继震网病毒Stuxnet之后,Duqu现身

Stuxnet蠕虫病毒(震网,又名超级工厂病毒)是世界上首个专门针对工业控制系统编写的破坏性病毒,能够利用对windows系统和西门子SIMATIC WinCC系统的7个漏洞进行攻击。特别是针对西门子公司的SIMATIC WinCC监控与数据采集 (SCADA) 系统进行攻击,由于该系统在我国的多个重要行业应用广泛,被用来进行钢铁、电力、能源、化工等重要行业的人机交互与监控。

这是有史以来第一个包含PLC Rootkit的电脑蠕虫,也是已知的第一个以关键工业基础设施为目标的蠕虫。此外,该蠕虫的可能目标为伊朗使用西门子控制系统的高价值基础设施。据报道,该蠕虫病毒可能已感染并破坏了伊朗纳坦兹的核设施,并最终使伊朗的布什尔核电站推迟启动。

Duqu最早出现在2011年9月,是继Stuxnet蠕虫后最为恶性的一种可窃取信息的蠕虫。

从本质上来说,Duqu是一种远程访问的木马或者RAT,它有一个简单的后门可以为攻击者在受害者机器上提供一个长久的驻足点。一旦建立了后门,Duqu就可接触到受害机器上的命令和控制服务器,然后攻击者可以在该服务器上下载附加的模块,以丰富其攻击程序的功能。

与其说Duqu是一个间谍工具,还不如说它更像一个侦查软件。Duqu是有生命周期的,在代码执行30天以后它会自毁并删除掉所有的入侵痕迹。Duqu之所以与众不同,是因为它的攻击对象很特殊。数字证书是让互联网各项功能正常运行的核心环节,所以,如果数字证书遭到了入侵,这对互联网来说简直就是毁灭性的打击。Duqu还有一个很特殊的部分就是攻击者在受害者机器上下载额外负载模块(Payload)时所使用的组件。这个组件所使用的编程语言既不是C语言也不是C++语言,而是一种研究员们从来没有见过的编程语言。

Duqu攻击没有使用0day漏洞利用程序来帮助其传播,也不能像Stuxnet那样自动的传播。但是一旦机器感染了Duqu,攻击者只需手动的从受控制的服务器上发送攻击指令,它就可以立即感染其他的机器。Duqu执行的是系统性强且有条理的攻击,它甚至会根据不同的目标编译不同的攻击文件,执行不同的命令。

原文发布于微信公众号 - 安恒信息(DBAPP2013)

原文发表时间:2014-11-25

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏西枫里博客

关于ICP备案你所不了解的那些事

原打算这篇文章是写成正常的网站备案指导步骤的,在写的过程中,我发现其实各大IDC厂商的的帮助信息都已经非常明确具体了,甚至细分到每个省区有不同的细则都标识的很清...

61830
来自专栏区块链大本营

独家 | Fomo 3D 沦陷?为何又是 DDoS攻击?来听听区块链安全大牛的深度解析

据国内多家区块链媒体报道:2018年7月31日晚,多个韩国社区爆出“Fomo 3D被黑客攻击之后停止运营了”传言,据DappRadar上以太坊Dapp数据显示,...

15030
来自专栏安恒信息

HT工具泄露 安恒APT产品无需升级即可检测

  近日,一家以协助政府监视公民而“闻名于世”的意大利公司Hacking Team数据失窃。攻击者窃取了Hacking Team超过400GB的数据并公布于网络...

32680
来自专栏玄魂工作室

CTF实战22 病毒感染技术

是指在未明确提示用户或未经用户许可的情况下,在用户计算机或其他终端上安装运行,侵犯用户合法权益的软件

11120
来自专栏北京马哥教育

Linux恶意软件简史

? ——那些年困扰Linux的蠕虫、病毒和木马 虽然针对Linux的恶意软件并不像针对Windows乃至OS X那样普遍,但是近些年来,Linux面临的安全威...

47970
来自专栏区块链入门

【链安科技】游戏Fomo 3D合约漏洞

自7月8日,一款运行在以太坊上的带有明显博弈性质的区块链游戏火了,这是继EOS-RAM之后,又一个用惊人收益刷新着我们认知的“新物种”,它就是Fomo 3D。

9140
来自专栏企鹅号快讯

7210个漏洞!互联网金融网站风险较高

互联网金融是金融与互联网技术相融合的领域,信息流的安全性是互联网金融发展的基础和保障。互联网金融信息系统在运行过程中一旦发生数据泄露、盗取、篡改等事件,会使各方...

20960
来自专栏腾讯云安全的专栏

解读︱SSH 暴力破解攻击瞄准这类用户,小心你的设备被利用挖矿

28420
来自专栏企鹅号快讯

这个 Office 漏洞的年龄可能比有些白帽子还大

能潜伏的不只有生物学上的病毒,还有网络中的病毒。 近日,宅客频道从腾讯电脑管家官方微博看到一则消息:腾讯安全反病毒实验室在全球范围内捕获了一例病毒样本,并顺藤摸...

23460
来自专栏FreeBuf

俄罗斯浮现新型银行木马Silence,或与Carbanak有关

近日,卡巴斯基实验室的研究人员发现了一种新型木马——Silence,犯罪组织利用它对俄罗斯,马来西亚,亚美利亚的银行进行了网络攻击。 卡巴斯基的 GreAT 调...

22650

扫码关注云+社区

领取腾讯云代金券