伊朗核设施遭袭背后，重温 “震网” 事件：攻击没那么神，防御没那么难（上）

历史不容假设，但需要回溯研究——报告背景说明

2026年2月28日起（伊朗当地时间），美以联军对伊朗发动代号为“史诗狂怒”的大规模联合军事行动，对伊朗境内大量目标实施轰炸空袭^[1]。同日，伊朗方面确认，最高领袖哈梅内伊在空袭中遇害。

美军参谋长联席会议主席丹・凯恩表示^[2]，美国网络司令部与太空司令部是“率先行动者”，对系统提供“叠加非动能作战效果”以提供支援。他在五角大楼的新闻发布会上称：“协同开展的太空与网络作战，有效瘫痪了责任区内的通信与传感器网络，令对手丧失有效侦察、协同与反击能力。”

因此，我们也不得不将目光重新投射回2010年被曝光的“震网”攻击事件，这一事件在较长时间内阻塞了伊朗的核发展进程。让很多人不免猜想，如果当年那场网络攻击未能实施成功，伊朗是否会成为拥核国家；如果其成为了拥核国家，中东格局、包括全球力量版图将是怎样的局面；以及如果伊朗掌握了核武器，今天的一幕是否会发生。历史不容假设，但需要回溯研究。我们秉承反对核扩散，支持和平利用核能的立场，但同时也反对武力干涉和单边制裁。我们无论从最初的分析跟进，还是此时的温故知新，是希望呈现网络空间力量在战争运用的深层逻辑。

2010年6月，“震网”病毒被曝光。安天自2010年7月15日起展开对“震网”的分析工作，搭建了还原沙盘，分析了其基本原理^[3]、USB摆渡机理^[4]、对WinCC的作用机制^[5]等内容，发布了多篇分析报告，并进一步针对火焰（Flame）^[6]、毒曲（Duqu）等病毒与震网的同源性^[7]等问题，进行了持续数年的跟踪分析。到2019年，我们发布了《震网事件的九年再复盘与思考》^[8]。2025年6月，美方轰炸伊朗核设施，且适逢“震网”事件曝光十五周年之际，安天应急响应中心、安天战略情报中心联合完成了《“震网”攻击事件的15年再思考》三篇系列报告，分别为技术篇、战术篇与战略篇，决定作为内部成果，不做公开。我们随后关注到，同年7月22日，美国网络安全和基础设施保护小组委员会也以“全面运作：‘震网’病毒15年后以及网络威胁对关键基础设施的演变”为题举办听证会。

2026年1月6日，针对美国入侵委内瑞拉、绑架马杜罗总统夫妇，安天发布了《美军入侵委内瑞拉背后的网络作业能力频谱猜测与关联分析》^[9]等报告，在事件的网空可见度极低的背景下，从能力体系评估和行为体范式出发，对相关事件进行了谨慎推演分析。安天战略分析人员对特朗普政府的新军事行动特点的概括是：“抗拒大国战争，恐惧干涉主义泥潭。但通过快速且相对低成本的‘特种作战’实施‘斩首行动’，完成对反美国家的政权更替，既可以避免陷入原美国干涉主义可能带来的战争泥潭，同时又可以宣示其势力控制范围。在选择这种效费比更高的符合美国战略利益行动方式的前提下，特朗普政府可能具有比其他总统更强的冒险主义特点。”

本次从伊朗局势紧张开始，业内就有声音希望安天CERT继续跟进，但我们讨论后决定不发布公开的技术分析，安天战略情报中心则计划在拟开通“网空战情参考”公众号时，在发刊词中谈部分观点和判断作为回应。

