欧洲发现最新Stuxnet变异病毒 海天炜业提供完美解决方案

         Liam O Murchu是一位研究Stuxnet的权威专家，他说这种被称为“Duqu”的新病毒包含了与Stuxnet几乎相同的代码，和Stuxnet貌似是同一个人写的，或者至少是获取了Stuxnet源代码的人所为。去年他和他的两个赛门铁克的同事对这种病毒进行了大量的分析，迄今已经发表了详细分析Duqu的论文。

        像Stuxnet一样，Duqu利用带有有效数字证书的驱动程序文件将自己隐藏为合法代码。该证书由总部位于台湾台北的一家公司发布，赛门铁克已经不再认可。此证书原本于2012.8.2过期，但是在赛门铁克开始检查此病毒后不久，官方于10.14将其撤销。

       新代码并不采用自我复制的方式进行传播-因此不算是严格意义上的蠕虫病毒。它也不像Stuxnet那样包含损坏硬件的破坏性净荷。相反，它侦察未知工业控制系统并收集情报，便于以后进行有针对性的攻击，看起来更像是Stuxnet攻击的先驱。O Murchu说到“以前当我们提起Stuxnet的时候，我们希望Stuxnet中存在”着用来收集信息的组件，实际上我们并没有发现，这也许正是那个组件。

        尽管Stuxnet之后的一段时间才出现的Duqu，但Stuxnet的攻击采用了与Duqu很类似的组件用来收集与病毒净荷有关的情报。

         Duqu似乎已经运作了至少一年了。赛门铁克称早在发现Stuxnet五个月后，2010年12月此恶意软件就开始实施攻击了。此时距Stuxnet首次感染伊朗计算机大约18个月。

        O Murchu 说“虽然我们认为这些人仅仅是为了宣传Stuxnet，但事情显然并非如此，他们从去年开始已经实施，并且很有可能利用收集到的信息发起一场新的攻击，当我们发现这一点时我们相当震惊。”10月14日赛门铁克从一个未经确认的研究实验室收到两种变异病毒。

       鉴于早期关于Stuxnet是由某国制造用来破坏伊朗核计划的说法， O Murchu 说“很显然这是一个敏感的话题，但是不论出于何种原因，开发者对自己的行为都已下定决心并且不希望自己被识别。”

        赛门铁克收到的这两种变异病毒都已感染了相同的机器。从那以后，O Murchu和他的同事就已经在大约10台机器上都发现了其他样本。研究人员在他们自己的恶意软件档案中查找类似的文件后，发现其中一种变异病毒被赛门铁克的威胁侦测系统于2011年9月1日首次捕获。除了指出病毒是在制造业和关键基础设施业中发现的外，赛门铁克拒绝透漏检测到病毒的具体国家名称和被病毒感染的明确的行业。

        尽管大多数Stuxnet感染发生在伊朗，但O Murchu称目前发现的Duqu感染并非集中在某个地区，但随着新感染的不断发现，这一特点有可能会改变。

      该病毒的命名以“~DQ”为前缀，原因在于病毒在被感染的系统中创建文件，其文件名中也使用了“~DQ”。O Murchu称病毒使用了五个文件，包括一个dropper 文件用来将病毒运行需要的所有组件传送到被感染的系统，一个载入程序用来在计算机启动时装载文件到存储器中，一个远程访问的木马程序作为被感染的系统的后门程序并从系统中提取数据，另一个载入程序执行木马程序以及一个击键记录程序。

        像Stuxnet一样，为了避开反病毒工具的侦测，同时使系统从存储器而非硬盘上装载文件，Duqu利用复杂独特的技术在计算机存储器而非硬盘上来隐藏自己。这种技术作为赛门铁克在Stuxnet中发现的第一个危险信号，意味着它造成的破坏远远超过了之前他们发现的其他病毒。该病毒被设置成运行36天后自动从被感染的系统中移除。

       O Murchu称他们仍不清楚Duqu是通过什么途径进入被感染的系统。Stuxnet主要是利用零日漏洞通过一个被感染的U盘进入目标系统。

       “对于Duqu，还有一个我们没看见的安装组件” O Murchu说“我们不知道该安装程序是否会自我复制。”

        这些变异病毒大约有300KB，Stuxnet是500KB。它们使用自定协议在被感染的系统和指挥控制服务器之间进行通信，从被感染的机器中提取数据并装载一些新的组件。据O Murchu称，病毒通过附加到一个54 x 54像素jpeg文件的方式伪装自己的非法通信，这些附加数据都是经过加密的。研究人员仍在分析这些代码，以便确定通信中包含的内容。

         总部位于加拿大的Byres Security公司，曾受聘于加拿大政府，负责收集整理北美、欧洲等地区网络安全事件，并提供分析报告和解决方案。该公司的工业网络安全专家指出，在当前背景下，对工业控制系统网络建立纵深防御策略是目前业界公认推崇的一种安全策略。公司旗下的安全防护产品-TofinoTM也获得广泛的认可。遵守ANSI/ISA-99标准，其主要实现策略包括：将工业网络进行“区域和渠道”的划分，把具备相同功能和安全要求的设备划分在同一区域内，有助于提供“纵深”防御；定义区域之间的连接“管道”，对所有区域之间的“管道”实行安全的管制；采用集中安全管理监控，在另外一个平台上，安装集中式安全监控管理模块，管理和检测所有安全设备，可随时监视查询攻击，进行故障排查。