第112篇：美国APT震网病毒入侵伊朗核工厂后续与启示（第4篇）

主要观点总结

本文详细介绍了震网病毒的前世今生，包括其传播方式、文件结构、如何利用工控系统漏洞进行攻击，以及如何追踪感染源等。同时指出，震网病毒的泄露和传播对全球网络安全造成了极大的威胁。

关键观点总结

关键观点1: 震网病毒传播方式和攻击目标

震网病毒主要通过USB存储设备传播，利用多个Windows系统漏洞获取系统最高权限，并搜索是否安装了西门子Step 7和WinCC软件，针对s7otbxsx.dll文件进行篡改或替换，实现对工业设备的恶意控制。

关键观点2: 震网病毒文件结构和传播机制

震网病毒主要由6个文件组成，包括4个快捷方式文件和2个临时的DLL文件。病毒利用快捷方式文件触发启动，通过DLL文件执行恶意任务，并利用提权漏洞获取更高权限。同时，病毒会启动一个RPC服务，与局域网中其他感染的计算机进行信息交流，通过P2P方式自动升级恶意代码。

关键观点3: 震网病毒的感染源追踪

通过收集全球数万个震网病毒样本进行综合分析，确定了震网病毒在全球范围内最初的5个感染地点，都是位于伊朗核设施工厂周边的设备承包商处。这些承包商的技术人员带着病毒进入纳坦兹核工厂后，病毒通过技术人员的计算机传播到工厂内。

关键观点4: 震网病毒的编程错误和泄露

震网病毒原本设计为潜伏在伊朗的计算机控制系统中，但由于一个编程错误导致病毒错误地扩散到不支持的操作系统，引起了安全专家的注意。此外，以色列在未经美国NSA同意的情况下修改了震网病毒的代码，导致病毒泄露并广泛传播，对全球网络安全造成了极大的威胁。

文章预览

 Part1 前言  大家好，我是ABC_123 。关于震网病毒stuxnet我曾经写过3篇文章，详细介绍了震网病毒0.5版本借助人员社工的方式插入内网电脑、1.x版本震网病毒借助5家供应链公司实现自动化入侵物理隔绝的核工厂的案例分析。今天重新整理了一下当时的资料，还有一些零零散散的草稿部分没有写，今天就总结发出来吧。 前面我写了3篇文章，欢迎大家阅览： 第74篇：美国APT网络攻击破坏伊朗核设施全过程复盘分析（第1篇） 第75篇：美国APT供应链打穿伊朗物理隔离的核工厂案例分析（第2篇） 第76篇：美国震网病毒隐蔽破坏伊朗核设施离心机的多种方法揭秘（第3篇 ）  Part2 技术研究过程  震网病毒内置多个Windows系统0day漏洞 震网病毒内置了6个Windows系统漏洞及2个工控系统漏洞，包括4个Windows系统的0day漏洞、1个MS08-067的Nday漏洞、几个Windows本地提权漏洞。 ………………………………