对于本次美以轰炸伊朗的行动，一方面需要看到美以通过基于超强的情报能力和压制性实力，达成了一部分的预设行动目的，从战术和技术上，需要高度重视和分析其能力和运用过程；但另一方面也没有必要将其夸大塑造为新的神话。为此我们决定，公开去年《“震网”攻击事件的15年再思考》三篇报告中的技术篇，报告基于“震网”事件没有得到足够重视的关键信息的回顾，提炼了若干网络安全攻防对抗的工作原则，同时也以“震网”事件发生时的安全能力视角梳理“震网”攻击，说明攻击致效并非完全来自于攻击方能力的高超，也来自于防御方的能力缺失和意识淡漠。这是一个打破神话、祛魅归真的过程思考。我们希望在纷乱繁杂的信息中，带来一份源自网络安全业界视角、坚持长期战略定力的声音。同时我们希望说明的是，我们的分析成果发布与否来自于我们自身作为中国网络安全企业责任的判断和理解，而并不是SentinelOne某位同行替我们做的“受到某种压制”的解读。我们同时感谢杰克·保尔森（Jack Poulson）公开发表的揭秘报道，披露美情报承包商对我们的画像分析，以及将我们的分析工作类比于“维基解密”，借蓬佩奥（Michael R. Pompeo）在担任CIA局长期间，提出暗杀阿桑奇（Julian Assange）一事，对我们的人身安全进行风险提示。

我们相信对“震网”事件的“复盘”，会让中国和国际网络安全工作者，从历史的坐标中汲取教益和养分——包括对攻击活动与技术的全面理解，更是关于防御规律的认识与迭代。以提升我们自身的安全能力，为应对未来的威胁做好准备。

被神话的“震网”

随着“震网”事件在2010年曝光，已经过去了15年。从网络安全对抗到军事历史上，这都是一个里程碑事件，其证实了“网络攻击可以转化为物理空间的影响，包括与火力打击局部的等效性”。这的确是开启了网络战争魔盒的里程碑式事件，但与此同时，其也带来了诸多“神话”式的标签，也有很多与事实不符的传闻，这些都混杂在对“震网”事件的认识里。以至于当人们谈论“震网”时，往往不能准确客观的基于真实技术过程，而是在谈论一个被构建出来的神话。十五年过去了，“震网”从一种现实的威胁演变为一个研究的标本。但其揭示的关于攻击的本质、关于防御的逻辑、关于安全的本质都依然没有改变。

“震网”作为“突破了物理隔离网络”的典范案例，其初始进入过程就曾被误判。在2010年，安天CERT首次参与多方对“震网”研讨的时候，参与讨论的相关欧洲工控厂商技术人员对“震网”如何渗透到工业系统内网的解释是，有可能是在相关的机构附近，大量散播掉落带有“震网”病毒的U盘，然后被人员误用传递到网络内。而部分讨论者采信了这种明显不合理的可能性，认为“震网”进入到内网，是“撞大运”式的捕获机会性窗口的概率性事件。但是，数年后才曝光的由荷兰维护工程师定向带入U盘攻击的实际情况，却不为人所知。

“震网”攻击的驱动程序中，使用了从Realtek（瑞昱）和JMicron（智微）两家中国台湾厂商窃取的合法数字签名证书，帮助它绕过了Windows系统的驱动签名验证，加之“震网”代码中，存在判断杀毒软件进程针对性绕过的代码，强化了“震网”的针对性突防影响。“震网”攻击的隐蔽性，也被夸大了，由于其使用了Rootkit手段以使其关键模块落地后，无法在资源管理器中被看到，以至于其被很多人认为发现“震网”的主机活动是非常困难的。而由于其对自身的代码和配置使用的复杂加密手段，这种印象也被传递到其网络活动，认为其在横向移动过程中，是难以被观测和发现的。但实际情况可能是，在目标的部分主机上没有部署任何主机安全软件，更没有部署内网的流量监测分析能力。关于“震网”最大的传说是，这是一起完全基于0day漏洞组合使用完成的攻击，于是其加剧了一种防御认知，即将防御高级持续性威胁的关注度完全聚焦在“未知漏洞”这一命题上，而忽略了实际情况和攻击载荷（执行体）的作用。

以上种种误判，实际上在包括安天在内的大量历史分析和曝光信息中，早已被证实与真实情况不符。但由于惯性的强大，这些真实的细节，在公众认知中被屏蔽了。因此我们要强调另一个版本的“震网”：它是一个网络攻击工程的杰作，但它并非有无懈可击的完美过程；它开创了针对工业控制系统的攻击先河，但它也非不可防御的神话。“震网”之所以能够长驱直入，并非单纯的基于其攻击技术的高明，也同样因为目标系统，除物理隔离措施以外，本身处于近乎不设防的状态。

