Part1 前言 

大家好，我是ABC_123。在上大學(xué)時，就曾聽過美國NSA使用震網(wǎng)病毒（Stuxnet）攻擊了物理隔離的伊朗核設(shè)施，病毒在傳播過程中使用了多達4個windows系統(tǒng)的0day漏洞，最終導(dǎo)致上千臺提純濃縮鈾離心機損壞，致使伊朗的核武器研發(fā)計劃遇到重大挫折?！罢鹁W(wǎng)”病毒是世界上第一個能夠?qū)崙?zhàn)破壞工業(yè)基礎(chǔ)設(shè)施的病毒，打破了網(wǎng)絡(luò)攻擊無法破壞物理隔離的工控系統(tǒng)的神話，也標志著人類進入了網(wǎng)絡(luò)戰(zhàn)爭時代。

最近幾年，很多有關(guān)美國APT攻擊物理隔離的伊朗核設(shè)施的官方資料公開，ABC_123對這些資料進行了深入研究，閱讀了大約200多篇官方報告和權(quán)威分析報告，對這些資料進行歸納、分析和總結(jié)，把這個猶如科幻電影、好萊塢巨作一樣的APT攻擊案例重新梳理出來，對我們提升當(dāng)下網(wǎng)絡(luò)安全防護會有很多借鑒意義。ABC_123會寫3到4篇文章，講解美國NSA是如何一步步打穿伊朗核設(shè)施國家級物理隔離防護的。

建議大家把公眾號“希潭實驗室”設(shè)為星標，否則可能就看不到啦！因為公眾號現(xiàn)在只對常讀和星標的公眾號才能展示大圖推送。操作方法：點擊右上角的【...】，然后點擊【設(shè)為星標】即可。

 Part2 分析過程 

• 美國使用U盤病毒入侵伊朗核設(shè)施流程圖

以下是ABC_123綜合各種資料繪制的攻擊流程圖，接下來參考這個流程圖把整個攻擊過程簡單描述一下，讓大家對整個事件有個大致了解。

• 搭建仿真環(huán)境試驗震網(wǎng)病毒
  

美國NSA在前期對伊朗核設(shè)施進行了長達數(shù)年的信息收集。通過各國情報組織，深入了解朗核設(shè)施的施工建設(shè)、內(nèi)部工控系統(tǒng)SCADA的架構(gòu)，包括所采用的工控軟件Wincc Step7的版本號、提純濃縮鈾離心機數(shù)量等等。美國還截獲了一批運往利比亞的離心機零部件，在美國橡樹嶺實驗室搭建了一套伊朗核設(shè)施離心機工廠的仿真環(huán)境，用來測試震網(wǎng)病毒的實戰(zhàn)效果。

• 震網(wǎng)病毒0.500早期版本借助特工投放

震網(wǎng)病毒大約分為4個大版本，分別是0.500版本、1.001版本、1.100版本、1.101版本。早期Stuxnet 0.500版本是通過荷蘭情報機構(gòu)招募特工，偽裝成工程師進入核設(shè)施工廠，將U盤插入目標主機進行傳播的，后期則是通過網(wǎng)絡(luò)攻擊5家伊朗核設(shè)施供應(yīng)商技術(shù)人員的電腦或U盤，間接將病毒帶入核設(shè)施工廠的。

在具體的實戰(zhàn)過程中，震網(wǎng)0.500版本主要是通過關(guān)閉提純濃縮鈾的離心機的泄壓閥門，造成離心機超壓爆炸，以此來損壞伊朗核設(shè)施，拖慢伊朗核武研發(fā)計劃。震網(wǎng)病毒早期版本一旦感染目標主機，會潛伏大約30天左右，在此期間會進行全面檢查，以確定各種閥門、壓力傳感器和其它部件是否與預(yù)期一致，然后監(jiān)視其運行狀態(tài)，同時把正常的值記錄下來，在正式開始攻擊的時候，將這些值回傳給操作人員，誤以為一切正常，同時還會破壞掉核設(shè)施工廠的安全警報系統(tǒng)。

