第112篇：美国APT震网病毒入侵伊朗核工厂后续与启示（第4篇）

主要观点总结

本文详细介绍了震网病毒的前世今生，包括其传播方式、文件结构、如何利用工控系统漏洞进行攻击，以及如何追踪感染源等。同时指出，震网病毒的泄露和传播对全球网络安全造成了极大的威胁。

关键观点总结

关键观点1: 震网病毒传播方式和攻击目标

震网病毒主要通过USB存储设备传播，利用多个Windows系统漏洞获取系统最高权限，并搜索是否安装了西门子Step 7和WinCC软件，针对s7otbxsx.dll文件进行篡改或替换，实现对工业设备的恶意控制。

关键观点2: 震网病毒文件结构和传播机制

震网病毒主要由6个文件组成，包括4个快捷方式文件和2个临时的DLL文件。病毒利用快捷方式文件触发启动，通过DLL文件执行恶意任务，并利用提权漏洞获取更高权限。同时，病毒会启动一个RPC服务，与局域网中其他感染的计算机进行信息交流，通过P2P方式自动升级恶意代码。

关键观点3: 震网病毒的感染源追踪

通过收集全球数万个震网病毒样本进行综合分析，确定了震网病毒在全球范围内最初的5个感染地点，都是位于伊朗核设施工厂周边的设备承包商处。这些承包商的技术人员带着病毒进入纳坦兹核工厂后，病毒通过技术人员的计算机传播到工厂内。

关键观点4: 震网病毒的编程错误和泄露

震网病毒原本设计为潜伏在伊朗的计算机控制系统中，但由于一个编程错误导致病毒错误地扩散到不支持的操作系统，引起了安全专家的注意。此外，以色列在未经美国NSA同意的情况下修改了震网病毒的代码，导致病毒泄露并广泛传播，对全球网络安全造成了极大的威胁。

免责声明