首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >继震网病毒Stuxnet之后,Duqu现身

继震网病毒Stuxnet之后,Duqu现身

作者头像
安恒信息
发布2018-04-11 14:22:47
7190
发布2018-04-11 14:22:47
举报
文章被收录于专栏:安恒信息安恒信息

Stuxnet蠕虫病毒(震网,又名超级工厂病毒)是世界上首个专门针对工业控制系统编写的破坏性病毒,能够利用对windows系统和西门子SIMATIC WinCC系统的7个漏洞进行攻击。特别是针对西门子公司的SIMATIC WinCC监控与数据采集 (SCADA) 系统进行攻击,由于该系统在我国的多个重要行业应用广泛,被用来进行钢铁、电力、能源、化工等重要行业的人机交互与监控。

这是有史以来第一个包含PLC Rootkit的电脑蠕虫,也是已知的第一个以关键工业基础设施为目标的蠕虫。此外,该蠕虫的可能目标为伊朗使用西门子控制系统的高价值基础设施。据报道,该蠕虫病毒可能已感染并破坏了伊朗纳坦兹的核设施,并最终使伊朗的布什尔核电站推迟启动。

Duqu最早出现在2011年9月,是继Stuxnet蠕虫后最为恶性的一种可窃取信息的蠕虫。

从本质上来说,Duqu是一种远程访问的木马或者RAT,它有一个简单的后门可以为攻击者在受害者机器上提供一个长久的驻足点。一旦建立了后门,Duqu就可接触到受害机器上的命令和控制服务器,然后攻击者可以在该服务器上下载附加的模块,以丰富其攻击程序的功能。

与其说Duqu是一个间谍工具,还不如说它更像一个侦查软件。Duqu是有生命周期的,在代码执行30天以后它会自毁并删除掉所有的入侵痕迹。Duqu之所以与众不同,是因为它的攻击对象很特殊。数字证书是让互联网各项功能正常运行的核心环节,所以,如果数字证书遭到了入侵,这对互联网来说简直就是毁灭性的打击。Duqu还有一个很特殊的部分就是攻击者在受害者机器上下载额外负载模块(Payload)时所使用的组件。这个组件所使用的编程语言既不是C语言也不是C++语言,而是一种研究员们从来没有见过的编程语言。

Duqu攻击没有使用0day漏洞利用程序来帮助其传播,也不能像Stuxnet那样自动的传播。但是一旦机器感染了Duqu,攻击者只需手动的从受控制的服务器上发送攻击指令,它就可以立即感染其他的机器。Duqu执行的是系统性强且有条理的攻击,它甚至会根据不同的目标编译不同的攻击文件,执行不同的命令。

本文参与 腾讯云自媒体分享计划,分享自微信公众号。
原始发表:2014-11-25,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 安恒信息 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体分享计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
腾讯云小微
腾讯云小微,是一套腾讯云的智能服务系统,也是一个智能服务开放平台,接入小微的硬件可以快速具备听觉和视觉感知能力,帮助智能硬件厂商实现语音人机互动和音视频服务能力。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档