TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI
VIỆN CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG
*
BÀI TIỂU LUẬN
IT6071- AN TOÀN BẢO MẬT TRONG CÔNG NGHỆ
THÔNG TIN
Giảng viên hướng dẫn:
PGS. TS. Trần Đức Khánh
Học viên thực hiện:
1. Nguyễn Thanh Tùng
2. Nguyễn Thị Hồng
3. Đỗ Thị Thanh Loan

Lớp:
Cao học 2012A – Hưng Yên

Năm 2013
MỤC LỤC
MỤC LỤC 2
DANH MỤC HÌNH ẢNH 4
LỜI MỞ ĐẦU 5
NỘI DUNG 6
1. Giới thiệu sâu máy tính chiến tranh mạng Stuxnet 6
Hình 1. Biểu tượng hình ảnh mô tả các virus máy tính Stuxnet 6
Hình 2. out of control: flame, stuxnet, and the cyber-security Landscape 7
2. Bí mật về siêu sâu Stuxnet 8
Hình 3. Vì chuyên đánh cắp những thông tin về dầu mỏ nên loại mã độc này được mang tên
Flame 19
Hình 4. Một phần đoạn mã nguồn của siêu sâu Stuxnet 19
3. Hiểm họa vi-rút Stuxnet 20
4. Stuxnet với Microsoft 23

Hình 5: Tập tin Stuxnet 24
Hình 6: Cấu hình Autoruns 25
Hình 7: File stuxnet 25
Hình 8: Lsass 26
Hình 9: LSA Verify 27
Hai tiến trình Lsass thêm rõ ràng là có một số mục đích nghịch ngợm, nhưng thực thi chính
và các dòng lệnh không tiết lộ bất kỳ manh mối. Tuy nhiên, bên cạnh việc chạy như con của
services.exe, một đặc điểm đáng ngờ của hai quá trình không cần thiết là một thực tế rằng họ
có rất ít DLL được nạp, như xem Process Explorer DLL: 27
Hình 10: DLL explorer 27
Hình 11: Kích thước Lsass 28
5. Thực tại Stuxnet 45
Ngày nay để ngăn chặn một phần nào đó Stuxnet bạn có thể sử dụng phần mềm Stuxnet
Removal Tool 51
TÀI LIỆU THAM KHẢO 52

DANH MỤC HÌNH ẢNH
Hình 1. Biểu tượng hình ảnh mô tả các virus máy tính Stuxnet 6
Hình 2. out of control: flame, stuxnet, and the cyber-security Landscape 7
Hình 3. Vì chuyên đánh cắp những thông tin về dầu mỏ nên loại mã độc này được mang tên
Flame 19
Hình 4. Một phần đoạn mã nguồn của siêu sâu Stuxnet 19
Hình 5: Tập tin Stuxnet 24
Hình 6: Cấu hình Autoruns 25
Hình 7: File stuxnet 25
Hình 8: Lsass 26
Hình 9: LSA Verify 27
Hai tiến trình Lsass thêm rõ ràng là có một số mục đích nghịch ngợm, nhưng thực thi chính và
các dòng lệnh không tiết lộ bất kỳ manh mối. Tuy nhiên, bên cạnh việc chạy như con của
services.exe, một đặc điểm đáng ngờ của hai quá trình không cần thiết là một thực tế rằng họ có

rất ít DLL được nạp, như xem Process Explorer DLL: 27
Hình 10: DLL explorer 27
Hình 11: Kích thước Lsass 28
LỜI MỞ ĐẦU
Một loại vi-rút máy tính có tên gọi là Stuxnet được phát hiện ẩn náu trong ngân
hàng dữ liệu của các nhà máy năng lượng, hệ thống kiểm soát giao thông và các nhà máy
trên khắp thế giới.
Máy tính điện tử đã được phát minh vào cuối Thế chiến thứ Hai và vi-rút máy tính
đã xuất hiện từ năm 1971. Năm 2009, một người nào đó (hiện vẫn chưa xác định được
danh tính) đã tung ra một loại vi-rút máy tính rất thông minh được gọi là Stuxnet. Loại vi-
rút này đã tấn công vào các cơ sở hạt nhân tại Iran.
Một điều đáng ngạc nhiên về Stuxnet là phần mềm này sử dụng một lỗ hổng bảo
mật ('zero-day vulnerability' – một lỗ hổng an ninh trong phần mềm mà người ngoài có
thể xâm nhập). Đây là lỗi bảo mật mà cả nhà sản xuất phần mềm lẫn người sáng chế ra vi-
rút không biết rằng nó tồn tại. Chỉ người phát hiện ra lỗ hổng này mới biết đến nó.
Chính vì vậy, lỗ hổng bảo mật có sức tàn phá rất mạnh.
Mới xuất hiện được 2 năm, Stuxnet đã chứng tỏ mình là một vũ khí chiến lược
trong môi trường tác chiến không gian mạng. Thậm chí, nó đã có "truyền nhân" là Duqu
với khả năng tấn công rộng hơn tới các mục tiêu công nghiệp.
NỘI DUNG
1. Giới thiệu sâu máy tính chiến tranh mạng Stuxnet
Một loại sâu máy tính có khả năng gây nên một cuộc chiến tranh mạng trên thế
giới, đã từng khiến hàng ngàn máy làm giàu uranium của Iran đột nhiên bị ngừng hoạt
động. Nó đã khiến cho chương trình hạt nhân của Iran bị đẩy lùi hai năm theo một cách
kỳ lạ và đang là sự quan tâm của thế giới. Như quyền năng của nó, gốc gác cũng như bản
chất của sâu máy tính Stuxnet là cực kỳ bí ẩn. Nó không chỉ hủy diệt những vật thể mà nó
len lỏi vào mà còn có thể hủy diệt cả những ý tưởng.
Hình 1. Biểu tượng hình ảnh mô tả các virus máy tính Stuxnet
Nguồn gốc của Stuxnet?
Cho đến nay, người ta vẫn chưa biết được nó ra đời từ đâu. Chỉ biết rằng, nó là một

siêu vũ khí chuyên để chiến tranh mạng, là mối lo ngại thực sự cho mọi quốc gia. Nếu rơi
vào tay bọn khủng bố, chẳng biết là nó sẽ gây nguy hiểm như thế nào nữa.
Nó được tạo ra để hủy diệt một mục tiêu cụ thể như nhà máy điện, nhà máy lọc dầu
hoặc nhà máy hạt nhân sau khi bí mật xâm nhập hệ thống điều khiển quy trình công
nghiệp, viết lại chương trình điều khiển này theo hướng tự hủy hoại. Nó sống trong môi
trường Windows, khai thác triệt để những lỗ hổng để phá hoại một mục tiêu vật chất cụ
thể, được phát hiện hồi tháng 6-2010 bởi một công ty máy tính tại Belarus.
Xét về độ phức tạp, sâu Stuxnet có nhiều điểm khó hiểu. Nó cho thấy người tạo ra
nó có hiểu biết sâu sắc về các quy trình công nghiệp, về những lỗ hổng của Windows và
có chủ ý tấn công vào cơ sở hạ tầng công nghiệp. Việc nó được viết bằng nhiều ngôn ngữ
lập trình khác nhau (bao gồm cả C và C++) cũng là một chuyện không bình thường.
Stuxnet nhiều khả năng là sản phẩm của một tập thể
Về độ nguy hiểm của nó, chẳng ai có thể lường hết bởi những cấu trúc cực kỳ phức
tạp. Trên thế giới hiện nay, có khoảng 45.000 máy tính của 9 quốc gia bị nhiễm Stuxnet
nhưng số hệ thống kiểm soát công nghiệp bị nhiễm không nhiều, chủ yếu ở Iran. Đây là
quốc gia tỏ ra khá cứng rắn trong vấn đề làm giàu uranium trong vấn đề hạt nhân.
Người tạo ra Stuxnet là ai?
Hình 2. out of control: flame, stuxnet, and the cyber-security Landscape
Chưa ai đứng ra lãnh trách nhiệm khi thiết kế nên sâu máy tính này. Từ đó, câu
chuyện đi tìm người sáng chế ra nó cũng có nhiều giả thiết, nhiều câu chuyện hư hư, thực
thực.
Theo nhiều báo, đài lớn của Anh, Mỹ như The Guardian, BBC và The New York
Times thì chẳng một cá nhân nào có thể làm nổi điều này. Đó là một công trình tập thể
bao gồm 5 đến 10 người, phải mất ít nhất 6 tháng, thậm chí cả năm và hao tốn cả chục
triệu USD mới có thể tạo ra sâu Stuxnet. Trong điều kiện đó, chỉ có thể là một quốc gia
mới có đủ khả năng thuê mướn một nhóm như vậy để làm chuyện mờ ám. Quốc gia bị đặt
trong vòng nghi ngờ đầu tiên là Israel – quốc gia của những người Do Thái vốn nổi tiếng
thông minh.
Cũng có những tin đồn NATO, Mỹ và một số nước phương Tây khác dính líu vào
cuộc chiến này. Tuần rồi, tuần báo Pháp Le Canard Enchainé, dẫn nguồn tin tình báo

