1有一个漂亮的U盘静静地躺在地上,不知道是谁忘记了它。也不知道过了多久,U盘就被一个人捡了起来。此人想知道U盘里装的是什么,好奇的插进了自己的Windows笔记本电脑。优盘打开,里面除了几张风景照什么都没有。男人有些失望,拔出U盘扔在了桌子上。他不知道的是,U盘中有蠕虫病毒。当U盘插入电脑后,蠕虫立即运行并将自身复制到电脑中。这个蠕虫是怎么做到的?它有三种方法,一种失败了,试试另一种,还有两种利用了0day漏洞!什么是0day漏洞?在黑客界是非常难得和非常有价值的东西,因为这种漏洞没有被软件公司和杀毒公司发现,也就是说根本没有打补丁,这种漏洞通常可以执行远程编码或提升到管理员权限。笔记本电脑里安装了杀毒软件,但是这个蠕虫设计的非常精巧,杀毒软件根本找不到它。蠕虫进入计算机并利用了两个0day!它获得了管理员权限。然后它把自己隐藏得很好,没有人,没有杀毒软件,可以找到它。对了,0day漏洞在黑市上可以买卖,一个价值数十万美元,这个蠕虫竟然利用了四个,真是个“富翁”。蠕虫检查发现笔记本电脑可以上网,于是悄悄访问了两个网站,告诉服务器它已经成功潜入了某台电脑。同时,它也下载了最新版本,进行了自我更新。.不过这只虫子并没有造成什么伤害,只是静静的潜伏在那里,等待着施展本事的时机。2不知道过了多久,这个人带着他的笔记本电脑去了一家工厂。他是工厂的外包员工。下午,厂里的甲方人员给了他一个U盘,让他拷贝一份文件给他。这是一个大错误!蠕虫立即感知到电脑中插入了一个U盘,并毫不犹豫地将自身复制到新的U盘中。为此,它安装了一个巧妙制作的假设备驱动程序。但是,如果设备驱动程序没有合法的数字签名,操作系统将无法识别,并提示用户“欺诈”,暴露无遗。这对蠕虫来说不是问题,因为它的制造者在它出来之前就给了它一个大礼包:Realtek和JMicron的密钥!通过这种方式,可以对驱动程序进行数字签名。熟悉非对称加密和RSA的同学都知道,RSA有两把密钥,一把是公钥,一把是私钥。任何人都可以获得公钥,但必须妥善保管私钥。一旦丢失,你的加密系统就完蛋了。私钥是瑞昱和智微的核心资产,必须严格保护。没有人知道这个蠕虫的创造者是如何得到它的。U盘被厂方甲方人员拿走,蠕虫又要开始新的旅程。3这家工厂生产的产品非常重要。其网络与外界物理隔离,一般不可能通过网络进行黑客攻击。但是由于工作人员的疏忽,现在承载数据的U盘被插入了内网的Winows电脑中。蠕虫并没有因为突如其来的好消息而不知所措,它很平静,立刻按照第一幕的场景进入了内网的电脑。然后也没闲着,立马复制到内网其他电脑上。这次它利用了两个已知漏洞(哪里有那么多0day漏洞让你用?):一个是网络打印机相关的,一个是网络文件相关的。很快,这个内部LAN上的所有计算机都感染了一种蠕虫,这种蠕虫潜伏得非常好,甚至没有人注意到它的存在。该蠕虫并没有做任何锁定硬盘文件的“小破坏”来勒索钱财。对它来说,这太幼稚了,也太没有技术含量了。它根本懒得去做。它牢记自己的使命,耐心地在这个网络的计算机中寻找一些东西。终于找到了:西门子工控软件Step7,二话不说就开始利用第五个0day漏洞。西门子的Step7广泛应用于工业控制领域。如果失控,后果不堪设想。但蠕虫只是将自己复制到可编程逻辑控制器(PLC)中,在那里安营扎寨,并没有造成严重破坏。在这里它开始寻找两个特定公司的电机,变频驱动器,用于工业离心机净化各种化学物质,例如:铀蠕虫的正式任务即将开始!4既然蠕虫已经完全控制了离心机,它就可以为所欲为:将其关闭或完全摧毁它——只要让它以高于最大速度的速度旋转即可。但是这个蠕虫没有那么鲁莽,它是最聪明的病毒,它有自己的计划:清理并隐藏自己。(《三体》歌手:别抢我台词)一旦它控制了工厂里所有的离心机,这个病毒居然进入休眠状态!某个时候,它会悄悄地唤醒自己,随机挑选一些离心机,修改参数,让这台离心机转得慢一点,或者快一点。同时也增加了离心机内的气压。离心机中的气体是六氟化铀。压力增加使六氟化铀凝固,离心机内出现“小石子”!很快就会损坏。但是,离心机的状态是通过传感器检测的,一旦出现异常,就会触发报警系统。病毒释放出最后的杀招,充分展示了它的高明之处:它以21秒的周期记录离心机正常运行时的传感器数据,然后在执行攻击时以固定的周期重复21秒的数据。它的创造者一定看过美国大片《生死时速》:现在我们知道这是一种负责提纯铀的植物。工厂运行良好,只是有些电机的声音听起来不对,但监控数据显示一切正常。在工厂的控制室内,操作员开始查看系统的运行数据。一切正常。他这才松了口气,跟老板汇报完后,起身倒了杯咖啡,继续工作。很快,悲惨的事情发生了,离心机开始不规律地、随机地发生故障,铀的产量直线下降,工厂无法生产足够的浓缩铀,那么就无法生产出那种威力巨大的武器了。(图中红圈是坏掉的离心机)工程师们赶紧更换新的离心机,可是全新的离心机安装到厂里投入使用,没过多久又坏了!工程师们一次又一次地尝试。到处查了,也没发现问题,他们疯了,这到底是怎么回事?!与此同时,那个,不,一群潜伏在PLC中的蠕虫杀手冷眼看着这一切,他们走过了一条异常曲折的道路,利用一个U盘+多个0day漏洞+数字证书来到了一个高度加固工厂,终于完成了造物主交给的任务。在不久的将来,他们将拥有一个震惊世界的名字:Stuxnet(震网病毒)!后记:本文前两节是我的创作,主要是解释蠕虫是如何进入物理隔离的内网的。Stuxnet是世界上第一个网络武器和世界上最复杂的蠕虫病毒,旨在攻击真正的工业设备:离心机,这些设备安装在高度设防的工厂中,网络与外界在物理上是隔离的。孤立。该病毒不仅利用社会工程学手段,还利用多个0day漏洞伪造数字证书。病毒编写者不仅要精通计算机系统和网络,还要精通工控设备和软件。这种工作绝不是一个单独的黑客能够完成的。看到Stuxnet病毒后,我立马想起了几年前和公司的大牛交流时他说的话:Hackerscan'thide。他们没有针对你的原因是你的价值太高了。小的。参考资料:https://www.wired.com/images_blogs/threatelevel/2010/11/w32_stuxnet_dossier.pdfhttps://www.langner.com/wp-content/uploads/2017/03/to-kill-a-centrifuge。pdfhttps://www.quora.com/What-is-the-most-sophisticated-piece-of-software-ever-written-1/answer/John-Byrd-2
