 上传我的文档
 下载
 收藏
该文档贡献者很忙，什么也没留下。
 下载此文档
正在努力加载中...
震网病毒与应对防护
下载积分：295
内容提示：震网病毒与应对防护
文档格式：PDF|
浏览次数：11|
上传日期： 19:47:25|
文档星级：
该用户还上传了这些文档
震网病毒与应对防护
官方公共微信火焰病毒_百度百科
火焰病毒和一样也是一种经过多次变种的“”变种，日开始肆虐网络，它主要通过下载的档案传染。对、系统破坏严重。2007年蔓延全世界。2014年1月被WEB信息安全团队封杀。2014年7月因不明原因而重生。
火焰病毒简介
“”病毒的全名为Worm.Win32.Flame，它是一种和，同时又具有的特点。只要其背后的操控者发出指令，它就能在网络、中进行自我复制。一旦被感染，病毒将开始一系列复杂的行动，包括监测、获取截屏画面、记录音频对话、截获键盘输入等。被感染系统中所有的数据都能通过链接传到病毒指定的服务器，让操控者一目了然。据统计，迄今发现感染该病毒的案例已有500多起，其中主要发生在伊朗、以色列和。、、、、和（家庭电脑较多）等国也有个别案例。
“火焰”设计极为复杂，能够避过100种防毒软件。感染该病毒的电脑将自动分析自己的规律，自动录音，记录用户密码和键盘敲击规律，将用户浏览网页、通讯通话、账号密码以至键盘输入等纪录及其他重要文件发送给远程操控病毒的。
火焰病毒被认为是迄今为止发现的最大规模和最为复杂的病毒。
2012年5月，俄罗斯安全专家发现一种威力强大的电脑病毒“火焰”()在大范围传播。俄罗斯电脑病毒防控机构称，这种新病毒可能是“某个国家专门开发的”。“火焰”病毒最早可能于2010年3月就被攻击者放出，但一直没能被其他网络安全公司发现。“除卡巴斯基外，的两家反电脑病毒实验室和伊朗反电脑病毒机构也发现了上述全新的。[1]
Flame（火焰）是一种高度复杂的恶意程序，被用作网络武器并已经攻击了多个国家。卡巴斯基实验的专家们是在参与国际电联（ITU）发起的一项技术分析调查中发现Flame的。Flame被用来执行活动。它可以盗取重要信息，包括计算机显示内容、目标系统的信息、储存的文件、联系人数据甚至音频对话记录。其复杂性和功能性已经超过其它任何已知的网络武器。Flame是迄今发现为止程序最大的网络武器，其设计结构让其几乎不能被追查到。然而，一般的恶意程序都比较小，以此方便隐藏。而庞大的Flame竟然能够让其未被发现。Flame通过复杂先进的技术感染计算机，而这些技术仅在之前的一个网络武器中被用到——。尽管Flame早在2010年3月就开始活动，但直到发现之前，没有任何的安全软件将其检测到。
火焰病毒特点
“火焰”病毒构造复杂，此前从未有病毒能达到其水平，是一种全新的装备。该病毒可以通过USB存储器以及网络复制和传播，并能接受来自世界各地多个服务器的指令。感染“火焰”病毒的电脑将自动分析自己的网络流量规律，自动录音，记录用户密码和键盘敲击规律，并将结果和其他重要文件发送给远程操控病毒的服务器。
一旦完成搜集数据任务，这些病毒还可自行毁灭，不留踪迹。
从现有规律看，这种病毒的攻击活动不具规律性，个人电脑、教育机构、各类民间组织和国家机关都曾被其光顾过。
电子邮件、文件、消息、内部讨论等等都是其搜集的对象。[1]
火焰病毒攻击范围
公布统计数字，确认新型电脑病毒“火焰”入侵。
遭受该毒感染的国家包括伊朗（189个目标遭袭），以色列和(98个目标遭袭)，(32个目标遭袭)，(30 个目标遭袭)，(18 个目标遭袭)，(10个目标遭袭)和埃及(5个目标遭袭)。[1]
Flame的攻击目标包括个人计算机、国家机关甚至教育机构。Flame是一种复杂的恶意程序，可以盗取大量的数据和各种各样的信息。卡巴斯基实验室的专家们正在进一步分析Flame，并陆续公布相关的分析结果。