震網(wǎng)病毒通過讀取離心機在震動傳感器的參數(shù)，確定離心機的受損害程度，并據(jù)此調(diào)整對離心機的攻擊力度，避免離心機出現(xiàn)瞬時破壞性故障，以達到將其失效原因偽裝成質(zhì)量問題的目的，從而實現(xiàn)較為隱蔽的長期損壞離心機的目的。

• 震網(wǎng)1.x版本自動化入侵物理隔離工控系統(tǒng)內(nèi)網(wǎng)

后期特工將U盤病毒帶入核設(shè)施工廠內(nèi)部越來越困難，美國政府要求NSA修改病毒代碼，用編程手段實現(xiàn)自動化進入物理隔離的伊朗核設(shè)施內(nèi)網(wǎng)，為了避免伊朗方面懷疑，必須使用新方法替代原有的替代原有的關(guān)閉泄壓閥門的方式。于是震網(wǎng)病毒更新到了1.x系列版本，美國NSA想到了一個絕妙的方法將病毒傳播進入物理隔離的內(nèi)網(wǎng)，這大概是供應(yīng)鏈攻擊的早期的成功實踐。

伊朗核設(shè)施有很多的供應(yīng)商，這些供應(yīng)商負責(zé)給伊朗核設(shè)施安裝西門子工控系統(tǒng)軟件Wincc、Step7等等，或者對核設(shè)施工廠的一些設(shè)備進行維修維護，因此這些供應(yīng)商的技術(shù)人員可以攜帶電腦或者筆記本進入伊朗核設(shè)施內(nèi)部。美國挑選了與伊朗核設(shè)施工廠聯(lián)系最為密切的5個供應(yīng)商公司，通過網(wǎng)絡(luò)攻擊手段，入侵這5家公司的內(nèi)部網(wǎng)絡(luò)，將病毒植入這些技術(shù)人員的電腦或U盤中。傳播機制是非常微妙的，入侵性太強，會擴散很快被發(fā)現(xiàn)，入侵性不強，無法進入物理隔離的核設(shè)施工廠。

當(dāng)這些技術(shù)人員進入核設(shè)施工廠內(nèi)部進行設(shè)備維護插入U盤或者將電腦接入物理隔離內(nèi)網(wǎng)時，這些U盤病毒會通過Autorun方式或者Windows快捷方式文件解析漏洞MS10-046將病毒復(fù)制到伊朗核設(shè)施電腦中，然后這些病毒會自動化攻擊內(nèi)網(wǎng)其它主機，通過MS08-067遠程溢出漏洞、打印機后臺程序服務(wù)漏洞（MS10-061）、局域網(wǎng)共享等在內(nèi)網(wǎng)進行橫向傳播，一旦感染計算機之后，會通過務(wù)計劃程序權(quán)限提升漏洞（MS10-092）、內(nèi)核模式驅(qū)動程序權(quán)限提升漏洞(MS10-073)兩個Windows提權(quán)0day漏洞提升到windows系統(tǒng)最高權(quán)限。

• 震網(wǎng)病毒的感染目標

震網(wǎng)病毒并不是漫無目的的肆意傳播，震網(wǎng)病毒在進行內(nèi)網(wǎng)自動化橫向過程中的主要目的之一，就是尋找SCADA工控體系的工程師站機器，也就是安裝了Wincc和Step7工控軟件的機器，這種主機可以為PLC下發(fā)控制指令，從而控制泄壓閥門開關(guān)、離心機轉(zhuǎn)速、設(shè)備的運行停止等等，可以理解為獲取了工程師站機器的權(quán)限，就可以控制工控設(shè)備運轉(zhuǎn)。

當(dāng)“震網(wǎng)”病毒在內(nèi)網(wǎng)中獲取到工作站主機權(quán)限之后，不會立馬開始攻擊。它首先會進行為期13天的偵查，記錄PLC的正常運行狀態(tài)信息，每分鐘記錄一次，大概會記錄110萬次左右。一旦發(fā)現(xiàn)離心機工作13天了，或者注滿核材料了之后，震網(wǎng)病毒就會正式發(fā)起攻擊。

• 工控系統(tǒng)一般的網(wǎng)絡(luò)架構(gòu)

