4.5.2　袭击

袭击是网络攻击中最令人畏惧的阶段。它是威胁行为者造成损害的主要方式，这种损害超出了数据和软件的范围。威胁行为者可能会永久禁用或更改受害者硬件的功能。威胁行为者专注于摧毁由受危害的系统和计算设备控制的硬件。

攻击发展到这个阶段一个很好的例子是针对伊朗核电站的Stuxnet攻击（见图4-8）。这是第一个记录在案的数字武器，用于破坏物理资源。就像任何其他攻击一样，Stuxnet遵循了前面所提的阶段，并且已经在该设施的网络中驻留了一年。最初，Stuxnet被用来操纵核设施中的阀门，导致压力积累并损坏核电站的一些设备。后来，恶意软件被修改进而攻击更大的目标——离心机，共分三个阶段实现。

图4-8　经解密并泄露到互联网上的Stuxnet代码的屏幕截图

因为没有连接到互联网，恶意软件只能通过USB驱动器传播到目标计算机。一旦感染了其中一台目标计算机，恶意软件就会自我复制并传播到其他计算机。恶意软件进入下一阶段，感染了西门子的某款名为STEP 7的软件，该软件用于控制逻辑控制器的编程。

一旦该软件被攻破，恶意软件最终获得对程序逻辑控制器的访问权限。这使得威胁行为者可以直接操作核电站中的各种机器。威胁行为者致使高速旋转的离心机失控地旋转，并自行开裂。

Stuxnet恶意软件显示了此阶段可以达到的高度。伊朗核设施没有机会保护自己，因为威胁行为者已经获得了访问权限，并提升了权限，并远离安全工具。据核电站操作员说，他们在电脑上收到了许多相同的错误信息，但所有的病毒扫描都显示没有被感染。很明显，威胁行为者用阀门在受损的设施内对蠕虫进行了多次测试。

他们发现这很奏效，并决定扩大规模攻击离心机。

“Stuxnet由6个文件组成，4个为恶意快捷方式文件，其名称基于Copy of Shortcut to.lnk；还有2个文件，其名称使它们看起来像普通的临时文件（见图4-9）。在这个感染载体中，Stuxnet利用Windows资源管理器Shell（Shell32.dll）快捷方式解析代码中的一个零日漏洞，在不与用户交互的情况下开始执行。”Mark Russinovich在他的博客文章中写道，可在“延伸阅读”部分的第5项链接中查看详细信息。

图4-9　Stuxnet在TEMP文件夹中的外观

总而言之，这一阶段是黑客对受损系统造成实际危害的阶段。攻击包括旨在破坏网络、系统和数据的机密性、完整性和可用性的所有活动。下面将介绍黑客用于攻击的一些新技术。