8月一個周五的夜晚,莫楚(Liam O’Murchu)正在加州威尼斯一個時尚的樓頂酒吧里,為自己的33歲慶生。他租下了歐文酒店頂樓一處可以看海的露天U形酒吧卡座,正在開心的跟女朋友、愛爾蘭來的表兄妹和一大幫朋友一起,一杯接一杯的喝著酒。就在他們旁邊,一名真人秀節目記者正在拍攝坐在一起的一對男女,不放過這場“私人約會”中任何一個會讓觀眾捧腹的尷尬舉動。耶,這就是傳說中的度假天堂——南加州。
[](http://www.aqniu.com/wp-content/uploads/2015/10/640.webp-24.jpg)
歐文酒店
[](http://www.aqniu.com/wp-content/uploads/2015/10/640.webp-25.jpg)
樓頂的酒吧卡座
錢哥9點鐘露面時,莫楚他們已經玩了3個小時了。但錢哥的心思根本不在Party上。他特別想給朋友和同事們看個郵件,告訴他們當天早些時候突然出現的一個重大新聞。但他又怕莫楚一看到這個,就沒心思想別的事了。結果,他還是沒忍住。“我告訴你一件事,”錢哥跟莫楚說,“但你得答應我今天晚上不要談論它。”莫楚點點頭。
錢哥掏出黑莓手機,打開了郵件。郵件是另一家反病毒公司的研究員發來的,內容是提示他們,震網中可能還利用了另外一個零日漏洞。莫楚瞪大了雙眼,盯著錢哥。他們已經花了幾周時間,對震網的各個組件進行逆向工程,也的確發現過暗示存在其他零日漏洞的線索,但卻沒有足夠的時間去進一步挖掘。漏洞的線索藏在實現傳播病毒的“導彈”部分代碼中,但他們一直在聚焦于感染西門子軟件和PLC的“載荷”部分代碼。
郵件沒講多少細節,而且也看不出這位研究員到底是已經找出了新的零日漏洞,還是跟他們一樣只看到了線索。不管是什么情況,莫楚的斗志再次被點燃了。“就這樣,”莫楚說,“今天晚上我不會再喝了。”第二天,周六一早,莫楚就來到辦公室,一頭扎進代碼里。
周六的辦公室空空蕩蕩,真是專心做事的好地方。在轉向載荷部分之前,公司研究團隊已經完成震網導彈部分中多數代碼的功能標注工作,那么現在要做的,就是結合這些標注,把整個導彈部分代碼仔細梳理一遍,以尋找漏洞利用程序的蹤跡。當然,這事可不像說起來這么容易。必須跟蹤代碼與操作系統和其他應用程序之間的每一個動作,并觀察代碼與系統和程序間相互作用的方式,看其中是否存在疑點。比如,它是否強制某個應用程序執行了一個本不應執行的動作?是否越過了安全邊界?是否繞過了系統權限?經過逆向工程之后的導彈部分,共有數千行代碼,必須要對每一行進行認真檢查。
震網的結構是非線性的,所以要對其行為進行追蹤倍加困難。命令跳轉來跳轉去,莫楚只好一行代碼一行代碼的摳、一個步驟一個步驟的看。
1小時后,他非常確信,自己發現了第二個漏洞利用程序。他立刻搜索了漏洞利用程序的檔案庫,看看這個漏洞是否曾被人利用過,結果是“沒有記錄”。之后,他又用一臺安裝Windows最新版本和升級補丁的計算機對這個漏洞利用程序進行測試,結果仍然符合預期。零日漏洞的身份得到了確認。這一次,震網利用一個Windows鍵盤文件中的零日漏洞,實現了對系統的提權。(非法獲得System權限)
作為黑市商品,零日漏洞是很值錢的。莫楚認為,在一次攻擊中,冒著被發現的風險同時使用兩個零日漏洞,似乎是種不可理喻的資源浪費。但他沒有停下來。他把剛才的發現記錄下來,回過頭去繼續分析代碼。
