数据库；
建立软件安全意识，对企业中的核心计算机，随时跟踪所用软件的安全问题，及时更新存在漏洞的软件；
进一步加强企业内网安全建设，尤其重视网络服务的安全性，关闭主机中不必要的网络服务端口；
所有软件和网络服务均不启用弱口令和默认口令；
加强对可移动存储设备的安全管理，关闭计算机的自动播放功能，使用可移动设备前先进行病毒扫描，为移动设备建立病毒免疫，使用硬件式U盘病毒查杀工具。

第4章 攻击事件的特点

相比以往的安全事件，此次攻击呈现出许多新的手段和特点，值得我们特别关注。

4.1 专门攻击工业系统

Stuxnet蠕虫的攻击目标直指西门子公司的SIMATIC WinCC系统。这是一款数据采集与监视控制（SCADA）系统，被广泛用于钢铁、汽车、电力、运输、水利、化工、石油等核心工业领域，特别是国家基础设施工程；它运行于Windows平台，常被部署在与外界隔离的专用局域网中。

一般情况下，蠕虫的攻击价值在于其传播范围的广阔性、攻击目标的普遍性。此次攻击与此截然相反，最终目标既不在开放主机之上，也不是通用软件。无论是要渗透到内部网络，还是挖掘大型专用软件的漏洞，都非寻常攻击所能做到。这也表明攻击的意图十分明确，是一次精心谋划的攻击。

4.2 利用多个零日漏洞

Stuxnet蠕虫利用了微软操作系统的下列漏洞：
1. RPC远程执行漏洞（MS08-067）
2. 快捷方式文件解析漏洞（MS10-046）
3. 打印机后台程序服务漏洞（MS10-061）
4. 尚未公开的一个提升权限漏洞
后三个漏洞都是在Stuxnet中首次被使用，是真正的零日漏洞。如此大规模的使用多种零日漏洞，并不多见。
这些漏洞并非随意挑选。从蠕虫的传播方式来看，每一种漏洞都发挥了独特的作用。比如基于自动播放功的U盘病毒被绝大部分杀毒软件防御的现状下，就使用快捷方式漏洞实现U盘传播。
另一方面，在安天捕获的样本中，有一部分实体的时间戳是今年3月。这意味着至少在3月份，上述零日漏洞就已经被攻击者掌握。但直到7月份大规模爆发，漏洞才首次披露出来。这期间要控制漏洞不泄露，有一定难度。

4.3 使用数字签名

Stuxnet在运行后，释放两个驱动文件：
 %System32%\drivers\mrxcls.sys
 %System32%\drivers\mrxnet.sys
这两个驱动文件伪装RealTek的数字签名（图7）以躲避杀毒软件的查杀。目前，这一签名的数字证书已经被颁发机构吊销，无法再通过在线验证，但目前反病毒产品大多使用静态方法判定可执行文件是否带有数字签名，因此有可能被欺骗。