没有绝对安全的系统，但也没有完全无解的攻击。这才是辩证法！

关于一些已经被揭示，但并未得到重视的细节

我们将本篇报告标题定名为《从被忽视的细节中提炼防御的准则》，是希望把在历史分析中早已验证和解释，但被那些先入为主的、刻意神话的判断淹没的细节重新梳理提及，以重新打破那些固化的刻板偏见。

2.1 人工定向接触突破——而非捕获小概率窗口

在任务目标明确，攻击方有明确的攻击意志和充沛的资源，且已经消耗了大量的工程和准备成本的攻击活动中，当然也需要捕获作业窗口。但其显然不会采取一种机会主义的方式，导致攻击可能在未达成前就暴露，而是要确保突防的成功。“震网”突破到铀离心设施网络内部的真实原因，尽管从2010年的分析中，就已经找到USB摆渡和内网横向移动的功能代码。但直到2019年，才在媒体报道《独家披露：荷兰秘密线人如何协助美以对伊朗发动震网（Stuxnet）网络攻击（Revealed: How a secret Dutch mole aided the U.S.-Israeli Stuxnet cyberattack on Iran）》^[10]中被揭示出来。而此时“震网”事件已经没有足够的热度，导致依然有很多人并不了解“震网”突防是如何完成的。

2007年，美中情局与以色列摩萨德为突破伊朗纳坦兹铀离心设施物理隔离，策动秘密渗透行动，招募荷兰籍西门子工程师埃里克·范·萨本（Erik van Sabben），以其合法身份作掩护，用U盘将“震网”病毒初始感染载体植入内网控制系统。事后调查发现，埃里克此前已被荷兰情报部门发展为线人，但美对其隐瞒“震网”任务细节，荷兰情报机构也未知完整方案。“震网”攻击是分析者的命名，其在美方情报机构的内部任务代号为“奥林匹斯”行动，基于美以多年技术与战术准备，获两届美国政府批准。这一人工渗透环节，具有极高的战术价值。任务完成后，“震网”致使纳坦兹近千台铀浓缩离心机故障，伊朗初期误判攻击性质，将其作为故障处理，未进行应急响应。2009年1月，埃里克在阿联酋沙迦遇交通事故身亡。同年春季，美以技术团队升级“震网”病毒，使其具备自主传播能力，实现二次渗透。

2008年前后，美NSA已经列装了专用的USB攻击设备CottonMouth（水蝮蛇），目前可以初步判断在2007年1月NSA已经具备了USB自动插入运行投放的能力。因此其载体设备是只拷贝了“震网”病毒的普通USB设备，还是类似“水蝮蛇”的自动化触发的攻击装备，尚未为人所知。在人员可接触终端前提下，固然其可以实现手工运行，但如果使用类似CottonMouth的设备长期插入U口，不仅可以实现自动植入操作。而且可以形成一种基于外设的持久化能力，类似CottonMouth-II（水蝮蛇）还可以实施一定距离（开放地带13公里左右）的通讯，以构建抵近控制的中继节点。

图2-1 美方"水蝮蛇"基于外设植入攻击装备（推测约2008年前后列装）

2.2 存在多种主机可见痕迹——而非踏雪无痕

“震网”病毒具备多种防御规避能力，例如感染条件判断、定期自毁、根据系统安装安全软件执行不同操作、Rootkit技术、盗用数字签名等，可以完整绕过当时的系统安全机制和主流安全软件，但通过分析其感染后的主机端和网络侧行为痕迹（见下表），也并不是毫无破绽。如：注册驱动、注入进程、内网短时间频繁通信、连接互联网域名、移动存储设备文件写入、Hook系统API函数等，均为高风险行为痕迹，即使不直接告警，通过日志记录留存配合定期安全运营，也是可以发现蛛丝马迹、发现相关异常，减少被持久攻击的损失。伊朗当时的具体IT环境我们不可知，但从现实结果来看，伊朗并没有及时发现“震网”病毒，而是让其从最早攻击波次起，存在了两年多的时间。

