作者：radsen

链接：https://www.zhihu.com/question/264331588/answer/328516260

来源：知乎

著作权归作者所有。商业转载请联系作者获得授权，非商业转载请注明出处。

传奇的故事都有一个平凡的开场。以下内容摘抄整理自网络，著作权属于原作者。

2010 年 6 月，白俄罗斯的一家微型安全公司在为伊朗客户检查系统时，发现一种新型蠕虫病毒。这种病毒除了导致客户的电脑不断死机重启外，好像没什么特别的危害。

凡是新病毒，都会被加入到公共病毒库，供业内人士研究。根据病毒代码中出现的特征字，新病毒被命名为 " 震网（Stuxnet）"。

<img data-rawwidth="640" data-rawheight="469" src="//img.yd166.com/https://pic2.zhimg.com/50/v2-6b16cc0a80291def04a0532ccbb8ad1e_hd.jpg" class="origin_image zh-lightbox-thumb" width="640" data-original="https://pic2.zhimg.com/v2-6b16cc0a80291def04a0532ccbb8ad1e_r.jpg"/>

● 《攻壳机动队：崛起》中，能植入虚假记忆的病毒以 " 震网 " 命名

著名信息安全厂商赛门铁克的应急团队开始着手研究震网。虽然已经知道如何*死病毒，但他们仍不明白病毒到底想干点啥，因为震网太神奇了。神奇之一：非常大

震网的主文件大得不可思议—— 500k 字节，而常见恶意代码文件大小仅为 10k 到 15k 之间。

一般体量大的病毒都会包含一块非代码区域，多是用图片文件来填充。但震网中并没有图片文件，也没有无关填充物，扎扎实实，全是精巧的代码。

这事儿一般黑客搞不定，震网病毒背后一定有一个非常庞大而专业的团队。

神奇之二：不用互联网

为了窃取信用卡和银行账号信息，黑客会想方设法让病毒尽可能广泛的传播。传播得越广，感染的电脑越多，赚得越多。可震网病毒只凭借某个用户用 U 盘从一台计算机传播到另一台计算机，或者通过局域网传播。

基于这一点，可以判断攻击者确信他们的目标系统不在互联网上。

神奇之三：有截止日期

震网给自己的行动设定了终止日期：2012 年 6 月 24 日。每当震网病毒进入一台新的计算机，都会检查计算机上的日期，如果晚于这个日期，病毒就会停下来，放弃感染。已经被感染机器上的恶意程序载荷仍然会继续运作，但震网病毒将不再感染新的计算机。

神奇之四：一个病毒有 4 个零日漏洞

零日漏洞，是黑客世界中最牛的东西之一。因为它利用的漏洞是软件开发者和反病毒公司还没发现的——这意味着根本没有补丁。

每年有超过 1200 万种恶意代码出现，但 " 零日漏洞 " 大概只有 10 来个。而震网这一个病毒就华丽丽地配了 4 个。

<img data-rawwidth="640" data-rawheight="322" src="//img.yd166.com/https://pic4.zhimg.com/50/v2-eca52f0ef9b9e18dda3ce2b99caad21d_hd.jpg" class="origin_image zh-lightbox-thumb" width="640" data-original="https://pic4.zhimg.com/v2-eca52f0ef9b9e18dda3ce2b99caad21d_r.jpg"/>

● 震网病毒的感染路径

如果是为了勒索敲诈赚钱，那黑客太想不开了：直接卖了不好嘛？一个顶级的零日漏洞连同相应的漏洞利用程序，可以在黑市上卖到 5 万美元以上，在以政府的网络部队和间谍机构为卖家的内部灰色市场上甚至能卖到 10 万美元。

到底是什么目标才配得上四个零日漏洞？

病毒的目标只是一个国家

入侵计算机后，震网病毒做的第一件事，是判断计算机到底是 32 位还是 64 位，如果是 64 位，放弃。

震网还会仔细跟踪自身在计算机上占用的处理器资源情况，只有在确定震网所占用资源不会拖慢计算机速度时才会释放病毒，以免被发现。

感染电脑后，震网开始搜索并把战果汇报给指挥控制服务器。如果计算机没有安装特定的两种软件，震网会主动进入休眠状态。

这两种软件是西门子公司的专有软件 Step 7 和 WinCC。它们都是与西门子公司生产的可编程逻辑控制器（PLC）配套的工业控制系统的一部分，用于配置自动控制系统的软硬件参数。

只有发现了这两款软件，软件所对应的 PLC 还必须是 S7-315 和 S7-417 这两个型号，震网病毒才会开始攻击。这两个型号对应的是两种特定的变频器。

<img data-rawwidth="640" data-rawheight="241" src="//img.yd166.com/https://pic1.zhimg.com/50/v2-9042710b3d48f034d2892c72769f5e07_hd.jpg" class="origin_image zh-lightbox-thumb" width="640" data-original="https://pic1.zhimg.com/v2-9042710b3d48f034d2892c72769f5e07_r.jpg"/>

通过层层限定，震网不会感染任何一个配置稍有偏差的工业控制系统，只会把它们作为传播的载体和攻击的跳板，直到找到最终的攻击目标。

之后，专家发现，震网攻击的是安装了这两种变频器的 6 组大型机组，每组 164 台。震网攻击的第一个步骤，是为期 13 天的侦察。期间，震网只是安静的记录着 PLC 的正常运行状态。震网记录的频率为每分钟 1 次，在完成约 110 万次记录之后，才会转入下一个阶段。

在这一阶段，震网会把变频器的频率提升到 1410 赫兹，并持续 15 分钟；然后降低到正常运行频率范围内的 1064 赫兹，持续 26 天。这 26 天，还是侦察期。

之后，震网会让频率在 2 赫兹的水平上持续 50 分钟，然后再恢复到 1064 赫兹。再过 26 天，攻击会再重复一遍。反反复复来来回回，这路数安全专家看不懂。所幸，科学与国际安全研究所的原子能专家们看懂了。

1064 赫兹这个频点是 IR-1 铀浓缩离心机独有的。13 天，是令 IR-1 离心机充满铀所要的时间。

<img data-rawwidth="488" data-rawheight="865" src="//img.yd166.com/https://pic1.zhimg.com/50/v2-d275519c04b41501f01a942d540659ed_hd.jpg" class="origin_image zh-lightbox-thumb" width="488" data-original="https://pic1.zhimg.com/v2-d275519c04b41501f01a942d540659ed_r.jpg"/>