幾個小時后,他覺得自己好像又發現了一個漏洞利用程序——有跡象顯示,震網正在利用Windows打印緩沖功能中的一個漏洞,實現病毒在共享打印機的各臺計算機之間的傳播。他再次用另一臺裝好最新補丁的計算機進行了測試、再次搜索漏洞利用程序檔案庫,再次發現沒有歷史記錄。幾周前那種令人“頭發倒豎”的興奮感再次來襲。他再次將其記錄,又一頭扎進代碼。
到了下午三四點鐘,錢哥過來看莫楚,發現他睡眼惺忪,已經累到不行了。他把分析結果交給了錢哥。錢哥拿過接力棒,然后一直干到深夜。周日繼續加班一天。到周末過完的時候,他們已經發現了3個零日漏洞!!!加上之前在.lnk文件中發現的那一個,他們一共從震網這一個病毒中找到了4個零日漏洞。
他們覺得這實在太瘋狂了。一次攻擊中能利用一個零日漏洞已經夠厲害了。兩個都是浪費。4個?是誰干的?為什么這樣做?你們這是在暴殄天物好不好!一個頂級的零日漏洞連同相應的漏洞利用程序,可以在黑市上賣到5萬美元以上,在以政府的網絡部隊和間諜機構為賣家的內部灰色市場上甚至能賣到10萬。要么攻擊者手上擁有N多零日漏洞、根本不在乎用掉幾個,要么攻擊者就是孤注一擲、而且確實有足夠的理由賦予病毒頂級的傳播能力、確保命中最終目標。錢哥和莫楚覺得,這兩種推測都有理。
錢哥向微軟報告了他們新發現的幾個零日漏洞利用程序,但很遺憾,俄羅斯的卡巴斯基實驗室已經捷足先登了。震網的新聞甫一面世,卡巴斯基就組織了一個10人團隊,開始對導彈部分代碼進行分析。幾天之后,他們找到了第2個病毒利用程序,幾周后又找到了第3個和第4個。微軟接到他們的報告后,已經開始了制作補丁的工作。但是,遵循“負責任的漏洞發布規則”,任何一方都不會在微軟發布補丁之前,把這件事公開。
震網中有4個零日漏洞,令人印象深刻,但這還不是故事的結尾。在錢哥和莫楚周末的“代碼分析馬拉松”中,他們還發現,震網除了利用零日漏洞進行傳播之外,還有一共8種不同的感染方法。震網的代碼簡直堪稱一套專門用來侵入系統并實現傳播的“瑞士軍刀”。
最重要的一個發現,是它能夠感染Step 7的項目文件。這些文件,是程序員用來給PLC編程的。而且,它還破掉了西門子公司“固化”(hard-code,硬編碼)在Step 7軟件中的用戶名winccconnect和密碼2WSXcder。這組用戶名和密碼是Step 7用來連接后臺數據庫的。把它破掉,就意味著可以攻擊者可以把病毒注入后臺數據庫所在的計算機。同時,這個數據庫由所有使用Step 7的程序員共享,這樣病毒又可以感染所有登錄數據庫的Step 7程序員。這兩個傳播大招,極大增加了利用“程序員在染毒后,使用(帶毒)筆記本或U盤連接PLC并對其編程”的機會,和最終成功“傘降”PLC的可能性。攻擊者利用了Step 7系統某個模糊特征中的漏洞,感染了它的項目文件,這表明攻擊者掌握著少為人知的Step 7系統相關的專業知識。這一點,是本次攻擊“開掛”的另一個信號。
與傳播機制并行,震網還擁有自動尋找新版本、更新舊版本的點對點傳輸功能。這使得震網可以通過不直接連接因特網的內網計算機,完成對自身的遠程更新。為此,震網在每臺被感染計算機上都安裝了文件共享服務端和客戶端,這樣處于同一局域網的計算機就可以相互通信、并比較各自的病毒版本。只要有一臺計算機上出現更高版本,就會立刻自動更新網內所有低版本的病毒。也就是說,只要將新版本病毒引進來,就能迅速實現局域網內全部病毒的更新。(待續)
從震網所運用的所有感染方法來看,攻擊者的意圖就是不惜一切代價傳播病毒。但與多數病毒利用電子郵件或惡意網站實現對成千上萬臺計算機的快速、即時傳播不同,震網從不利用因特網。相反,震網只是憑借某個用戶用U盤從一臺計算機傳播到另一臺計算機,或者通過局域網傳播。基于此特點,可以判斷攻擊者知道他們的目標系統并不在因特網上。同時,對零日漏洞史無前例的運用,說明他們要尋找的目標不僅價值連城,而且防護嚴密。