“震网”病毒感染主机后会衍生大量文件，安天CERT总结了文件的路径、格式、签名情况和功能（见下表）。其中包括加密配置文件、加密模块，但也有未加密的DLL、SYS、LNK等文件。除了若干加密文件外，其中两个驱动（SYS）文件存在有效数字签名，这两个驱动文件是“震网”能够持久化、规避检测和自启动的核心模块，通过这两个驱动完成了主模块的加载和相关文件的隐藏。若干DLL文件负责P2P网络、C2通信、USB传播初始加载器和主模块等功能。还有4个LNK文件和2个DLL文件会释放到接入的移动存储设备中，使用LNK漏洞发起“摆渡”攻击。“震网”是一个蠕虫类型的病毒，其在内网中的感染量是很大的。以上相关文件载荷均在被感染主机终端中以文件形态存在。其中多数文件并未被Rootkit隐藏，通过安全软件是可以监测捕获到的，肉眼亦可观测。虽然相关文件对于安全软件是未知属性，但对于这样一个相对稳定的内网主机环境，实际上结合有效的安全运营是可以发现相关攻击的痕迹，基于大量文件增加、产生蓝屏主机、内网通信等线索定位受害主机并处置相关风险的。

2.3 版本演进可能的原因——寻找破坏效果与隐蔽性之间的最佳平衡点

“震网”样本的初始版本，并不是安全业界在2010年分析的“蠕虫”+木马形态，这是“震网”的1.x版本，但其初始投放的是0.5版本。这两个版本在传播方式、攻击机理和破坏效果上存在明显差异。

那么，版本演进的根源是什么？基于行动和致效的角度，有两种可能性，一种是，最初投放的版本在取得初始效果后，由于伊方IT运营环境的调整等因素，已经失去活性，无法继续保持作用，需要重新突防部署。一种是，由于伊朗扩建了多地新的离心设施，初始投放的作业影响范围无法覆盖到新场景，需要用更有传播力和突防能力的版本实施行动。

同时对比版本差异，还可能存在以下几个方面的原因：

从破坏效果与隐蔽性的平衡来看，0.5版本的攻击方式可能存在更大的暴露风险。国际原子能机构（IAEA）的核查报告显示，2009年12月至2010年1月间，伊朗纳坦兹核设施约2000台离心机被替换——这一异常情况部分是“震网”通过阀门级联造成超压的结果。但这种批量损毁模式也可能逐渐在事件分析归零中暴露。1.x版本通过修改转速来破坏铀的分析效果，同时通过转数变化，实现更精细的对离心机的磨损破坏，这可能是版本演进的重要驱动力。

目标环境的适应性调整：伊朗核设施的离心机系统和相关的关键PC节点和软件条件也在更新变化，攻击者需要不断调整攻击策略以应对目标环境的变化。从版本迭代来看，“震网”经历了0.500、1.001、1.100、1.101等多个版本，这种频繁的版本更新可能反映了攻击者针对不同环境进行持续优化的过程。1.x版本相比0.5版本具有更广泛的平台兼容性，这可能是攻击者针对不同西门子WinCC版本进行适配的结果。

传播方式的演进可能反映了攻击者对战术灵活性的追求。0.5版本高度依赖人工接触，这种方式存在明显局限性——一旦情报线暴露或落地人员出现问题，攻击行动就会陷入停滞。1.x版本采用更加多样化的传播方式，既可以通过感染供应商技术人员间接渗透，也可以利用LNK漏洞（CVE-2010-2568）和打印服务漏洞（CVE-2010-2729）等进行网络横向移动。这种传播方式的转型，大大降低了对单一情报来源的依赖。而对于1.x版本的大规模扩散——感染全球超过45000个网络的原因，安天在《震网事件的九年再复盘与思考》中对此已经做了较多的分析，这里就不再重复。

