2010年11月《安全天下事之不对称的战争》

本文链接：https://blog.youkuaiyun.com/antiy_seak/article/details/6068262

2010年11月，Stuxnet蠕虫攻击成为焦点，它利用多种漏洞针对工业控制系统发起攻击，尤其是针对西门子的WinCC系统及Step7 PLC。此蠕虫可能旨在攻击伊朗核设施，显示出传统安全措施在专业环境下的局限性。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

不对称的战争

(2010年11月) 文/江海客

10 月Stuxnet蠕虫成为各安全厂商和主管部门关注的焦点，卡巴斯基和赛门铁克等厂商都在VB大会上作了专题报告。这个蠕虫于7月份开始大规模爆发。近日，分析人员推测其攻击目标是伊朗核设施，并怀疑作者来自以色列，因而引发媒体和公众的广泛关注。该蠕虫在工业以太网中传播，最终对工业控制系统中的PLC（可编程逻辑控制器）发起攻击。此外，它的传播手段非常丰富，包括U盘（自动播放缺陷、MS10-046快捷方式文件解析漏洞）、MS10-061打印服务漏洞、MS08-067RPC远程执行漏洞、共享服务弱口令问题、WinCC系统数据库远程访问和执行漏洞等，其中有3个全新的零日漏洞。

      WinCC是西门子出品的工业控制系统，是一个行业标准级别的产品，在国内产品应用范围包括能源、汽车、冶金、交通等诸多行业。而正是WinCC系统环境的专用性给安全厂商构成了一定难题，没有得到西门子或者使用WinCC用户深度配合的厂商，很难完整浮现病毒的全部行为，而被攻击的Step 7 PLC控制工具，则更是安全厂商所不熟悉的。Stuxnet通过替换WinCC系统中的一个DLL文件，劫持Step 7工程文件运行时依赖的库函数。显然对于AVER来说，相关产品都是崭新的名词。
      在传统的信息安全体制中，守方所具有的最大优势是其和攻击者之间对于信息系统具有认知的不对称性，在攻击者不断渗透的过程中不对称的天平才开始向攻方倾斜。但随着体系规模的扩大，用户的安全性很多靠安全厂商来实现，而安全产品的通用化和被摊薄的响应成本往往无力支撑高价值目标所要求的安全性。特别是对专有环境，攻方长时间的通过搭建模拟环境进行了解，而安全厂商则对于系统的了解程度既不如攻击者，也不如用户。这就使厂商不能第一时间做出有效响应。我们这里说的响应不是查杀，面对高价值系统的安全问题，查杀是最浅层次的对抗，深度分析、复现效果、评价影响、消除后果、分析动机才是深度对抗的要求。这个层次的对抗，有如一场战争。
      在这次恶意代码疫情中有一个值得关注的细节，就是WinCC的作者把SQL SERVER的用户名和口令直接写在了程序中，而不是作为一个配置文件，这一点就使病毒可以对相关系统畅行无阻。即使是严谨的德国工程师也会违反“代码、数据、配置”三分开的原则，这是因为在过去的若干年内，专用系统基本没有经历过严苛的安全考验，一些陋习没有得到足够的教训。随着物联网时代的到来，PC上走过的一切安全麦城，在物联网上都要经历一次。本月国内用户和媒体似乎更关注所谓的隐私之争，其实这也是一个不对称的话题。这是产品厂商与用户之间的不对称性，从微软是否带有后门、到云计算到底是不是“云算计”，公众理应质疑一切垄断和交互。但我们每次都没有看到真正的逆转不对称性的技术实证，却看到了一场场传播秀和群众运动。对此不便于评论什么，只是有些联想——由于我不是警察，所以我看《无间道》最深刻的一句台词不是“对不起，我是警察”，而是“香港的事情不应该由姓倪的来管”，这才我看到无间道所学到的最大正义。

技术文献：
有关Stuxnet蠕虫的相关情况和细节可以参见《对Stuxnet蠕虫攻击工业控制系统事件的综合报告》
http://www.antiy.com/cn/security/2010/Report_On_the_Attacking_of_Worm_Struxnet_by_antiy_labs.htm