但是,通往目標的路線迂回曲折,很難找到一個清晰、簡潔的攻擊方法。打個比方,這就像是打算讓某種致命病毒感染本?拉登眾多妻子中的一個,然后再讓她去感染拉登一樣。病毒只能感染與“拉登之妻”有關的人,從而導致意圖遭到暴露的可能性越來越大。震網最后的結果,恰恰就是這么回事。他感染了太多“外圍計算機”,這讓震網遲早會由于某些不可控的問題被人發現。
當錢哥再次檢視攻擊者用到的感染方法和漏洞利用程序時,他發現其中蘊含著某種邏輯。每個感染方法/漏洞利用程序都有明確的任務,并能夠解決攻擊者為達成最終目標路上的一個特定的障礙。就像是有一個人為了完成這次攻擊,列出了一個漏洞利用程序清單——有的用來提權、有的用來在目標所在內網中傳播、有的將載荷送入PLC——然后,再找人按圖索驥,或者從市場上買,或者自己開發。這充分表明,為了此次攻擊,攻擊方在組織籌劃方面可謂嘔心瀝血。
其中,對完成整個攻擊最關鍵的兩步,一步是對.lnk中漏洞的利用,一步是對Step 7項目文件的感染。因為,這兩步對于震網能否抵達最終目標——西門子的PLC至關重要。給PLC寫代碼的程序員一般會使用連接因特網的工作站進行編程,這些工作站與工業生產網絡或工廠中的PLC之間是彼此隔離的。要把編好的程序載入PLC,必須有人用筆記本通過數據線直接連接PLC,或者用U盤把程序轉存到一臺用于工業控制配置與編程、裝有Windows系統的筆記本——場控編程器(Field PG)上。場控編程器不連接因特網,只與生產網絡和PLC相連。那么,先感染Step 7項目文件,再用U盤“擺渡”的方法翻越內外網之間的物理隔離(air gap),攻擊者就能成功的將每名PLC工程技術人員變成一個潛在的武器運送者。
[](http://www.aqniu.com/wp-content/uploads/2015/10/640.webp-26.jpg)
震網傳播示意圖
當錢哥和莫楚將震網用于傳播的所有漏洞及其利用程序記錄歸檔后,他們意識到,還有一些問題需要弄清楚。多數問題是他們之前知道,但沒在意的。比如,Ada公司當時沒有發現.lnk漏洞被利用過的跡象,但微軟卻發現,2008年11月,一伙網絡犯罪分子正是利用了這個漏洞,將Zlob木馬的一個變種植入目標計算機。雖然反病毒引擎當時發現了這個木馬,但卻沒有挖出它里面的零日漏洞,所以直到震網出現,這個漏洞也沒有得到修復。與之類似,打印機緩存漏洞之前也出現過一次——在2009年3月波蘭的一個網絡安全期刊上。期刊刊登了關于這個漏洞的一篇論文,其中還包括如何利用此漏洞進行攻擊的代碼。不過,當時這條消息并沒有傳到微軟那里,所以微軟沒有為這個漏洞制作補丁。同樣,西門子Step 7軟件中“固化”用戶名/密碼泄漏的事情,有人早在2008年4月就已經在西門子客戶論壇上貼出來了。
錢哥和莫楚想知道,震網攻擊方是否有一個專門負責搜索黑客論壇和安全網站,并收集漏洞及漏洞利用程序的信息團隊?如果確實有,那么攻擊方就可以根據攻擊需求,直接使用這些漏洞利用程序,或者以此為線索從市場上聯系買家。
令人不解的是,在2009年上線的震網病毒第一版中,只出現了“打印機緩存”這一個漏洞。其他漏洞在2010年3月上線并快速傳播、繼而引發失控的版本中才露面。2009年的版本也做了通過U盤傳播的功能,但利用的是Windows系統的U盤自動運行(Autorun)功能。如前所述,用戶可以通過關閉這項功能來避免攻擊。所以,2010年3月的版本中,攻擊者用.lnk的零日漏洞利用程序替換了利用Autorun的代碼。