Pháp, cho biết các cơ quan tình báo Mỹ, Anh và Israel đã hợp đồng tác chiến phá hoại
chương trình hạt nhân của Iran sau khi Israel đồng ý từ bỏ kế hoạch tấn công quân sự
những cơ sở hạt nhân của Iran.
Từ những câu chuyện trên, có thể thấy sâu Stuxnet thực sự là một vũ khí nguy
hiểm. Cầu mong là nó đừng rơi vào tay khủng bố, nếu không thì cả thế giới nguy ngập
mất. Với lại, đã phát minh ra được ắt cũng có cách chống, vấn đề là thời gian mà thôi.
Không tin là không có cách trị loại sâu máy tính này!
2. Bí mật về siêu sâu Stuxnet
Trong năm qua, đã có rất nhiều cuộc thảo luận và mưu đồ xung quanh Stuxnet sâu
một virus máy tính mất khả năng đã quét sạch gần 60% mạng máy tính của Iran. Cuộc tấn
công của Stuxnet có an ninh mạng và tác động chính sách ảnh hưởng sâu rộng, vì nó
chứng minh rằng quốc gia dễ bị hành động mạng làm tê liệt từ các quốc gia tiểu bang
hoặc các tổ chức tư nhân. Cộng đồng quốc tế vẫn còn không chắc chắn về nguồn gốc và
mục đích chính xác của virus, nhưng đã trở thành nhận thức dễ bị tổn thương đáng kể của
mình như là một kết quả của cuộc tấn công.
Có rất nhiều bài học có giá trị mà các nhà lãnh đạo chính sách có thể thu lượm
được từ việc phát triển và triển khai sâu Stuxnet. Để bắt đầu một cuộc đối thoại về những
gì virus có nghĩa là ở một mức độ chính sách quốc gia và giảm thiểu rủi ro của một loại
virus tương tự tấn công cơ sở hạ tầng khác, các nhà hoạch định chính sách phải công nhận
rằng các biện pháp an ninh hiện tại có thể không đủ để bảo vệ chống lại một cuộc tấn
công không gian mạng tinh vi của loại này . Chi tiết thông tin về sâu Stuxnet ngày càng
trở thành công khai, và có khả năng là ít nhất một số nước và / hoặc các tổ chức sẽ cố
gắng sao chép thành công của Stuxnet.
Làm sáng tỏ các mã: những bí ẩn của các mục tiêu và nguồn gốc
Có ba cách cơ bản mà ta có thể cố gắng để phân biệt nguồn gốc của một cuộc tấn
công không gian mạng. Đầu tiên là để tập trung vào các đặc tính kỹ thuật của các phần
mềm độc hại. Trong khi kỹ thuật này không thường làm việc tốt chống lại kẻ thù tinh vi,
nó thường có thể mang lại lợi ích. Ví dụ, nó là đôi khi có thể xác định các đoạn mã được
biết đến hoặc để nhận ra thực hành mã hóa được sử dụng bởi các đương sự cụ thể. Ngoài
ra, tác giả phần mềm độc hại đôi khi làm cho những sai lầm mà cho phép các hậu vệ để

truy nguyên nguồn gốc của mã này ngay cả khi thủ phạm thực hiện các bước để ẩn dấu
vết của chúng.
Một cách tiếp cận thứ hai là để tập trung vào chiến thuật, kỹ thuật của đối thủ, và
thủ tục (ttps). Đây là một cách tiếp cận hoạt động hơn là tập trung trực tiếp vào các mã,
thay vào đó, tập trung vào các quá trình được sử dụng bởi các đối thủ. Ví dụ, không một
đối thủ nào có xu hướng sử dụng một loại hình cụ thể của thư điện tử cho các cuộc tấn
công lừa đảo giáo? Họ có xu hướng để nhắm mục tiêu một số loại tổ chức không? Là có
một chu kỳ với các mẫu tấn công của họ? Bằng cách nhìn vào các loại câu hỏi, hậu vệ có
thể có thể xác định nguồn gốc của một phần nhất định của phần mềm độc hại mà không
cần ghi kỹ thuật trực tiếp.
Cuối cùng, hậu vệ có thể cố gắng, cho rằng một sự cố mạng bằng cách nhìn vào
bối cảnh chiến lược xung quanh sự kiện này. Ví dụ, xác định mục tiêu và những tác động
dự kiến của cuộc tấn công của Stuxnet có thể giúp đỡ để tiếp xúc với các bên hoặc các
bên có trách nhiệm. Hơn nữa, các nhà phân tích có thể là có thể thu hẹp lĩnh vực nguyên
nhân có thể có bằng cách yêu cầu những người có khả năng và nguồn lực để khởi động
một cuộc tấn công như vậy, và những người có thể được hưởng lợi từ những hậu quả của
nó.

Xác định thủ phạm
Biến thể đầu tiên của Stuxnet xuất hiện vào tháng 6 năm 2009 và các phiên bản
cao cấp hơn xuất hiện vào mùa xuân năm 2010. Trong năm can thiệp, hàng chục công ty
và có lẽ hàng trăm người đã kiểm tra mã Stuxnet và các chi tiết của vụ việc, và có là chưa
được dứt khoát xác định nguồn gốc của virus. Ngoài ra, vẫn còn có những câu chưa trả lời
về các mục tiêu cụ thể của sâu và hiệu quả như dự kiến.
Một trong những thú vị đầu mối được xác định bằng cách phân tích của Symantec
của mã là Stuxnet sẽ không lây nhiễm sang một máy tính nếu số "19790509" trong khóa
registry của máy. Khi nó quay ra, một doanh nhân người Do Thái nổi tiếng Iran và nhà từ
thiện, Habib Elghanian, được thực hiện tại Tehran vào ngày 09 Tháng Năm 1979. Một số
người tin rằng điều này phần của các điểm thông tin Y-sơ-ra-ên như là nguồn của sâu.
Điều này chắc chắn là không đủ thông tin để chắc chắn xác định vị trí một nguồn, tuy

