有史以来最复杂的软件——Stuxnet 震网 |
没有人知道 Stuxnet 的作者是谁,只知道大概是在2003年至2010年间编写的。
震网事件时间轴 这种病毒藏在 U 盘上。当 U 盘插入 PC,它会自动运行,将自已复制到该 PC。它至少有三种自动运行的方法。如果某种方法行不通,就尝试另一种。其中的两种运行方法是全新的,使用了 Windows 0day 漏洞。( )👨⚕️👔🧲😆🤝 一旦蠕虫进入 PC ,它会尝试获得该 PC 的管理员权限,使用的也是前面提到的那两 0day, 然后,蠕虫现在可以通过进入操作系统底层来覆盖其踪迹,因此没有防病毒软件可以检测到它的存在。 🥷👖🧬😘🦷 它秘密地绑定到该 PC,因此,即使您在磁盘上查找蠕虫应该位于何处,您也不会看到任何内容。这种蠕虫隐藏得非常好,以至于蠕虫在互联网上运行了一年多,世界上没有任何安全公司承认它的存在。 它会秘密访问 或 这两个网站,告诉服务器已经成功侵入了一台新的 PC,然后从网站下载最新版本自行更新。 它会将自身复制到任何插入该 PC 的 U 盘。使用的 U 盘驱动程序由 Realtek 公司进行了数字签名,但是 Realtek 公司并不知道有这个签名。这意味着,蠕虫作者能够获取 Realtek 公司的最高密钥。 👌🧳🥄‼🪶 它利用的两个 Windows 0day 漏洞,一个涉及网络打印机,另一个涉及网络文件,将自己传播到局域网里面的其他计算机上。 直到这一步,它的真正任务还没有开始。 🧒👒🪥😃🙏 它在每一台计算机上寻找一种由西门子设计的用于大型工业机械自动化的控制软件。一旦发现这种软件,它会使用另一个 0day,将自身复制到工业控制器的驱动程序。 然后,它会检查两家特定公司的工业电机,其中一家公司在伊朗,另一家在芬兰。它要搜索的特定电机(变频驱动器),主要用于运行工业离心机,提纯多种化学品,比如铀。 由于蠕虫完全控制了离心机,因此它可以做任何事情,可以将离心机全部关闭,也可以将它们全部摧毁:只需设定以最大速度旋转离心机,直到它们全都像炸弹一样爆炸,杀死任何恰好站在附近的人。 🤛🔥🦞☪🐶 但它没有这么做,一旦它控制了每台离心机......它就进入潜伏。 一旦达到设定的时间,它就会悄悄地唤醒自己,锁住离心机,使得人类无法关闭这些机器。然后悄悄地,蠕虫开始旋转这些离心机,修改了安全参数,增加了一些气体压力...... 👴🩳🔋🤮👃 此外,它还会在离心机正常运转的时候,偷录一段21秒的数据记录。当它控制离心机运行的时候,会一遍又一遍地播放这段数据记录。管理人员会看到,计算机屏幕上的所有离心机运行数据都很正常,但这是蠕虫之前录制好的。 现在让我们想象一下,有一家工厂正在用离心机净化铀。电脑上的所有数字都表明离心机运行正常。但是,离心机正在悄悄地出问题,这使得铀产量一直下降。铀必须是纯净的。你的铀不够纯净,无法做任何有用的事情。 👩👖📞🤩👀 工厂的管理者根本找不到原因,离心机的数据是正常的。你永远不会知道,所有这些问题都是由一种计算机蠕虫引起的。这是一种历史上最狡猾和最聪明的计算机蠕虫,它由一些拥有无限资金和无限资源的令人难以置信的秘密团队编写,并且设计时只考虑一个目的:偷偷摧毁某个国家的核弹计划,并且不被发现。
帖子热度 5729 ℃
|
|