接下來看如下這部分流程圖，為了方便大家理解，ABC_123在圖中標注了物理隔離的工控系統(tǒng)的網(wǎng)絡(luò)層級結(jié)構(gòu)。

工程站（Engineering Station）：工程站用于配置和管理整個控制系統(tǒng)。它提供了一個集成的開發(fā)環(huán)境，可以進行項目配置、參數(shù)設(shè)置和邏輯編程。工程站通常由一臺或多臺計算機組成，運行STEP 7配置軟件和其他輔助工具。主要的作用是用來設(shè)計自動化程序，并將程序上傳到PLC上運行。

操作站（Operating Station）：操作站用于監(jiān)視和操作控制系統(tǒng)。它提供了直觀的圖形界面，顯示過程變量、報警和操作控制元素。操作站通常由一臺或多臺計算機組成，運行WinCC可視化軟件。

控制器（Controller）：控制器是負責(zé)實際控制過程的設(shè)備。它接收傳感器的輸入信號并發(fā)送控制信號到執(zhí)行器?？刂破魍ǔＪ荢iemens S7系列的PLC，通過SIMATIC STEP 7軟件進行編程。

集中監(jiān)控層：主要用于技術(shù)人員實時查看核設(shè)施工廠的離心機工作狀況，這個層級上有HMI監(jiān)控大屏幕可以實時觀看，有實時數(shù)據(jù)庫、歷史數(shù)據(jù)庫可以查看，也有告警服務(wù)器或者報表服務(wù)器，還會有MES制造執(zhí)行系統(tǒng)，用于管理和控制制造過程中的實時操作。

現(xiàn)場監(jiān)控層：西門子控制系統(tǒng)的組態(tài)軟件主要是WinCC，伊朗采用的就是WinCC，整個工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)中，安裝了組態(tài)軟件的PC通常是叫做工程師站，單純監(jiān)控類軟件的叫做操作員站，當(dāng)然還有存儲數(shù)據(jù)的DataServer等等。工程師站上面一般安裝有Wincc監(jiān)控軟件，平時在工控系統(tǒng)看到的各種漂亮的類似于卡通動畫的那種工控運行狀態(tài)圖，你可以理解為這些就是Wincc的軟件界面，此外工程師站上面還有裝有Step7編程軟件（STEP 7是西門子PLC的編程軟件），技術(shù)人員就是通過Step7軟件編寫代碼植入PLC（可以理解為工控系統(tǒng)的小型電腦）進行運行，然后PLC（小電腦）通過改變變頻器的電流，實現(xiàn)對離心機的轉(zhuǎn)速控制。

• 震網(wǎng)病毒修改工控指令方式

震網(wǎng)病毒首先會查詢兩個注冊表鍵來判斷主機中是否安裝了這兩款軟件HKLM\SOFTWARE\SIEMENS\WinCC\Setup和HKLM\SOFTWARE\SIEMENS\STEP7，如果沒有安裝工控軟件，會進入休眠狀態(tài)，如果發(fā)現(xiàn)了安裝有wincc、step7工控軟件的電腦，軟件所對應(yīng)的PLC必須是S7-315和S7-417這兩個型號，震網(wǎng)病毒才會攻擊，因此沒有工控軟件的電腦會作為傳播的載體和攻擊的跳板。

Wincc的Step7編程軟件使用庫文件s7otbxsx.dll來和PLC通信，向PLC下發(fā)指令。震網(wǎng)病毒會解包出一個惡意的s7otbxsx.dll文件，替換原有的文件，實現(xiàn)類似于中間人一樣的攔截并修改WinCC的顯示參數(shù)和下發(fā)參數(shù)，從而修改發(fā)送給PLC的指令，從而實現(xiàn)對離心機轉(zhuǎn)發(fā)的各種控制。同時，震網(wǎng)病毒會控制WinCC的界面，顯示離心機處于正常的壓力值狀態(tài)，用來迷惑技術(shù)運維人員。