nhiên, như là số "19790509" có thể chỉ là một cách dễ dàng tham khảo hầu như bất cứ
điều gì khác, bao gồm cả sinh nhật của một ai đó hoặc ngày rằng một sinh viên đại học đã
bị thương bởi Unabomber.
Ngoài ra, người ta phải xem xét khả năng rằng những người sáng tạo của sâu
Stuxnet có thể trồng "manh mối" trong một nỗ lực để cố tình đánh lừa các nhà phân tích,
những người sẽ cố gắng, cho rằng các cuộc tấn công. Như ghi chú Symantec, "kẻ tấn
công sẽ có mong muốn tự nhiên để ám chỉ một bên khác."
Một quan sát thú vị của một vài nhà phân tích rằng có xuất hiện một sự khác biệt
trong phong cách mã hóa được sử dụng cho các phần mềm mà ban đầu lây nhiễm các tổ
chức có mục tiêu (s) và phần mềm trong các "tải trọng" mà triển khai một lần các phần
mềm độc hại đã xâm nhập các tổ chức của phòng thủ. Điều này đã khiến một số người tin
rằng Stuxnet là một nỗ lực hợp tác giữa hai nhà phát triển phổ biến nhất giả định là Hoa
Kỳ và Israel. Giống như hầu hết các cuộc thảo luận về nguồn gốc của Stuxnet, tuy nhiên,
lý thuyết này có những người hoài nghi của nó, bao gồm cả Rafal Rohozinski và Jeffrey
Carr.

Chìa khóa để thành lập nguồn của Stuxnet là xác định những người có khả năng kỹ
thuật để khởi động các cuộc tấn công. Stuxnet là một cuộc tấn công tinh vi, và nhiều
chuyên gia cảm thấy rằng chỉ có một quốc gia có thể tạo ra và tung ra. Tuy nhiên, ngay cả
kết luận này không được chấp nhận rộng rãi. Rafal Rohozinski, Giám đốc của Tập đoàn
Nghiên cứu mạng tiên tiến, quốc phòng và tư vấn James farwell đã suy đoán rằng "một cơ
thể đáng kể bằng chứng gián tiếp mảnh vỡ của mã, mối quan hệ giữa các cá nhân, và mối
tương quan trong không gian mạng cho thấy một liên kết giữa các mã được sử dụng bởi
sâu và đang phát triển của Nga ngoài khơi lập trình cộng đồng. "Nói cách khác, họ cho
rằng bọn tội phạm mạng đã viết code Stuxnet.
Trong khi điều này là một đề xuất thú vị, đó là cuối cùng không hấp dẫn, kể từ khi
mã hóa chính nó không phải là thách thức chủ yếu. Thay vào đó, tung ra cuộc tấn công
này yêu cầu thu thập tình báo rất chi tiết và lập kế hoạch đã thông báo với mã hóa của các
phần mềm độc hại thực tế.
Stuxnet được thiết kế để nhắm mục tiêu một tập hợp rất cụ thể của bộ điều khiển

logic lập trình (PLC) chỉ được thiết kế bởi hai quốc gia trên thế giới: Phần Lan và Iran.
Phần mềm độc hại đã thay đổi gây ra hành vi nhắm mục tiêu trong các thiết bị công
nghiệp gắn liền với các PLC, mà có thể bao gồm các van xả áp, tua bin máy bơm nước,
máy ly tâm hạt nhân và. Một thiết kế như vậy sẽ đòi hỏi sự hiểu biết kỹ thuật chi tiết của
sự tương tác của các hệ thống máy tính, hệ thống điều khiển công nghiệp, và các quá trình
làm giàu Uranium.
Theo Rand Beers, Theo Bí thư về bảo hộ và Giám đốc Chương trình Quốc gia tại
Cục An ninh Nội địa, "sâu máy tính rất phức tạp này là người đầu tiên của loại hình này,
mục tiêu cụ thể hệ thống kiểm soát nhiệm vụ quan trọng chạy một sự kết hợp của phần
cứng và phần mềm "Hầu hết các chuyên gia đồng ý rằng loại nghiên cứu, lập kế hoạch và
phối hợp cần thiết để thực hiện các loại hình đa giai đoạn tấn công chống lại một hệ thống
điều khiển công nghiệp nhạy cảm sẽ rất có thể điểm đến một nhà nước quốc gia. Người
sáng lập và giám đốc điều hành của Taia, Inc, Jeffrey Carr cung cấp một học thuyết khác,
lập luận rằng đa quốc gia, các công ty có thể có nhà nước ủng hộ có thể chịu trách nhiệm
cho Stuxnet.
"Các phần mềm độc hại Stuxnet phân tích được thực hiện bởi Symantec, ESET,
Kaspersky, LANGNER Truyền thông và Microsoft tất cả các điểm đến một đội ngũ được
tài trợ của các nhà phát triển với bộ kỹ năng nhất định duy nhất và vài tháng để phát triển
và thử nghiệm. Kết luận rõ ràng là đội bóng này được tài trợ bởi một nhà nước quốc gia,
tuy nhiên, các tập đoàn đa quốc gia nào đó có các nguồn lực tương tự hoặc tốt hơn so với
nhiều chính phủ. Ở một số nước, chính phủ có quyền kiểm soát trong những tập đoàn lớn
nhất, chẳng hạn như Trung Quốc vô địch quốc gia 'của công ty (tức là, Huawei) hoặc
quyền sở hữu phần lớn của Areva của Pháp. "
Trong cả hai trường hợp mà một hoặc nhiều quốc gia tiểu bang mở cuộc tấn công
hoặc các tập đoàn đa quốc gia phát triển và triển khai nó câu hỏi hợp lý tiếp theo là: người
được hưởng lợi từ Stuxnet? Các ứng cử viên rõ ràng là Hoa Kỳ và Israel.
Một trong những tiết lộ từ WikiLeaks, tuy nhiên, mức độ mà các quốc gia Ả Rập
tại Trung Đông đang lo lắng về một hạt nhân của Iran. Một số các quốc gia này thực sự
thúc giục Mỹ tấn công Iran để loại bỏ những gì họ coi là một mối đe dọa hiện hữu.
Các quốc gia khác có thể được hưởng lợi từ một sụt giảm sản xuất hạt nhân của Iran bao

