讓我們看看行業(yè)最復雜的攻擊之一以及從中學到的教訓。伊朗核設(shè)施、零日漏洞、秘密特工和國家行動聽起來更像是間諜小說的背景故事，而不會讓人聯(lián)想到惡意軟件。然而，Stuxnet正是這樣一個惡意軟件。這個經(jīng)過最多研究和分析的惡意軟件仍然在世界各地的安全界被研究和討論，盡管它已經(jīng)出現(xiàn)了一年多之久。

你可能并沒有經(jīng)營核電廠，那為什么應(yīng)該擔心這個以特定離心機模型(特別是核電廠)為攻擊對象的惡意軟件呢?簡單地說，Stuxnet帶來了網(wǎng)絡(luò)噩夢，并且永遠地改變了安全世界，同時造成與監(jiān)管控制和數(shù)據(jù)采集(SCADA)網(wǎng)絡(luò)(很多能源和公用事業(yè)公司內(nèi)的控制操作)相關(guān)的高風險。

類似Stuxnet的攻擊是如何攻擊你的企業(yè)，而你又該如何阻止這種攻擊?讓我們看看。

第一個問題，你為什么要擔心這種惡意軟件?最近Ponemon研究所的報告(IT安全狀況：公用設(shè)施和能源公司的研究)顯示，在這些公司中，保護監(jiān)管控制和數(shù)據(jù)采集系統(tǒng)是最高的安全目標，且是最難以實現(xiàn)的目標。對于這些運行監(jiān)管控制和數(shù)據(jù)采集網(wǎng)絡(luò)的公司，Stuxnet帶來的危害就像是擁有充足資源的堅定而技術(shù)熟練的攻擊者造成危害。

對于其他公司而言，私有網(wǎng)絡(luò)和SCADA網(wǎng)絡(luò)存在差異，風險也不相同。最好的辦法就是理解Stuxnet的攻擊原理，它的意圖，最重要的是為什么這種攻擊能夠如此成功，以及可能攻擊你的網(wǎng)絡(luò)的這種惡意軟件的潛在變種。

在2009年6月、7月，以及2010年的3月、4月和5月，Stuxnet被用于針對五家企業(yè)的有針對性攻擊，這五家企業(yè)都與伊朗核設(shè)施有關(guān)聯(lián)。對特定企業(yè)的針對性是Stuxnet與傳統(tǒng)高級持續(xù)性威脅的主要區(qū)別。

我們通常都會聯(lián)想到高級持續(xù)性威脅，例如針對谷歌、Adobe、Juniper、Rackspace等的Aurora攻擊，這種攻擊利用了相同的零日IE漏洞，對多家企業(yè)部署了相同的技術(shù)以試圖竊取源代碼。

而另一方面，Stuxnet是一種非常復雜、資金充足、定制設(shè)計的攻擊，顯然是為了擾亂伊朗濃縮鈾的生產(chǎn)的單一目的。如果說高級持續(xù)性攻擊時針對某一范圍內(nèi)多個目標的機槍的話，那么，Stuxnet就是熱敏GPS定位導彈。

安全研究人員研究了抵御Stuxnet的潛在抵御措施，他們創(chuàng)建了一個模擬核電廠網(wǎng)絡(luò)，配備了Stuxnet在2009年和2010年初發(fā)動攻擊時當時最優(yōu)秀的安全防御工具。隨后，這些研究人員分析了Stuxnet使用過的每個感染、傳播和隱藏的切入點，來確定這些最佳措施是否能夠阻止這種惡意軟件的感染。

他們的結(jié)論是：“不行，以現(xiàn)在的部署情況，不能真正防止這種類型的攻擊。”但是這些研究人員提出了一些建議：不要專門針對這些危險，應(yīng)該將重點放在企業(yè)的漏洞上。

USB驅(qū)動器是第一個教訓。可移動驅(qū)動器感染是非常常見的。惡意軟件被放在USB驅(qū)動或者外部移動硬盤中，在電腦間傳播。Stuxnet這種類型的攻擊更加致命的原因在于它使用了零日快捷漏洞，這就不需要任何用戶間的交互，只需要將驅(qū)動插入電腦。

針對這個問題的最佳防御手段就是可移動存儲設(shè)備安全軟件，很多安全供應(yīng)商都供應(yīng)這種安全軟件，能夠防止未知或未經(jīng)授權(quán)USB驅(qū)動、CD/DVD、移動硬盤、數(shù)字音樂播放器等接入或者載入電腦。這些工具應(yīng)該通過公司政策來強制執(zhí)行，政策應(yīng)該明確規(guī)定可移動存儲設(shè)備是否能夠用于特定計算機或者特定用戶。

第二個教訓就是傳播。Stuxnet依賴于網(wǎng)絡(luò)漏洞，將其自身藏在WinCC項目文件中以確保能夠在指定時間內(nèi)被執(zhí)行。這種類型的傳播需要工作站間的點到點通信。

你可以通過使用托管防火墻過濾潛在危險的流量來阻止這種類型的傳播，，例如讓一臺計算機直接與另一臺計算機通信的服務(wù)。Stuxnet利用了一個漏洞來從工作站A向工作站B發(fā)送精心設(shè)計的RPC信息，導致它執(zhí)行代碼下載惡意軟件。如果工作站B部署了防火墻來防止入站連接的話，這種攻擊就會失敗。

第三個教訓是身份驗證。Stuxnet使用的Windows rootkit做的事情是整個安全行業(yè)從未見過的，它利用來自合法公司的合法證書來讓windows驅(qū)動程序來掩蓋其身份。

Stuxnet并不必擔心其代碼與其他惡意軟件使用的所有復雜的技術(shù)混淆，如果你是一個管理員，你會懷疑Windows\System32文件夾下名為MrxNet.sys由RealTek編寫，有合法證書的文件嗎?

If this install was not on your schedule, it might be someone operating without following change management procedures, or it might be something nasty, like Stuxnet. 你現(xiàn)在可以做的就是使用文件哈希和更改管理工具(例如來自Tripwire公司用于檢測這些“隱藏在眾目睽睽之下”的技術(shù))。當一個新的驅(qū)動程序被安裝時，監(jiān)測關(guān)鍵windows驅(qū)動程序文件夾的更改管理工具會發(fā)出一個警告。如果這種安裝并不是你的指示，那么可能是有人在沒有按照更改管理程序來操作，或者更糟糕的情況，例如Stuxnet。