在后期，伊朗的技術(shù)人員發(fā)現(xiàn)越來越多的離心機轉(zhuǎn)速異常出現(xiàn)損壞的時候，曾嘗試按下緊急停止按鈕，但是震網(wǎng)病毒攔截了這些停止命令，使離心機沒辦法立即停止，一直運轉(zhuǎn)到爆炸損毀。

• 震網(wǎng)病毒不出網(wǎng)仍可進行更新

震網(wǎng)病毒可以不通過互聯(lián)網(wǎng)完成對自身或者對整個局域網(wǎng)所有電腦的病毒版本進行更新升級，其內(nèi)置了自動尋找新版本、更新舊版本的點對點P2P傳輸功能，在每臺被感染的計算機上，會安裝文件共享服務(wù)端和客戶端，可稱之為RPC服務(wù)。這樣處于同一局域網(wǎng)的計算機可以相互通信，并比較各自的病毒版本，只要有一臺計算機出現(xiàn)更高版本，就會立刻自動更新網(wǎng)內(nèi)所有的低版本的病毒。也就是說，只要新版本的病毒進入局域網(wǎng)，就能迅速實現(xiàn)局域網(wǎng)內(nèi)全部病毒的更新。

 Part3 前期準備工作 

為了達成目標，美國APT組織做了大量的準備工作及信息收集工作。

• 收集伊朗核設(shè)施工控系統(tǒng)相關(guān)資料

美國APT實施網(wǎng)絡(luò)攻擊時，特別注重與其它國家進行合作。在收集伊朗核設(shè)施工廠的工控系統(tǒng)資料方面，得到了很多國家的幫助：德國提供了西門子公司與伊朗核設(shè)施工控系統(tǒng)關(guān)于離心機相關(guān)的技術(shù)規(guī)范和知識；法國提供了伊朗核設(shè)施工廠相關(guān)的情報；英國的國家通信情報局也提供了伊朗情報；荷蘭提供有關(guān)伊朗從歐洲采購非法核計劃設(shè)備的活動的關(guān)鍵情報，以及有關(guān)離心機本身的信息。此外，荷蘭的AIVD情報機構(gòu)的黑客們通過滲透手段，獲悉了伊朗核利比亞核計劃的相關(guān)資料。

• 入侵伊朗關(guān)基單位，獲取情報數(shù)據(jù)

在震網(wǎng)病毒攻擊伊朗核設(shè)施之前，美國政府的網(wǎng)軍經(jīng)歷了超過4年的準備，完全滲透了伊朗的基礎(chǔ)工業(yè)機構(gòu)，包括設(shè)備生產(chǎn)商、供應(yīng)商、軟件開發(fā)商等，從中獲取了大量的情報數(shù)據(jù)。早在2000年的時候，荷蘭國家安全情報局AIVD的黑客們?nèi)肭至艘晾室粋€重要國防組織的電子郵件系統(tǒng)，他們從中獲取了很多有關(guān)伊朗核計劃的敏感信息。

• 搭建伊朗核工業(yè)的仿真環(huán)境，用于試驗病毒

英國和美國情報部門截獲了一艘載有數(shù)千臺前往利比亞的離心機部件的船只，這些離心機與伊朗從巴基斯坦核彈之父那里獲取的在納坦茲核設(shè)施工廠使用的離心機是同種型號的，美國政府扣押了這些離心機部件。一年之后，結(jié)合在利比亞沒收的離心機和核設(shè)施資料，美國花費數(shù)月時間，將這些部件重新組裝，結(jié)合前期獲取的關(guān)于伊朗核計劃的情報，搭建了一套類似于伊朗核設(shè)施工廠的仿真環(huán)境，并進行了各種攻擊變量的測試。這套仿真環(huán)境，使美國方面完整研究與模擬了伊朗核工業(yè)體系，在后期震網(wǎng)病毒研發(fā)過程中，成了測試震網(wǎng)病毒功能的絕佳環(huán)境，同樣在以色列的迪莫納也搭建了一套仿真環(huán)境。