gồm Trung Quốc và Nga. Cuối cùng, người ta phải xem xét khả năng rằng một quốc gia
có thể muốn làm viêm các căng thẳng chính trị bằng cách làm cho nó có vẻ là một quốc
gia khác, chẳng hạn như Mỹ hoặc Israel, đã phát động một cuộc tấn công không gian
mạng chống lại Iran.
Trong việc phân tích Stuxnet, mục đích của cuộc tấn công cũng là một nguồn vô
cùng quan trọng của thông tin trong việc tìm kiếm thủ phạm. Có vẻ như là Stuxnet được
tạo ra để triển khai phần mềm sẽ phá vỡ mà không phá hủy các máy ly tâm được sử dụng
để làm giàu uranium.
Điều này dẫn đến một kẻ tấn công có kiến thức chi tiết về hành vi máy ly tâm. Nó
cũng cho thấy một mong muốn hoạt động ảnh hưởng đến sản xuất máy ly tâm mà không
thực sự phá hủy bất cứ máy ly tâm, kẻ tấn công có thể đạt được nhiều lợi ích "dưới radar".
Ví dụ, kẻ tấn công có thể gây ra các hậu vệ để dành nhiều thời gian có giá trị cố gắng để
xác định lý do cho sự sụt giảm trong sản xuất thiết bị của họ.
Sự xâm nhập có thể tạo ra sự không chắc chắn trong tâm trí của những người bảo
vệ về khả năng của họ để kéo ra khỏi công việc phức tạp của làm giàu. Ảnh hưởng đến
sản xuất máy ly tâm mà không phá hủy các máy ly tâm tự có thể cho phép những kẻ tấn
công đang tồn tại trong mạng mục tiêu và hệ thống mà không kêu gọi sự chú ý đến sự
hiện diện của Ngài.
Cuối cùng, trong trường hợp của Stuxnet, nó có thể là những kẻ tấn công muốn để
tránh làm tổn hại đến bất kỳ người nào. Trong khi nó không phải là có thể biết chính xác
những gì mục đích của Stuxnet là, nó là rõ ràng rằng mục tiêu không đơn giản là để tiêu
diệt một phần của thiết bị, và rằng đầu mối không cung cấp một số thực phẩm thú vị cho
các tư tưởng.
Xác định mục tiêu
Xác định các mục tiêu có thể của cuộc tấn công chắc chắn sẽ làm sáng tỏ về động
cơ và các cầu thủ đằng sau cuộc tấn công thông qua một phân tích chiến lược của các bên
sẽ được hưởng lợi nhiều nhất từ việc thực hiện thành công tiềm năng của Stuxnet.
Tuy nhiên, nhiều nhà phân tích vẫn cảm thấy rằng có đủ bằng chứng để xác định
một nhãn hiệu nhất định. Ví dụ, trong tháng 9 2010 một giám đốc kỹ thuật Symantec lưu
ý rằng tỷ lệ cao các bệnh nhiễm trùng ở Iran (khoảng 60% của tổng số) có thể là do thực

tế rằng Iran "ít siêng năng về sử dụng phần mềm bảo mật để bảo vệ hệ thống của mình"
hơn so với các nước khác có bị nhiễm trùng. Chuyên gia bảo mật Bruce Schneier xuất bản
một blog trong tháng 10 năm 2010 lặp lại cảm giác không chắc chắn về các mục tiêu và
mục đích của Stuxnet. "Chúng tôi không biết ai đã viết Stuxnet. Chúng tôi không biết tại
sao. Chúng tôi không biết mục tiêu là gì, hoặc nếu Stuxnet đạt nó. "
Lời giải thích đơn giản nhất cho một cuộc tấn công nhằm mục đích tại Natanz và /
hoặc Bushehr là phần mềm đã được lắp vào để làm chậm chương trình vũ khí hạt nhân
của Iran.
Nghiên cứu sau đó đã tăng cường các trường hợp đó, các tổ chức ở Iran đã thực sự
mục tiêu. Trong thực tế, có vẻ như có một số sự đồng thuận rằng mục tiêu chính là cơ sở
làm giàu hạt nhân của Iran ở Natanz, mặc dù một số chuyên gia tin rằng nhà máy Bushehr
cũng là một mục tiêu.
Có những dấu hiệu cho rằng điều này thực sự có thể xảy ra, mặc dù tác động tổng
thể xuất hiện được tối thiểu. Lời giải thích này có thể không nói cho toàn bộ câu chuyện.
Được Stuxnet có nghĩa là để chứng tỏ một khả năng mới cho Iran (hoặc thế giới)?
Nó có nghĩa là như "bắn qua cung" một mối đe dọa nhằm buộc Iran ngừng làm giàu
uranium? Trả thù cho một nhận thức sai (thực hiện ví dụ như người Do Thái của chính
phủ Iran)? Đó có phải là tất cả các bên trên? Không có cách nào để chắc chắn. Đây là
những thách thức của "tín hiệu" trong không gian mạng trở nên rõ ràng. Trong thế giới
vật lý, các quốc gia và tổ chức đã phát triển các phương pháp phức tạp để gửi tin nhắn cho
nhau.
Kỹ thuật như vậy là một thành phần quan trọng của ngăn chặn giữa Hoa Kỳ và
Liên Xô, nhưng họ cũng đóng một vai trò quan trọng trong nhiều khía cạnh của quan hệ
quốc tế.
Không có quy định đối với hành vi như vậy trong không gian mạng, ít nhất là ở
cấp nhà nước quốc gia. Cho đến khi quy định như vậy của con đường (rõ ràng hoặc
ngầm) được phát triển, nó có thể là khó khăn cho các quốc gia để giải thích một cách
chính xác ý định đằng sau một hành động được đưa ra trong không gian mạng. Stuxnet là
một ví dụ của sự mơ hồ như vậy. Thật thú vị, phản ứng của Iran để Stuxnet ngụ ý rằng
các nhà lãnh đạo của đất nước không biết ai để đổ lỗi cho vụ việc, ít nhất ban đầu.

Nhiều tháng sau khi sự kiện này, chính phủ Iran đã thực hiện một điểm đánh giá thấp tác
động của Stuxnet đã có trên cả nước.
Đó là chỉ trong tháng 11 năm 2010 mà Tổng thống Iran Mahmoud Ahmadinejad
thừa nhận rằng con sâu đã ảnh hưởng đến các cơ sở làm giàu hạt nhân của nước ông.
Thậm chí sau đó, tuy nhiên, phản ứng của chính phủ đã bị tắt tiếng. Thay vì tuyên bố
công cộng và sử dụng vụ việc để kích động theo hành vi điển hình của nó khi giao dịch
với Hoa Kỳ và Israel chính phủ Iran tập trung vào việc tạo ra một lực lượng dân quân
chiến tranh không gian mạng mới.
Chỉ mới gần đây (tháng 4 năm 2011) Iran công khai đổ lỗi cho bên cụ thể Hoa Kỳ,
Israel, và Siemens (nhà sản xuất của các hệ thống điều khiển đã được nhắm mục tiêu)
bằng cách sử dụng sâu Stuxnet cố tình tấn công cơ sở hạ tầng của nó.
Cuộc sống sau khi Stuxnet: chuẩn bị cho Zero-Day
Stuxnet đã được phân tích chi tiết. Bên động cơ có thể tìm thấy rất nhiều thông tin
về các đặc tính của vector thâm nhập và tải trọng, cung cấp cho họ một kế hoạch hoạt
động. Các lập trình viên có thể với khả năng và nguồn lực vừa phải, lấy code Stuxnet và
chỉ cần sửa đổi nó để nhắm mục tiêu một bộ khác nhau của bộ điều khiển.
Theo lời của DHS Theo thư ký Rand Beers, "Sắp tới, Cục có liên quan mà kẻ tấn công có
thể sử dụng thông tin ngày càng công khai về Stuxnet] đang phát triển biến thể nhắm mục
tiêu vào các cài đặt rộng hơn các thiết bị lập trình trong các hệ thống kiểm soát."
Một số chuyên gia không tìm thấy dòng này của lý luận để được hấp dẫn. Ví dụ,
Tiến sĩ Martin Libicki, một nhà nghiên cứu cấp cao tại Tổng công ty RAND, đã lập luận
rằng chúng tôi không nhìn thấy các biến thể Stuxnet vì tấn công tin tặc khai thác lỗ hổng
cụ thể để đạt được quyền truy cập vào một hệ thống nhắm mục tiêu. Một khi các cuộc tấn
công được phát hiện, các lỗ hổng đến sự chú ý của các tổ chức được nhắm mục tiêu (và
có khả năng thế giới), sau đó đắp vá các lỗ và đưa ra một cuộc tấn công tiềm năng không
thành công ngay cả trước khi nó diễn ra.
Trong khi Tiến sĩ Libicki làm cho một điểm tốt mà các tổ chức có thể bị mất yếu tố
bất ngờ khi họ tiết lộ một vector tấn công trước đó chưa biết, khẳng định tổng thể của
mình là quá lạc quan trên hai mặt trận. Đầu tiên, nó giả định rằng các đối thủ sẽ không sẵn
sàng để sử dụng zero-day khai thác mới để khởi động phiên bản Stuxnet.

