兩個月前,賽門鐵克首次發佈W32.Stuxnet會針對工業生產控制系統 (ICS) 進行攻擊,例如應用於管道和核動力工廠的控制系統。使用者可參考賽門鐵克於7月23日發佈的病毒週報《W32.Stuxnet 攻擊微軟零日漏洞 利用USB裝置大肆傳播》。

賽門鐵克今日將在病毒公告欄(Virus Bulletin)上發表一篇關於W32.Stuxnet詳細技術的論文。同時我們也注意到,最近許多人留意到Stuxnet感染模式及其不易被偵測的特色。

由於Stuxnet會針對某些特定的工業生產控制系統進行攻擊,而且這些行為不會在測試環境中出現,因此在測試環境下觀察到的病毒行為並不全面,很可能產生誤導。 事實上,執行後,Stuxnet會立即嘗試進入一個可程式邏輯控制器 (PLC) 的數據區─DB890。這個數據區其實是Stuxnet自己加的,並不屬於目標系統本身。Stuxnet 會監測並在數據區裡寫入數據,並根據實際情況和需求改變PLC的程序。

在這篇文章裡,我們會深入探討Stuxnet的PLC感染模式和Rootkit功能,特別是針對以下幾個方面︰

1. 它如何選擇攻擊目標的工業生產控制系統;
2. 感染PLC代碼的方法;
3. 注入PLC的惡意代碼;
4. 在被感染Windows作業系統中的PLC Rootkit代碼。
http://sinwen.com/?p=5405