火焰病毒开发者
由于破解病毒需要一定时间，截至日，还未查出源头。
杀毒软件厂商指出，有证据显示，开发“火焰”病毒的国家可能与开发2010年攻击伊朗核项目的病毒的国家相同。但是，他们尚未确定该病毒是否像攻击伊朗核项目的蠕虫病毒那样拥有特殊任务，并拒绝说出他们认为是谁开发了该病毒。2010年，伊朗离心机遭受计算机蠕虫入侵，使伊朗核计划遭受挫折。伊朗曾指责美国和以色列释放了这些蠕虫病毒。
伊朗外交部发言人指责是以色列制造“火焰”病毒，又说这些手段，不会成功。[1]
虽然还没有任何方面承认，但已有许多证据表明火焰和震网病毒来自一个强大的幕后黑手：方程式组织（Equation Group）
火焰病毒新特点
首先，在恶意程序中使用就是非同寻常的，特别是在这么大的一个攻击工具中。一般来说，现代恶意程序大小都偏小，并用紧凑的编程语言进行编写，这样的话能很好的将其隐藏。因此，通过大量的代码实现隐藏是Flame的新特点之一。
其次，记录来自内部话筒音频数据也是相当新的手段。当然，其它一些已知的恶意程序也能够记录音频数据，但是Flame的关键不同是它很全面——能够以各种各样的手段盗取数据。
最后，Flame另外一个令人称奇的特点就是对蓝牙设备的使用。当设备的开启的时候，Flame可以将配置模块中的相关选项同时开启，当发现有设备靠近被感染的计算机时，就可以收集设备中的信息。有赖于这样的配置，它还能以受感染的计算机做为一个“灯塔”，发现通过蓝牙传输的设备，并为背后的操控者提供有关编入到设备信息中的恶意程序状态。[1]
火焰病毒关联病毒
与曾经攻击伊朗核项目计算机系统的“”相比，“火焰”病毒不仅更为智能，且其攻击目标和代码组成也有较大区别。“火焰”病毒的攻击机制更为复杂，且攻击目标具有特定地域的地点。
“火焰”病毒出现的最早时间甚至可追溯到2007年12月。“震网”和“毒区”两款病毒的创建时间也大概为2007年前后。
“火焰”病毒部分特征与先前发现的“震网”和“毒区”两款病毒类似，显示三种病毒可能“同宗”。专家认为，已形成“”攻击群。“震网”病毒攻击的是伊朗核设施，“毒区”病毒攻击的是伊朗工业控制系统数据，而“火焰”病毒攻击的则是伊朗石油部门的商业情报。[1]
火焰病毒病毒防范
想判断是否中了这种病毒，可以通过查看联网程序来判断。截至2012年，国内各种杀软已经有专杀供下载。
最新的个人版产品和企业版产品都能检测并查杀Flame及其所有的变种。
．远景在线
[引用日期]独家连载 | 零日漏洞：震网病毒全揭秘（22）_黑客技术
记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华
他断定，一旦震网病毒发现计算机上装有Step 7或WinCC，就会将与目标软件相对应的同名.DLL文件从较大的.DLL中解包出来并解密…… 第八章 载荷巴黎CBD拉德芳斯区。爱琴海大厦（Tour Egée）。在这座以外形奇酷著称的40层三角形建筑中，尼克o法里耶正弓着腰、伸着脖子，在公司位于第8层的办公室里紧张工作着。窗外，摩天大楼鳞次栉比，隐约可以看到缓步走向新凯旋门的暑休游客和地上的白鸽。法里尔却是“两耳不闻窗外事，一心只研震网码”，目标就是它那复杂的载荷。爱琴海大厦那是2010年8月初，法里尔进入震网3人小组刚满两个星期，钱哥和莫楚还没发现震网中有那么多零日漏洞。在这两周中，法里尔一直在和莫楚分析导弹部分中那个巨大的.DLL文件，但他知道，核心的秘密藏在载荷部分中。这一天，和朋友们吃过午饭后，他开始了载荷部分的分析。具体步骤是，先把其中每个文件分离出来，再想方设法理解它们的格式和功能。他注意到，有一个.DLL文件的名字似曾相识。于是，他来到了测试计算机上的西门子Step 7程序文件夹。