网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

著名的超级工厂病毒攻击为人所知主要源于2010年伊朗布什尔核电站遭到Stuxnet蠕虫的攻击的事件曝光。

遭遇超级工厂病毒攻击的核电站计算机系统实际上是与外界物理隔离的，理论上不会遭遇外界攻击。坚固的堡垒只有从内部才能被攻破，超级工厂病毒也正充分的利用了这一点。超级工厂病毒的攻击者并没有广泛的去传播病毒，而是针对核电站相关工作人员的家用电脑、个人电脑等能够接触到互联网的计算机发起感染攻击，以此为第一道攻击跳板，进一步感染相关人员的移动设备，病毒以移动设备为桥梁进入"堡垒"内部，随即潜伏下来。病毒很有耐心的逐步扩散，一点一点的进行破坏。这是一次十分成功的APT攻击，而其最为恐怖的地方就在于极为巧妙的控制了攻击范围，攻击十分精准。

在2011年，一种基于Stuxnet代码的新型的蠕虫Duqu又出现在欧洲，号称"震网二代"。 Duqu主要收集工业控制系统的情报数据和资产信息，为攻击者提供下一步攻击的必要信息。攻击者通过僵尸网络对其内置的RAT进行远程控制，并且采用私有协议与CC端进行通讯，传出的数据被包装成jpg文件和加密文件。

3、夜龙攻击

夜龙攻击是McAfee在2011年2月份发现并命名的针对全球主要能源公司的攻击行为。

该攻击的攻击过程是：

1) 外网主机如Web服务器遭攻击成功，多半是被SQL注入攻击;

2) 被黑的Web服务器被作为跳板，对内网的其他服务器或PC进行扫描;

3) 内网机器如AD服务器或开发人员电脑遭攻击成功，多半是被密码暴力破解;

4) 被黑机器被植入恶意代码，多半被安装远端控制工具(RAT)，传回大量机敏文件(word、PPT、PDF等等)，包括所有会议记录与组织人事架构图;

5) 更多内网机器遭入侵成功，多半为高阶主管点击了看似正常的邮件附件，却不知其中含有恶意代码。

4、RSA SecurID窃取攻击

2011年3月，EMC公司下属的RSA公司遭受入侵，部分SecurID技术及客户资料被窃取。其后果导致很多使用SecurID作为认证凭据建立VPN网络的公司——包括洛克希德马丁公司、诺斯罗普公司等美国国防外包商——受到攻击，重要资料被窃取。在RSA SecurID攻击事件中，攻击方没有使用大规模SQL注入，也没有使用网站挂马或钓鱼网站，而是以最原始的网路通讯方式，直接寄送电子邮件给特定人士，并附带防毒软体无法识别的恶意文件附件。

其攻击过程大体如下：

1) RSA有两组同仁们在两天之中分别收到标题为"2011 Recruitment Plan"的恶意邮件，附件是名为"2011 Recruitment plan.xls"的电子表格;

2) 很不幸，其中一位同仁对此邮件感到兴趣，并将其从垃圾邮件中取出来阅读，殊不知此电子表格其实含有当时最新的Adobe Flash的0day漏洞(CVE-2011-0609);

3) 该主机被植入臭名昭著的Poison Ivy远端控制工具，并开始自C&C中继站下载指令进行任务;

4) 首批受害的使用者并非"位高权重"人物，紧接着相关联的人士包括IT与非IT等服务器管理员相继被黑;

5) RSA发现开发用服务器(Staging server)遭入侵，攻击方随即进行撤离，加密并压缩所有资料(都是rar格式)，并以FTP传送至远端主机，又迅速再次搬离该主机，清除任何踪迹。

5、Nitro攻击

2011年10月底，Symantec发布的一份报告公开了主要针对全球化工企业的进行信息窃取的Nitro攻击。

该攻击的过程也十分典型：

1) 受害企业的部分雇员收到带有欺骗性的邮件;

2) 当受害人阅读邮件的时候，往往会看到一个通过文件名和图标伪装成一个类似文本文件的附件，而实际上是一个可执行程序;或者看到一个有密码保护的压缩文件附件，密码在邮件中注明，并且如果解压会产生一个可执行程序。

3) 只要受害人执行了附件中的可执行程序，就会被植入Poison Ivy后门程序。

4) Poison Ivy会通过TCP 80端口与C&C服务器进行加密通讯，将受害人的电脑上的信息上传，主要是帐号相关的文件信息。