Các tác giả Stuxnet sử dụng bốn riêng biệt zero-ngày, vì vậy họ rõ ràng là sẵn sàng mạo
hiểm lộ tính mới của các vectơ, và bắt chước rất tốt có thể sẵn sàng và có thể làm như vậy
là tốt.
Giả định thứ hai trong lập luận của Tiến sĩ Libicki là các tổ chức sẽ thực hiện các
bước để ngăn chặn các cuộc tấn công được biết đến từ việc làm. Thật không may, có
nhiều bằng chứng cho thấy rằng các tổ chức có một thời gian khó khăn ở up-to-ngày trên
các bản vá bảo mật.
Ví dụ, trong lời khai của Quốc hội trong năm 2009, Richard Shaeffer, Giám đốc
đảm bảo thông tin của Cơ quan An ninh Quốc gia, nói rằng 80% các cuộc tấn công không
gian mạng đã thành công vì người nghèo và các chính sách cấu hình mạng lưới giám sát
không đủ. Các dữ liệu gần đây từ Verizon cho thấy rằng tình hình có thể tồi tệ hơn, sau
khi kiểm tra 800 sự cố đã xảy ra trong năm 2010 và 2011, Verizon xác định rằng 96%
trong các hành vi có thể tránh được thông qua việc sử dụng đơn giản để điều khiển trung
gian.
Nó không nên ngạc nhiên khi thấy rằng Văn phòng Trách nhiệm Chính phủ đã kết
luận rằng hệ thống công nghệ thông tin liên bang vẫn còn dễ bị tổn thương các mối đe dọa
mạng như Stuxnet: "số lượng ngày càng tăng các mối đe dọa và các sự cố được báo cáo
ngày càng tăng làm nổi bật sự cần thiết cho các chính sách an ninh thông tin hiệu quả và
thực tiễn. Tuy nhiên, nghiêm trọng và phổ biến rộng rãi thông tin thiếu kiểm soát an ninh
tiếp tục đặt tài sản rủi ro liên bang tại "
Có lẽ nhiều hơn liên quan đến đường xu hướng: các tin tặc đang tăng nhanh hơn
hậu vệ của chính phủ. Theo Alan Paller, Giám đốc nghiên cứu tại Viện SANS: " trong
khi chính phủ liên bang đã tăng mức phòng thủ của nó, những kẻ xấu tiếp tục vượt qua tỷ
lệ cải tiến tổng thể những kẻ tấn công đang nhận được tốt hơn, nhanh hơn so với chính
phủ liên bang đang được cải thiện ".
Trong ngắn hạn, những kẻ tấn công có thể không cần phải dựa vào khai thác lỗ
hổng zero-day để khởi động một cuộc tấn công thành công như Stuxnet. Họ chỉ đơn giản
là cần phải tìm một mục tiêu mà không phải là 100% phù hợp với tất cả các bản vá lỗi của
nó. Hoặc, vẫn còn dễ dàng hơn, họ có thể sử dụng kỹ thuật xã hội như giáo nhắm mục
tiêu lừa đảo để xâm nhập vào mạng doanh nghiệp và sau đó lan rộng sang hai bên trong

toàn tổ chức trong một nỗ lực để đạt được quyền truy cập vào tài khoản đặc quyền và các
thông tin nhạy cảm. Cách tiếp cận này là rất phổ biến và được sử dụng nhiều lần để xâm
nhập vào các công ty và chính phủ trên khắp thế giới.
Cuối cùng, bài học quan trọng nhất của Stuxnet có thể không nằm trong mã của nó,
mà là trong khả năng của mình đã chứng minh. Stuxnet có thể được xem như là một vũ
khí "tàng hình" độ chính xác kỹ thuật cho nặc danh nhắm mục tiêu một hệ thống cụ thể
hoặc tổ chức mà không có thiệt hại lớn. Stuxnet cũng có thể chứng tỏ khả năng của kẻ tấn
công hoặc phá vỡ hoặc tiêu diệt mục tiêu của họ, tùy thuộc vào mục tiêu của mình. Nó là
rất khó khăn để phát triển khả năng trong thế giới vật lý có thể cung cấp hạt mịn kiểm
soát hiệu ứng.
Trong ý nghĩa đó, Stuxnet có thể chứng minh là cực kỳ hấp dẫn đối với một loạt
các diễn viên trong không gian mạng, từ các quốc gia khủng bố.
Kết luận
Quy cuộc tấn công mạng là rất khó khăn. Điều này là khó có một cái nhìn mới,
nhưng nó không vui mà rất nhiều người đã phân tích Stuxnet quá lâu mà không đạt được
một kết luận dứt khoát về nguồn gốc của nó. Ngay cả những cân nhắc chiến lược không
cung cấp bằng chứng thuyết phục về những người có thể đã mở cuộc tấn công. Lãnh đạo
Mỹ nên chuẩn bị cho một tình huống mà ở đó họ có để đối phó với một cuộc tấn công
mạng nghiêm trọng về tài sản quan trọng mà không biết nguồn của phần mềm độc hại
hoặc mục đích.
Stuxnet cho thấy sự vô ích của dựa vào hệ thống an ninh hiện có như không khí
gapping-cách ly hệ thống máy tính quan trọng từ net-công trình được kết nối với Internet
để ngăn chặn tinh vi và cũng như các kế hoạch các cuộc tấn công phần mềm độc hại.
Mặc dù biện hộ này là một cách phổ biến để giữ cho phần mềm độc hại ra khỏi hệ
thống quan trọng và để giữ cho các thông tin nhạy cảm trong một vùng đất an toàn, hiệu
quả của Stuxnet cho thấy rằng ngay cả những cơ sở hạ tầng an toàn nhất cấu trúc dễ bị
xâm nhập. Theo lời của farwell và Rohozinski: "khả năng nhảy hệ thống không khí
khoảng cách là tin cũ."
Hoạch định chính sách cần phải giả định rằng ngay cả không khí gapped net-công
trình sẽ bị vi phạm, và phải có công nghệ, quy trình, và đào tạo tại chỗ để đối phó với tình