很快，他找到了一个同名.DLL文件。“这可真有意思。”法里尔想。他断定，一旦震网病毒发现计算机上装有Step 7或WinCC，就会将与目标软件相对应的同名.DLL文件从较大的.DLL中解包出来并解密。法里尔使用藏在病毒代码中的密钥，解开了Step 7同名.DLL文件的密码，发现它具有与合法Step 7同名.DLL文件的全部功能。除此之外，它还有一些包括“读”“写”指令的可疑代码。法里尔毕竟“阅码无数”，很清楚这是什么意思。原来，震网中的这个假冒.DLL是一个后门，感染计算机后在系统中潜伏，等待“系统企图对目标PLC执行读/写操作”的时机，再实施进一步劫持（hook）。与震网病毒导弹部分中的后门类似，这个后门可以通过劫持读函数（hooking the reading function），把对攻击PLC的代码隐藏起来。据法里尔所知，这是“史上第一个”针对工业控制系统的而设计的后门。震网脖子上挂的“第一”奖牌又多了一块。法里尔无法判断这个假冒.DLL劫持读函数，究竟是为了被动监视PLC并收集其运行信息，还是有什么更深的用意。但是，它劫持读函数的行为，似乎在暗示，它正企图停止PLC的正常运行或改变PLC的运行状态。他瞄了一眼时间，现在是美国加州时间早上5点，给钱哥打电话太早了点，还是接着干活吧。几小时后，他终于找到了这一谜题的所有答案。结果正如他所料，震网病毒会把西门子软件发给PLC的指令拦截下来，换成自己的指令。虽然看不到震网注入PLC的代码，不能确定它到底让PLC做了什么，但他敢肯定，绝不会是什么好事。这时，已经到了加州时间早上9点，法里尔拿起电话，给钱哥打了过去。一般情况下，法里尔和钱哥每周联系一次，通报一下法里尔这边的工作进展。通话过程会非常高效，内容直截了当，时间不超过一分钟。但这一次，法里尔详细汇报了这次发现的所有细节。钱哥专心听着这些惊人的内容。他们看到的攻击越来越复杂。简直可以说，震网的每一个角落中都藏着一个大大的惊奇。钱哥同意，让法里尔一心一意把震网注入PLC的代码弄清楚。他们还决定，让法里尔在博客上发布一个关于发现PLC后门的简短声明。当然，细节将暂时保密，直到法里尔搞清楚震网到底对PLC做了什么为止。那天晚上，在回家的地铁上，法里尔陷入了一种紧张不安的情绪中。4年来，他拆解过无数病毒，见过无数种恶意程序，已经很难再对这些东西感到激动。但这一次太不一样了。对PLC的攻击史无前例，而且，震网很可能会开创一个网络攻击的全新类型。激动之余，他深知前路充满坎坷。假冒的西门子.DLL文件很大，也不清楚Step 7和受其控制PLC的结构。法里尔和钱哥对Step 7和PLC完全是门外汉，甚至不能确定问题是否存在可行解，继续破解载荷代码的任务面临着严峻挑战。他们唯一知道的，就是他们正走在一条望不到尽头的苦旅上。（待续）译者：李云凡&
阅读:554 | 评论:0 | 标签:
想收藏或者和大家分享这篇好文章→
? 关注Hackdig微博，点击下方按钮?
? 关注Hackdig微信，学习技术更方便震网病毒的秘密兄弟_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
震网病毒的秘密兄弟
上传于||文档简介
&&从震网病毒发现到现在已经3年多了,作为第一个被曝光的网络武器,时至今日依然让军事战略家,信息安全专家,政治决策者和广大的公众对它感到迷惑不解。震网病毒其实不是一个,而是有两个。大部分的注意力都被那个较简单的攻击程序吸引了,就是改变铀浓缩离心机转子速率的那个。另外一个被“遗忘”的程序复杂度和隐蔽性都高了一个量级。
阅读已结束，如果下载本文需要使用0下载券
想免费下载更多文档？
定制HR最喜欢的简历
下载文档到电脑，查找使用更方便
还剩1页未读，继续阅读
定制HR最喜欢的简历
你可能喜欢