图11 Stuxnet伪造的数字签名

4.4 明确的攻击目标

根据赛门铁克公司的统计，7月份，伊朗感染Stuxnet蠕虫的主机只占25%，到9月下旬，这一比例达到60%。

第5章 综合评价

5.1 工业系统安全将面临严峻挑战
在我国，WinCC已被广泛应用于很多重要行业，一旦受到攻击，可能造成相关企业的设施运行异常，甚至造成商业资料失窃、停工停产等严重事故。
对于Stuxnet蠕虫的出现，我们并未感到十分意外。早在去年，安天就接受用户委托，对化工行业仪表的安全性展开过研究，情况不容乐观。
工业控制网络，包括工业以太网，以及现场总线控制系统早已在工业企业中应用多年，目前在电力、钢铁、化工等大型重化工业企业中，工业以太网、DCS（集散控制系统）、现场总线等技术早已渗透到控制系统的方方面面。工业控制网络的核心现在都是工控PC，大多数同样基于Windows-Intel平台，工业以太网与民用以太网在技术上并无本质差异，现场总线技术更是将单片机/嵌入式系统应用到了每一个控制仪表上。工业控制网络除了可能遭到与攻击民用/商用网络手段相同的攻击，例如通过局域网传播的恶意代码之外，还可能遭到针对现场总线的专门攻击，不可轻视。
针对民用/商用计算机和网络的攻击，目前多以获取经济利益为主要目标，但针对工业控制网络和现场总线的攻击，可能破坏企业重要装置和设备的正常测控，由此引起的后果可能是灾难性的。以化工行业为例，针对工业控制网络的攻击可能破坏反应器的正常温度/压力测控，导致反应器超温/超压，最终就会导致冲料、起火甚至爆炸等灾难性事故，还可能造成次生灾害和人道主义灾难。因此，这种袭击工业网络的恶意代码一般带有信息武器的性质，目标是对重要工业企业的正常生产进行干扰甚至严重破坏，其背景一般不是个人或者普通地下黑客组织。
目前，工业以太网和现场总线标准均为公开标准，熟悉工控系统的程序员开发针对性的恶意攻击代码并不存在很高的技术门槛。因此，对下列可能的工业网络安全薄弱点进行增强和防护是十分必要的：
1、 基于Windows-Intel平台的工控PC和工业以太网，可能遭到与攻击民用/商用PC和网络手段相同的攻击，例如通过U盘传播恶意代码和网络蠕虫，这次的Stuxnet病毒就是一个典型的例子。
2、 DCS和现场总线控制系统中的组态软件（测控软件的核心），目前其产品，特别是行业产品被少数公司所垄断，例如电力行业常用的西门子SIMATIC WinCC，石化行业常用的浙大中控等。针对组态软件的攻击会从根本上破坏测控体系，Stuxnet病毒的攻击目标正是WinCC系统。
3、 基于RS-485总线以及光纤物理层的现场总线，例如PROFIBUS和MODBUS（串行链路协议），其安全性相对较好；但短程无线网络，特别是不使用Zigbee等通用短程无线协议（有一定的安全性），而使用自定义专用协议的短程无线通信测控仪表，安全性较差。特别是国内一些小企业生产的“无线传感器”等测控仪表，其无线通信部分采用通用2.4GHz短程无线通信芯片，连基本的加密通信都没有使用，可以说毫无安全性可言，极易遭到窃听和攻击，如果使用，将成为现场总线中极易被攻击的薄弱点。
工业控制网络通常是独立网络，相对民用/商用网络而言，数据传输量相对较少，但对其实时性和可靠性的要求却很高，因而出现问题的后果相当严重。
传统工业网络的安全相对信息网络来说，一直是凭借内网隔离，而疏于防范。因此，针对工业系统的安全检查和防范加固迫在眉睫。
5.2 展望和思考
在传统工业与信息技术的融合不断加深、传统工业体系的安全核心从物理安全向信息安全转移的趋势和背景下，此次Stuxnet蠕虫攻击事件尤为值得我们进一步思考。
这是一次极为不同寻常的攻击，其具体体现是：
 传统的恶意代码追求影响范围的广泛性，而这次攻击极富目的性；
 传统的攻击大都利用通用软件的漏洞，而这次攻击则完全针对行业专用软件；
 这次攻击使用了多个全新的零日漏洞进行全方位攻击，这是传统攻击难以企及的；
 这次攻击通过恰当的漏洞顺利渗透到内部专用网络中，这也正是传统攻击的弱项；
从时间、技术、手段、目的、攻击行为等多方面来看，完全可以认为发起此次攻击的不是一般的攻击者或组织。
因此，这次攻击中所采用的多个新漏洞和传播手段，将在接下来很长一段时间内给新的攻击提供最直接的动力。而更大的影响是，事件中显露出来的攻击思路和攻击视野会带来长久的示范效应。它给攻击者、安全研究人员、企业管理者带来的更多是一种安全观念和安全意识上的冲击。一些传统的认识已经略显陈旧，谁能在这一次观念和意识赛跑中认识得更清、看得更远，谁就能在未来一段时间内保持优势。
至少有以下两种新的攻击趋势值得特别关注：
1、 针对行业专用软件的漏洞挖掘和攻击，特别是上升到国家战略层面的关键行业和敏感行业。安天实验室在今年年初发布的《多家企业网络入侵事件传言的同源木马样本分析报告》中就明确指出：“目前的漏洞分析挖掘的注意点已经不集中于主流厂商，而开始普遍扩散”。另一方面，这些攻击虽然针对软件，但并不一定是利用软件本身的缺陷，安全是一个全方位的问题，攻击可能来自于任何一个角度。
2、 针对企业内部网络，特别是物理隔离的内部专用网络的攻击。这类网络具有较高的安全要求，也更具攻击价值。一般通过U盘等可移动存储设备渗入这类网络的方法是感染式病毒、欺骗、自动播放（Autorun.inf）等。本次出现的快捷方式文件解析漏洞，为此类攻击提供了一种更有效的方法。此外，这种内部网络也将因为本次事件而被攻击者关注和研究，不能排除出现新的攻击方式的可能。
基于上述认识，建议有关部门和企业以此次攻击事件为鉴，进一步加强信息网络和计算机设备的安全管理、制定完善的安全管理方案、形成合理的安全策略、提高安全意识，与安全厂商一同构建坚实的防线，抵御安全威胁。
作为安全厂商，安天呼吁各兄弟厂商一起共建良好的行业环境，不断促进安全技术的良性发展。同时，安天也期盼公众和用户能够对信息安全给予更多的关注。安天坚信保障公众和社会的安全是一家安全厂商义不容辞的使命，但在现阶段仅靠厂商的力量尚不足以解决目前的所有问题。只有各方齐心协力，才能迎来一个更加美好的世界。

 出处： 安天实验室安全研究与应急处理中心（Antiy CERT）