攻擊者還在2010年3月版病毒中增加了另外一項重要內容:用于標記驅動程序的瑞昱公司數字簽名。
錢哥和莫楚在對比兩個震網病毒版本的區別時發現,2009年的版本略帶謹慎,而2010年的新版本通過增加更多的傳播機制,刻意加強了侵略性。這背后,可能是想要更快到達攻擊目標、或破壞更多離心機的放手一搏。利用.lnk漏洞,比利用Autorun漏洞的傳播效率顯然更高。但是,當這些新的手段提高震網到達目標可能性的同時,也帶來增加了感染更多計算機的風險。事實上,新版本在使用多個零日漏洞之后,震網迅速感染了伊朗國內外的10萬多臺計算機。這些多余的感染對攻擊者到達目標毫無幫助,卻大大增加了被發現的機會。想必攻擊者對新版本所具有的超強傳播力也是心知肚明吧。不論如何,他們還是愿意冒這個險。
跟蹤震網傳播的確切路徑上,反病毒研究員沒有碰到什么麻煩。經過對每個病毒樣本的分析,他們發現了一個有助于跟蹤病毒從源頭向目標傳播路徑的“寶貝”:記錄每一臺被感染計算機數據的日志文件。在震網病毒為抵達目標而蜿蜒前行的過程中,它記下了每一臺計算機的IP地址和所在域的域名,并根據計算機內部時鐘記下了每一次的感染時間。然后,它將這100字節的數據存入隨病毒傳播而不斷增大的日志文件。由于每一份病毒樣本都有這樣一個日志文件,錢哥和莫楚得以順藤摸瓜,找到最早遭感染的計算機。攻擊者設計這樣一個日志文件,本意是掌握震網攻擊的路徑,沒想到這一點卻被反病毒研究員給用上了。
錢哥和莫楚一共分析了多家反病毒公司提供的3280份病毒樣本。根據對日志文件的分析結果,他們判斷,攻擊者釋放病毒的起點,是最有可能接觸到震網攻擊目標的5家伊朗公司。每家公司都先于其他位置的計算機“率先感染”了震網2009年版、2010年3月版和2010年4月版中的一個或多個版本。這5家公司遭震網感染的計算機共有12000臺。之后,以這5家公司為源頭,震網實現了對100多個國家10萬多臺計算機的傳播。
[](http://www.aqniu.com/wp-content/uploads/2015/10/640.webp-27.jpg)
震網“新品上市”的5個“首發目標”
根據受害者匿名的原則,賽門鐵克沒有在公開文檔中公布這些公司的名單,而是用域A、域B……域E來代指。但是,其他看到日志內容的人卻不會這么守規矩。這些公司很快被曝光,它們是:弗拉德科技(Foolad Technique)、百坡炯(Behpajooh)、卡拉(Kala)、尼達工業集團(Neda Industrial Group)和據信為高士達工控公司(Control Gostar Jahed)縮寫的CGJ。其中的卡拉,就是NCRI在2002年的新聞發布會上提到的、為鈾濃縮項目當幌子的伊朗卡拉揚電力公司。
雖然有些公司多次被不同版本的病毒“率先擊中”,但每次被率先擊中的并不總是同一臺計算機。這表明,攻擊者每次上線新版本時,都在努力尋找處于更有利位置的計算機,或者為了更有希望成功到達目標,尋找能夠提供與上一次不同傳播路徑的計算機。被三個版本全部率先擊中的,只有百坡炯(Behpajooh)一家。這說明這家公司最有可能提供通往目標的路徑。同時,由于2010年3月的版本只擊中了這家公司,它成了引起傳播失控的最大源頭——在伊朗5家公司共12000臺遭感染計算機中,初始感染源為百坡炯的占到了69%。(待續)
