Stuxnet前传：网络战争病毒“震网”身世解密

就在本周伊朗与联合国安理会在哈萨克斯坦就伊朗核问题展开讨论时，网络安全研究人员宣布新发现了“震网”（Stuxnet）病毒的一个变种。 一直以来，“震网”病毒被认为是以色列和美国在几年前研制出用来破坏伊朗核计划的秘密网络战争武器。而新发现的变种， 比用来实施对伊朗的铀浓缩离心机攻击的变种要更早，这个发现， 有助于人们对“震网”这种网络战争武器有进一步的了解。

根据赛门铁克的分析，这个变种所针对铀浓缩离心机的攻击， 与2010年发现的变种所实施的攻击有所不同。 这个新发现的变种在2007年就已经发布了。 这样看来， “震网”病毒的出现比人们原来认为的要早得多。 而用来对病毒进行远程控制的服务器则早在2005年11月3日就已经注册了。

前传：从攻击阀门到攻击离心机

和2009年与2010年发布的后来3个变种一样，这个病毒变种也是被设计来攻击伊朗位于纳坦兹的铀浓缩工厂的西门子工控机。

不过，和后来3个变种不同的是， 这个变种不是通过改变离心机的转速来达到攻击的目的， 而是通过破坏控制六氟化铀气体通过离心机以及级联系统（可以使气体在铀浓缩过程中通过多个离心机的链接系统）的阀门来实现的。这个病毒的目的是通过伪造气体通过的信息， 使得离心机和级联系统内的气压升高到正常运营水平的5倍。

赛门铁克的研究经理Liam O’Murchu说：“这将可能导致核工厂产生严重的后果。 因为一旦气压升高，可能导致气体转为固态。 从而导致离心机的各种不平衡状态或者损坏离心机。”

赛门铁克2月26号发布的关于这个新变种的白皮书， 解释了人们以前的一个疑惑， 就是在2009年和2010年发现的变种里面有一段不完整的， 而且被攻击者禁用的攻击代码。

在2009和2010版本的“震网“变种中， 包括了两段代码， 分别攻击西门子型号为S7-315 和 S7-417 的工控机。 而在这些变种里， 只有攻击S7-315的代码是可执行的。 攻击S7-417的代码被攻击者有意禁用了。而且其中可能让研究人员分析出代码具体的攻击方式的代码也被拿掉了。 因此， 病毒研究人员一直猜测这段代码是用来破坏阀门的， 但是始终无法确定它是如何进行破坏的。而且， 研究人员也一直不明白为什么这段攻击代码会被禁用， 是因为攻击者代码没有完成还是别的什么原因。

而在新发现的这个2007年的变种里， 很清楚的表明， 攻击S7-417的代码曾经是完整的，非禁用状态的。 而2007年的变种只包括了攻击S7-417的代码，没有任何攻击S7-315的代码。

如此看来， 攻击者禁用了攻击S7-417的代码的原因，很可能是他们准备改变攻击策略， 把原来针对阀门的攻击方式改变成破坏离心机转速。

赛门铁克是在几个月前对病毒数据库进行常规搜索和已知病毒模式匹配时发现这个2007年的变种的。 尽管这个变种最近才刚刚发现， 实际上它已经至少从2007年11月15日起就开始存在了。 有人当时曾经把它上传到免费在线病毒扫描网站VirusTotal去进行分析。 VirusTotal是一个免费的病毒扫描网站供研究人员上传可疑文件以判断是否具备已知病毒的特征值。目前不清楚是谁在哪个国家上传的病毒样本。 不过赛门铁克相信这个2007年的变种传播范围很窄， 很可能仅仅感染了伊朗境内的计算机。

初刻：震网0.5

之前人们发现的最早的“震网”病毒是2009年的变种以及2010年3月和2010年4月的两个变种。 根据攻击者代码中版本号以及其他信息， 病毒研究人员一直推测“震网”病毒还有更早的变种。

例如，在2009年6月的变种， 标明了版本1.001. 而2010年3月的变种的版本号是1.100， 2010年4月的版本为1.101. 这些不同的版本号表明即便可能没有最终放出， “震网”病毒可能还存在着其他的版本。 果然， 在2007年的这个变种中， 研究人员找到的版本号是0.5。

尽管“震网”0.5 早在2007年就发布了， 它一直到2009年6月的版本出现之后依然处于激活状态。 “震网”0.5代码中规定的停止时间是2009年7月4日， 也就是说， 在这一天之后， 它就不在感染新的计算机， 而除非被新的版本取代， 它还会继续破坏已经感染的机器。 “震网”0.5的程序中， 包含了还在2009年1月11日停止与远程控制服务器通信的指令。 这个日期比2009年6月的版本发布日期要早5个月。 有一种可能性就是2009年6月的变种， 可以通过点对点通信的方式来更新已经感染机器上的旧版本“震网”病毒。

在传播机制上， “震网”0.5比后来版本的变种要简单。 病毒研究人员没有发现它利用0day漏洞来帮助感染。这可能也就是为什么它一直没有被发现的原因。

而2010年的变种则利用了4个0day漏洞以及其他方式，导致它的传播失控， 感染了伊朗以及伊朗境外的10万台电脑。 （参考本站文章：Stuxnet，奥巴马的失控武器）

而“震网”0.5则非常精确， 只对西门子Step7项目文件进行感染。 Step7文件是用来对西门子S7系列工控机进行编程的文件。 通常程序员们会互相分享。 这样就使得“震网”病毒可能感染到纳坦兹用来对S7-417进行编程的核心机器上。

而一旦发现感染的机器连接在Internet上， 病毒会与位于美国， 加拿大， 法国和泰国的4台远程控制服务器进行通信。远程控制服务器的域名为 smartclick.org, best-advertising.net, internetadvertising4u.com 以及 ad-marketing.net. 这4个域名目前均已下线并有了新的拥有者。但是在攻击者使用它们的时候， 它们都有相同的首页设计， 看上去好像属于一个叫做Media Suffix的网络广告公司。这个公司的首页上写的“为您成就梦想。”

就像后来版本的“震网”变种一样，这个变种也具备了采用点对点的方式， 对未连接Internet的以感染机器进行更新的能力。 与后续版本采用RPC方式进行点对点通信不同的是， “震网”0.5所采用的是Windows MailSlots的方式。 攻击者只需要通过远程控制服务器更新一台位于Internet上的感染机器上的病毒，其他位于该机器局域网内的感染机器将会从这台机器接受更新。