huống này.
Khái quát thời điểm này, người ta có thể kết luận một cách hợp lý rằng những nỗ
lực hiện nay tập trung vào việc ngăn chặn các cuộc tấn công Stuxnet như là cần thiết,
nhưng không đủ trong việc hoàn thành kết thúc. Nó là quan trọng cho các nhà hoạch định
chính sách để giả định rằng một cuộc tấn công mạng một ngày nào đó sẽ phá vỡ hoặc phá
hủy một cơ sở hạ tầng quan trọng của quốc gia và nghĩ rằng thông qua những hành động
cần thiết để giảm thiểu các tác động của các kịch bản như vậy.
Với sự không chắc chắn rất lớn và căng thẳng có khả năng để đi cùng với một kịch
bản như vậy, cũng như một loạt các yếu tố pháp lý và chính trị phức tạp mà sẽ cần phải
được xem xét, các nhà hoạch định chính sách phải bắt đầu suy nghĩ thông qua các tùy
chọn trả lời bây giờ, thay vì cố gắng để phát triển và đánh giá như vậy tùy chọn trên-the-
fly trong cuộc khủng hoảng.
Các tùy chọn này phản ứng phải bao gồm các biện pháp để giảm thiểu những thiệt
hại gây ra bởi một cuộc tấn công giống như Stuxnet, cho phép khôi phục lại nhanh chóng
các khả năng cần thiết, và có những hành động chống lại các thủ phạm của cuộc tấn công
này (nếu muốn).
Trong khi nó có thể chứng minh gần như không thể để ngăn chặn một cuộc tấn
công Stuxnet-như thành công trong tương lai, có là thực hành an ninh mạng hiện có và
các công nghệ đó, nếu thực hiện theo cách tốt-kiến trúc và tự củng cố, rất nhiều có thể cải
thiện khả năng của một tổ chức để ngăn chặn, phát hiện, và đáp ứng với các loại sự cố
mạng.
Ví dụ, các nhà hoạch định chính sách có thể hỗ trợ những nỗ lực để củng cố các
khía cạnh cơ bản của bảo mật thường xuyên nhận được ngắn sự xưng tội và tha tội trong
ngân sách ví dụ bao gồm bảo hiểm phần mềm, khả năng phục hồi và bảo vệ dữ liệu.
Họ cũng có thể khuyến khích thử nghiệm với công nghệ đầy hứa hẹn và thực hành, chẳng
hạn như ảo hóa và pháp lý bộ nhớ thời gian chạy. Bằng cách nâng cao mức độ tinh tế cần
thiết để kéo-off Stuxnet như cuộc tấn công mạng, chính phủ Mỹ, làm việc với các ngành
công nghiệp, có thể làm giảm số lượng các đối thủ có thể, những người có thể thực hiện
các hoạt động đó ngay bây giờ và trong tương lai. Điều đó một mình sẽ là một thành tựu
lớn.

Flame nguy hiểm hơn Stuxnet
Vì chuyên đánh cắp những thông tin về dầu mỏ nên loại mã độc này được mang
tên Flame (Ngọn lửa). Ảnh: BBC
Theo New York Times, chính quyền Mỹ không thừa nhận việc sở hữu virus Flame,
và Flame cũng không nằm trong chiến dịch "Thế vận hội Olympic" của ông George
W.Bush hay ông Obama.
Hình 3. Vì chuyên đánh cắp những thông tin về dầu mỏ nên loại mã độc này được mang
tên Flame
Khác với Stuxnet, Flame không phá hoại mà hoạt động như một điệp viên công
nghệ cao, đánh cắp những thông tin giá trị liên quan đến tình hình dầu mỏ và chính trị.
Hiện tại, Iran đã khắc chế được virus này.
Hãng bảo mật Bit Defender cũng đã phát hành công cụ miễn phí có khả năng tiêu
diệt Flame. (Xem "Đã có công cụ diệt virus "siêu tinh vi" Flame").
Công khai mã nguồn của "siêu sâu" Stuxnet
Sâu Stuxnet được đánh giá là loại virus đầu tiên có khả năng hủy hoại vật chất.
Theo giới chuyên gia, cấu trúc của Stuxnet cực kì phức tạp, người ta khó có thể tưởng
tưởng ra cá nhân nào là cha đẻ của nó.
Hình 4. Một phần đoạn mã nguồn của siêu sâu Stuxnet
Việc công khai mã nguồn của Stuxnet là điều cực kì nguy hiểm, Stuxnet sẽ trở
thành một con “siêu sâu mã nguồn mở” để trong giới tin tặc có thể “cải tiến” nó thành
những vũ khí số lợi hại nhất có khả năng hủy diệt vật chất thay vì xâm hại dữ liệu như
những virus thông thường.
3. Hiểm họa vi-rút Stuxnet
Vi-rút Stuxnet lần đầu tiên được chú ý đến là vào tháng 6 năm nay. Các chuyên gia
bảo mật cho rằng nó được tạo ra với mục đích tấn công các cơ sở hạ tầng quan trọng và
mạng máy tính. Ví dụ như hệ thống vệ sinh công cộng, mạng lưới phân phối thực phẩm…
Người ta cũng từng nghi ngờ rằng Stuxnet đã được dùng để tấn công vào nhà máy
điện của Iran. Tuy nhiên giới chức chính quyền phủ nhận bản tin của hãng Sky News,
theo họ thì không có bằng chứng là phần mềm độc hại này đã lọt vào tay bọn tội phạm
mạng. Trong khi đó, một chuyên gia bảo mật cấp cao nói với Sky News rằng Stuxnet sẽ

trở thành một công cụ tàn phá nếu lọt vào tay kẻ xấu. Các chuyên gia lo ngại rằng loại vi-
rút này có thể dùng làm ngưng trệ hệ thống cấp cứu 999, làm sập mạng máy tính bệnh
viện, làm hỏng các thiết bị y khoa, tác động đến mạng lưới giao thông, hệ thống ngân
hàng, các nhà máy điện.
Các chuyên gia suy đoán, Stuxnet có thể là hành động khủng bố mạng ở cấp quốc
gia và là loại vi-rút máy tính đầu tiên có thể làm thay đổi hiện trạng vật lý trong thế giới
thực. Stuxnet có khả năng tái lập trình các phần mềm khác để buộc một máy tính thực
hiện các lệnh khác nhau. Nó có thể lây lan từ máy này qua máy khác bằng con đường là
các ổ USB. Vì vậy, nhiều máy tính không kết nối internet để bảo mật nhưng vẫn có thể bị
nhiễm Stuxnet.
Theo báo Telegraph, loại vi-rút này là một sự kết hợp giữa các dòng mã lệnh rất
phức tạp cùng với kỹ thuật tấn công máy tính mà hacker từng sử dụng. Vì vậy, chúng lây
lan rất nhanh chóng nhưng lại khó tiêu diệt hơn. Nó cũng khai thác triệt để các máy tính
dùng hệ điều hành Windows nhưng chưa cập nhật các bản vá lỗi mới nhất.
Siêu virus Stuxnet đe dọa công nghiệp toàn cầu
- Không chỉ tấn công vào công nghiệp hạt nhân của Iran, hiện tại siêu virus Stuxnet
đang gây ra làn sóng hoang mang cho nhiều ngành công nghiệp trọng yếu của các quốc
gia trên khắp thế giới.
Ngày hôm qua (17/10), nhiều chuyên gia an ninh và nhân viên chính phủ đồng
loạt cảnh báo cao độ rằng những hacker cao thủ hoàn toàn có thể sử dụng những thông tin
công khai về đoạn mã được biết đến dưới cái tên siêu virus Stuxnet để phát triển ra các
biến thể tấn công vào nhiều ngành công nghiệp khác.
Cách đây không lâu, đoạn mã này đã tấn công một số trang web của Iran và vài
quốc gia khác, và lây nhiễm vào laptop của một số nhân viên tại nhà máy hạt nhân
Bushehr. Rất may, nó chưa kịp gây ra nhiều thiệt hại lớn (ít nhất là theo những thông tin
được công khai).
Trong bản báo cáo với Ủy ban Thượng viện về An ninh Lãnh thổ và Nội vụ Chính
phủ Hoa Kỳ, ông Sean McGurk, quyền giám đốc của trung tâm an ninh mạng quốc gia
trực thuộc Uỷ ban này khẳng định: Hệ thống điều khiển của một số ngành công nghiệp
đặc biệt sử dụng các phần mềm "dính dáng" tới Windows và có thể bị đoạn mã độc này

