詳細解讀Stuxnet的感染程序

[天氣預報]

兩個月前，賽門鐵克首次發佈W32.Stuxnet會針對工業生產控制系統 (ICS) 進行攻擊，例如應用於管道和核動力工廠的控制系統。使用者可參考賽門鐵克於7月23日發佈的病毒週報《W32.Stuxnet 攻擊微軟零日漏洞 利用USB裝置大肆傳播》。

賽門鐵克今日將在病毒公告欄（Virus Bulletin）上發表一篇關於W32.Stuxnet詳細技術的論文。同時我們也注意到，最近許多人留意到Stuxnet感染模式及其不易被偵測的特色。

由於Stuxnet會針對某些特定的工業生產控制系統進行攻擊，而且這些行為不會在測試環境中出現，因此在測試環境下觀察到的病毒行為並不全面，很可能產生誤導。 事實上，執行後，Stuxnet會立即嘗試進入一個可程式邏輯控制器 (PLC) 的數據區─DB890。這個數據區其實是Stuxnet自己加的，並不屬於目標系統本身。Stuxnet 會監測並在數據區裡寫入數據，並根據實際情況和需求改變PLC的程序。

在這篇文章裡，我們會深入探討Stuxnet的PLC感染模式和Rootkit功能，特別是針對以下幾個方面︰

1. 它如何選擇攻擊目標的工業生產控制系統；
2. 感染PLC代碼的方法；
3. 注入PLC的惡意代碼；
4. 在被感染Windows作業系統中的PLC Rootkit代碼。
http://sinwen.com/?p=5405