• 策反伊朗核工程師

人是網(wǎng)絡(luò)戰(zhàn)中最薄弱的環(huán)節(jié)。早期的震網(wǎng)病毒必須依賴于人工投放的方式，突破物理隔離。荷蘭的情報機構(gòu)在美國CIA中情局和以色列摩薩德的要求下，成立了一家公司，但是公司成立存在問題，引起了伊朗方面的懷疑，因此未能進入納坦茲核設(shè)施工廠。后來在以色列的幫助下，成立了第2家公司，并且荷蘭方面聯(lián)系到了一個伊朗核工程師，并將它成功策反，去現(xiàn)場收集了很多系統(tǒng)的配置信息，幾個月的時間已經(jīng)進入了好幾次了，為震網(wǎng)病毒的成功實施提供了充足的信息支持，后續(xù)將帶有震網(wǎng)病毒的U盤插入物理隔離的內(nèi)網(wǎng)主機上。

• 派特工偷走2家公司的數(shù)字認證證書

美國為了保證震網(wǎng)病毒繞過所有殺軟的查殺，從臺灣的瑞昱半導(dǎo)體公司RealTek半導(dǎo)體公司與智微科技JMicron技術(shù)公司那里，通過特工偷走了數(shù)字簽名證書，并用于簽名震網(wǎng)病毒。這兩家公司位于同一工業(yè)園區(qū)，物理位置相隔很近，他們的數(shù)字證書的看管是非常嚴格的，必須通過好幾道門、好幾道驗證、正對著攝像頭、需要提供指紋和視網(wǎng)膜識別才能獲取到，它并不是放在聯(lián)網(wǎng)的電腦上，因此需要人力去滲透的，后續(xù)普遍說法懷疑是派特工通過物理滲透的方式把證書給偷出來了。

• 滲透5家伊朗核設(shè)施供應(yīng)商

震網(wǎng)病毒后續(xù)更新到了1.x系列，為了讓震網(wǎng)病毒自動化進入伊朗核設(shè)施，攻擊者挑選了5家伊朗的承包商公司進行網(wǎng)絡(luò)攻擊，這5家公司都有員工經(jīng)常出入伊朗核設(shè)施工廠內(nèi)部，通過投放新版本震網(wǎng)病毒，感染這5家供應(yīng)商員工的U盤，在技術(shù)人員不知情的情況下，將震網(wǎng)病毒通過U盤帶入伊朗核設(shè)施工廠內(nèi)部，并開始自動化橫向滲透傳播。根據(jù)震網(wǎng)病毒日志發(fā)現(xiàn)，第一個被攻擊的公司是弗拉德（Foolad）科技的公司，一周之后，第二個被攻擊的公司是百坡炯（Behpajooh）公司，這家公司主要任務(wù)是將采掘出的鈾礦轉(zhuǎn)化為鈾化物氣體，作為Natanz鈾濃縮的原料，曾為一家伊斯法罕的鋼鐵廠安裝過西門子S7-400型PLC，配套的Step 7和WinCC軟件以及現(xiàn)場總線通信模塊。

• 伊朗總統(tǒng)視察核設(shè)施電視畫面泄密

如下圖所示，在2008年，伊朗總統(tǒng)內(nèi)賈德在納坦茲的鈾濃縮廠控制室觀看SCADA，屏幕上的兩個黑點顯示出當(dāng)前的離心機有問題，已被隔離使用，但是對整個工藝流程還在正常運行。在這段錄像中，很多關(guān)于工控系統(tǒng)包括離心機的型號等機密信息都被泄露了，包括SCADA系統(tǒng)（數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)）屏幕、工廠配置情況、6組離心機，每組164個離心機，很多護衛(wèi)內(nèi)賈德總統(tǒng)的人等等，他身后的一名科學(xué)家?guī)讉€月后被暗殺。

 Part4 未完待續(xù) 

由于此APT事件過于復(fù)雜，篇幅有限。關(guān)于震網(wǎng)病毒研發(fā)歷程、震網(wǎng)病毒早期版本如何控制泄壓閥關(guān)閉、震網(wǎng)病毒后期版本如何控制離心機轉(zhuǎn)速、震網(wǎng)病毒的入侵流程、震網(wǎng)病毒因何原因失控等等謎題，ABC_123會在后續(xù)幾篇文章詳細講解。