tấn công. Nhiều mảng công nghiệp trọng yếu sẽ bị ảnh hưởng, từ công nghiệp xe hơi cho
đến hoá chất hay hoá thực phẩm.
Tại một buổi giảng về an ninh mạng, McGurk cũng cho biết đoạn mã độc này có
thể tự động xâm nhập vào một hệ thống, đánh cắp công thức pha trộn sản phẩm, xáo trộn
thành phần nguyên liệu; đánh lừa hệ điều hành và phần mềm diệt virus rằng mọi thứ vẫn
đang hoạt động bình thường.
Dean Turner, giám đốc Mạng lưới Thông minh Toàn cầu của tập đoàn Symantec
xác nhận rằng con virus này hoàn toàn có khả năng tung đòn tấn công như trên đã nêu, và
cho rằng "tác động của Stuxnet tới thế giới thực cao hơn rất nhiều so với bất cứ mối nguy
nào chúng ta từng gặp trong quá khứ."
Turner cũng chỉ ra rằng đoạn mã này có một cấu trúc và kỹ thuật cực kỳ tinh vi, có
thể nói là "mười năm mới xuất hiện một lần". Tuy nhiên, vì virus có cấu trúc quá phức tạp
và đáng giá, nên chỉ có một số rất ít hacker đủ trình độ sử dụng nó cho một cuộc tấn công
lớn. Tuy khả năng đó không phải không có, nhưng sẽ không xảy ra bất ngờ trên diện
rộng.
Các chuyên gia cho rằng chính phủ các quốc gia và đại diện các ngành công
nghiệp cần làm nhiều hơn nữa để bảo vệ những hệ thống trọng yếu. Trước mắt, các hệ
thống điều khiển cần phải được cách ly khỏi các mạng kết nối để ngăn hacker xâm nhập.
Cần phải thừa nhận các chiến lược bảo mật hiện tại quá rời rạc và thường không hiệu quả
vào những lúc cần kíp nhất.
Các nhà lãnh đạo nên hiểu rằng những đòn tấn công nguy hiểm nhất không chỉ
đơn thuần là vô hiệu hoá một hệ thống, mà sẽ chiếm quyền điều khiển và sử dụng nó để
gây ra những hậu quả còn nghiêm trọng hơn gấp nhiều lần.
Stuxnet – Nguy cơ chiến tranh ảo
Bị phát hiện lần đầu tiên bởi VirusBlokAda, một công ty an ninh mạng ít tên tuổi
có trụ sở tại Belarus vào tháng 6-2010, “sâu” Stuxnet ngay lập tức khiến giới an ninh
mạng lo ngại vì nó được thiết kế không phải để ăn cắp tiền, gửi thư rác hay lấy dữ liệu cá
nhân mà để phá hoại nhà máy, hệ thống công nghiệp. Nhiều nhà nghiên cứu bảo mật cho
Stuxnet là malware tinh vi chưa từng thấy vì nó là sâu duy nhất khai thác cùng lúc 4 lỗ
hổng zero-day của hệ điều hành windows. Giới phân tích cho rằng Stuxnet chúng được

xây dựng theo hình thức “groundbreaking”, tức bởi một nhóm có tiềm lực về tài chính,
quyền lực mà đứng đằng sau có thể là một chính phủ. Symantec ước tính phải 10 chuyên
gia làm việc liên tục trong 6 tháng mới có thể "sản xuất" ra được một sâu chuyên nghiệp
như Stuxnet. Giám đốc điều hành Microsoft, cảnh báo sâu Stuxnet có thể gây hại cho sự
phát triển của nền kinh tế thế giới, còn Bộ ngoại giao Iran nghi ngờ chính phủ của một
quốc gia phương Tây đã phát tán sâu này để phá hoại chương trình hạt nhân của họ. Các
chuyên gia của hãng bảo mật Kaspersky Lab cũng gọi Stuxnet là sự khởi đầu thời đại mới
của chiến tranh không gian mạng. Cho đến nay, Iran là nơi bị lây nhiễm sâu Stuxnet nặng
nề nhất, chiếm 60% toàn cầu với trên 30.000 địa chỉ IP bị lây nhiễm. Việc lây nhiễm
Stuxnet đã khiến nhà máy hạt nhân của Iran ở Bushehr phải hoãn ngày khởi động. Trong
một số báo hồi tháng 9, tờ Guardian của Anh nhận định rất có thể cha đẻ của Stuxnet là
chính phủ Israel, nước luôn phản ứng gay gắt với chương trình hạt nhân của Iran. Không
như những virus khác được viết chỉ để khai thác thông tin trên máy tính, sâu Stuxnet “độc
hại một cách không bình thường” vì là phần mềm đầu tiên được lập trình với mục đích
kiểm soát các hệ thống liên quan đến các công trình quan trọng của ngành công nghiệp.
Stuxnet có khả năng viết lại các PLC (hệ thống điều khiển logic chương trình) và được
thiết kế đặc biệt để tấn công các SCADA (những hệ thống kiểm soát công nghiệp quy mô
lớn).
4. Stuxnet với Microsoft
Mặc dù tôi đã không nhận ra những gì tôi đã nhìn thấy, Stuxnet đầu tiên đến sự chú
ý của tôi vào ngày 05 Tháng Bảy mùa hè năm ngoái khi tôi nhận được một email từ một
lập trình bao gồm một tập tin trình điều khiển, Mrxnet.sys, rằng họ đã xác định là một
rootkit. Một người lái xe mà thực hiện chức năng rootkit là không có gì đặc biệt đáng chú
ý, nhưng những gì làm này đặc biệt là thông tin về phiên bản của nó xác định nó như là
một trình điều khiển Microsoft và nó có một chữ ký hợp lệ kỹ thuật số do Tổng công ty
Realtek Semiconductor, nhà sản xuất thành phần một máy tính hợp pháp (trong khi tôi
đánh giá cao các lập trình uỷ thác cho trình điều khiển rootkit với tôi, cách chính thức
trình phần mềm độc hại cho Microsoft là thông qua cổng thông tin Trung tâm Bảo vệ
Malware).
Tôi chuyển tiếp các tập tin để chống malware Microsoft và các đội nghiên cứu bảo

mật và đánh giá nội bộ của chúng tôi vào những gì đã trở thành saga Stuxnet bắt đầu mở
ra, nhanh chóng làm cho các trình điều khiển tôi đã nhận được trở thành một trong những
tác phẩm nổi tiếng nhất của phần mềm độc hại từng được tạo ra. Trong suốt vài tháng tới,
điều tra tiết lộ rằng Stuxnet đã sử dụng bốn "ngày zero" lỗ hổng của Windows để lây lan
và để đạt được quyền quản trị một lần trên một máy tính (tất cả đều đã được cố định ngay
sau khi họ đã được tiết lộ) đã được ký kết với giấy chứng nhận bị đánh cắp từ Realtek và
JMicron. Thú vị nhất, các nhà phân tích đã phát hiện ra mã mà reprograms Siemens
SCADA (giám sát điều khiển và thu nhận dữ liệu) hệ thống được sử dụng trong một số
máy ly tâm, và nhiều Stuxnet nghi ngờ đã được đặc biệt thiết kế để phá hủy các máy ly
tâm được sử dụng bởi chương trình hạt nhân của Iran làm giàu uranium, là một mục tiêu
chính phủ Iran báo cáo các virus ít nhất một phần được thực hiện.
Kết quả là, Stuxnet đã được thừa nhận, như những mảnh tinh vi nhất của phần
mềm độc hại được tạo ra. Bởi vì động cơ rõ ràng của nó và các manh mối được tìm thấy
trong các mã, một số nhà nghiên cứu tin rằng đó là ví dụ đầu tiên được biết đến phần
mềm độc hại được sử dụng cho chiến tranh mạng nhà nước bảo trợ. Trớ trêu thay, tôi
trình bày một số ví dụ của phần mềm độc hại nhắm mục tiêu các hệ thống cơ sở hạ tầng
mới xuất bản gần đây ngày của tôi không cyber-phim kinh dị, mà khi tôi viết cuốn sách
một vài năm trước đây dường như là một chút của một căng. Stuxnet đã chứng minh các
ví dụ được nhiều hơn nữa khả năng hơn tôi đã nghĩ (bằng cách này, nếu bạn đã đọc Zero
Day, xin vui lòng để lại một nhận xét trên Amazon.com).
Phần mềm độc hại và các công cụ Sysinternals
Một số bài đăng trên blog cuối cùng của tôi đã ghi nhận trường hợp của các công
cụ Sysinternals được sử dụng để giúp lây nhiễm phần mềm độc hại sạch, nhưng các nhà
nghiên cứu phần mềm độc hại cũng thường sử dụng các công cụ để phân tích phần mềm
độc hại. Phân tích phần mềm độc hại chuyên nghiệp là một quá trình nghiêm ngặt và tẻ
nhạt mà đòi hỏi phải tháo phần mềm độc hại để đảo ngược kỹ sư hoạt động, nhưng hệ
thống giám sát các công cụ như Sysinternals Process Monitor và Process Explorer có thể
giúp các nhà phân tích được một cái nhìn tổng thể của phần mềm độc hại hoạt động. Họ
cũng có thể cung cấp cái nhìn sâu sắc vào mục đích của phần mềm độc hại và giúp đỡ để
các điểm nhận dạng của thực hiện và từng phần mã đó có yêu cầu kiểm tra sâu hơn. Như

gợi ý trước bài đăng trên blog, những phát hiện này cũng có thể phục vụ như là một
hướng dẫn cho việc tạo ra các công thức nấu ăn làm sạch phần mềm độc hại để đưa vào
trong các sản phẩm chống malware.
Vì vậy, tôi nghĩ rằng nó sẽ là thú vị để hiển thị các hiểu biết sâu sắc các công cụ
Sysinternals cho khi áp dụng cho các bước lây nhiễm ban đầu của virus Stuxnet (lưu ý
rằng không có máy ly tâm đã bị hại trong các văn bản của bài viết trên blog này). Tôi sẽ
chỉ cho một bệnh nhiễm trùng đầy đủ của một hệ thống Windows XP và sau đó phát hiện
ra virus sử dụng một trong các lỗ hổng zero-day để nâng cao quyền hành chính khi chạy
từ một tài khoản không có đặc quyền trên Windows 7. Hãy ghi nhớ rằng Stuxnet là một
phần vô cùng phức tạp của phần mềm độc hại. Nó truyền và giao tiếp bằng cách sử dụng
nhiều phương pháp và thực hiện các hoạt động khác nhau tùy thuộc vào các phiên bản của
hệ điều hành bị nhiễm và các phần mềm cài đặt trên hệ thống bị nhiễm. Xem Stuxnet chỉ
trầy xước bề mặt và được thiết kế để hiển thị như thế nào không có chuyên môn kỹ thuật
đảo ngược đặc biệt, các công cụ Sysinternals có thể cho biết tác động hệ thống bị nhiễm
phần mềm độc hại. Xem hồ sơ W32.Stuxnet của Symantec cho một phân tích sâu hoạt
động của Stuxnet.
Nhiễm trùng Stuxnet Vector
Stuxnet lây lan vào mùa hè năm ngoái chủ yếu thông qua các phím USB, vì vậy tôi
sẽ bắt đầu nhiễm virus được cài đặt trên một phím. Virus bao gồm sáu tập tin: bốn tập tin
shortcut độc hại với những cái tên được dựa tắt của "Bản sao to.lnk Shortcut" và hai tập
tin có tên mà làm cho họ trông giống như các tập tin phổ biến tạm thời. Tôi đã sử dụng
chỉ là một trong các tập tin shortcut cho phân tích này, kể từ khi tất cả họ đều phục vụ
cùng một mục đích:
Hình 5: Tập tin Stuxnet
Trong vector lây nhiễm, Stuxnet bắt đầu thực hiện mà không có sự tương tác của
người sử dụng bằng cách lợi dụng một lỗ hổng zero-day trong Windows Explorer Shell
(Shell32.dll) phím tắt phân tích cú pháp mã. Tất cả người dùng phải làm là mở một thư
mục chứa các tập tin Stuxnet trong Explorer. Để cho sự lây nhiễm thành công, lần đầu
tiên tôi gỡ bỏ cài đặt việc sửa chữa cho các lỗ hổng Shell, KB2286198, đã được đẩy ra
bởi Windows Update trong tháng 8 năm 2010. Khi Explorer mở file shortcut trên một hệ

thống chưa được vá để tìm tập tin mục tiêu của phím tắt để nó hữu ích có thể hiển thị các
biểu tượng, Stuxnet lây nhiễm hệ thống và sử dụng các kỹ thuật rootkit để ẩn các tập tin,
làm cho chúng biến mất khỏi tầm nhìn.
Stuxnet trên Windows XP
Trước khi kích hoạt các nhiễm trùng, tôi bắt đầu Process Monitor, Process
Explorer và Autoruns. Tôi cấu hình Autoruns để thực hiện một quét với "Hide Microsoft
và Windows Entries" và "Xác nhận chữ ký Mã" tùy chọn kiểm tra:
Hình 6: Cấu hình Autoruns
Điều này loại bỏ bất kỳ mục có chữ ký kỹ thuật số của Microsoft hoặc Windows
để Autoruns chỉ hiển thị mục dân cư của mã của bên thứ ba, bao gồm cả mã chữ ký của
các nhà xuất bản khác. Tôi đã lưu các đầu ra của quá trình quét để tôi có thể đã Autoruns
so sánh với nó sau đó và đánh dấu bất kỳ mục được thêm vào của Stuxnet. Tương tự như
vậy, tôi tạm dừng Process Explorer hiển thị bằng cách nhấn thanh không gian, mà sẽ cho
phép tôi để làm mới sau khi nhiễm trùng và gây ra nó để hiển thị bất kỳ quy trình bắt đầu
bởi Stuxnet trong Process Explorer màu nền xanh lá cây sử dụng cho các quy trình mới.
Với hoạt động Monitor Process registry, hệ thống tập tin, và DLL chụp, tôi lái đến thư
mục gốc các phím USB của, xem các file tạm thời biến mất, chờ một phút cho các thời
gian vi rút để hoàn thành lây nhiễm, ngừng Process Monitor và làm mới cả Autoruns và
Process Explorer.
Sau Autoruns làm mới, tôi sử dụng chức năng So sánh trong menu File để so sánh
các mục cập nhật với quét đã lưu trước đó. Autoruns phát hiện hai đăng ký trình điều
khiển thiết bị mới, Mrxnet.sys và Mrxcls.sys:
Hình 7: File stuxnet
Mrxnet.sys là các trình điều khiển mà các lập trình ban đầu gửi cho tôi và thực
hiện các rootkit ẩn file, và Mrxcls.sys là Stuxnet tập tin trình điều khiển thứ hai mà ra mắt
các phần mềm độc hại khi hệ thống khởi động. Stuxnet tác giả có thể dễ dàng mở rộng
chiếc áo choàng của Mrxnet để ẩn các tập tin từ các công cụ như Autoruns, nhưng họ
dường như cảm thấy tự tin rằng chữ ký kỹ thuật số có giá trị từ một công ty phần cứng nổi
tiếng sẽ gây ra bất cứ ai mà nhận thấy họ vượt qua chúng. Nó chỉ ra rằng Autoruns đã nói
với chúng tôi tất cả những gì chúng ta cần biết để làm sạch các nhiễm trùng, đó là dễ dàng

như xóa hoặc vô hiệu hóa các mục trình điều khiển.