2.4 利用多个已知漏洞——而非全部都是0day

由于“震网”最初被业内关注和发现的版本，是使用了多个漏洞可以进行横向移动和网络传播的1.001版本，因此导致“震网”的关注度聚焦在了0day漏洞问题上。但实际上，造成批量的离心机损坏的初始投放版本0.5版本不仅没有使用0day漏洞，甚至并未使用漏洞实施攻击，其就是一组带有一定感染传播属性的，复杂的恶意代码执行体。1.001版本病毒使用了多个漏洞用于提权、传播和执行，但安天CERT通过对比样本编译时间与漏洞的公开时间的关系可以呈现出，1.001版本既使用了5个0day漏洞、也使用了3个Nday漏洞（分别是MS08-067、MS10-061、MS09-025，其中MS10-061虽然是微软在2010年9月披露，但实际相关漏洞在2009年4月的Hakin9杂志就已经公开，因此该漏洞亦可认为是Nday漏洞）。其中MS08-067漏洞是当时著名的漏洞，当年对全球计算机造成重大影响。从“震网”的版本更迭来看，在1.X后续版本有删除漏洞和其他传播模块，但MS08-067在1.X所有版本中一直保留使用。更大的可能是攻击组织早已摸清了伊朗的核工业系统环境，其并无漏洞利用的攻击检测能力部署，而且知晓其物理隔离内网系统并未更新系统补丁，也没有针对弱口令网络共享的基本治理（弱口令共享传播模块也在1.X所有版本中使用）。

图2-2 “震网”样本使用0day、1day漏洞情况

2.5 盗用证书签名——没有得到足够重视的供应链安全环节

“震网”盗用证书签名证书，是当时各方分析的重点。但如何从整个供应链体系中应对这一类型的攻击，却一定程度上被忽略了。

“震网”病毒重要的攻击技巧是两个核心驱动模块（复制持久化和隐藏相关文件）具有主流厂商的数字签名，其利用盗用的两个正常签名（见下图、表）给自己的恶意文件穿上了“可信”的外衣，通过签名大大加强了自身的可信度，使其驱动的多种敏感行为（开机自启、注入进程、Hook系统API）可以绕过操作系统和安全软件的检测，能够堂而皇之的在系统内进行任何操作。

图2-3“震网”使用的两个盗用的数字签名^[12]

“震网”盗用签名的所属公司JMicron Technology总部与RealTek当时位于同一个科技园内。无独有偶，“震网”事件之后，陆续发生了大量数字证书盗用、哈希碰撞伪造证书、数字证书签发机构被入侵颁发虚假证书、篡改源码利用原厂签名等事件。代码签名体系是软件供应链安全体系的重要基石，但其本身不足以独立在一个开放的场景中保证软件的安全，数字签名本身的证书签发环境的安全、证书统一管理和废止机制、证书机构自身的系统安全、证书使用者环境的安全，都应给予规范的管理和足够的重视。而与此同时，在规模型产业体系中，软件证书的申请必然是海量的，软件证书的签发也必然是离散的，签名体系是必然穿透的。安天曾多次指出，在新增PE样本中，带有“合法”数字签名的带有很高的占比，这就必然使在主机场景对抗中，不能只依托数学验证保证整个软件供应链环境的安全，其必然需要反病毒引擎和主防来承载可信体系承载穿透对抗。

2.6 流量特征显著——而非无声无息

如上节分析，“震网”攻击过程中使用了大量漏洞，其中用于突破物理隔离传播的漏洞就有4个，这其中1个漏洞利用移动存储设备“摆渡”至隔离网络，3个漏洞利用网络在内网传播。“震网”在利用这三个漏洞传播时，内网流量可以观测到会产生非常显著的行为异常。

复现“震网”的传播活动，其利用网络共享传播自身，在建立与目标建立连接后先设置目标文件路径，随后明文传输文件数据，传输完成后发送执行文件命令，相关动作均有明显的流量痕迹，具体流量行为见下图。

图2-4 “震网”设置传播目标路径：DEFRAG[RANDLNT].tmp（PEEXE文件）

图2-5 “震网”开始向目标主机明文传输攻击载荷

图2-6 “震网”利用网络共享传播成功发送执行命令

由上述分析可以发现，“震网”在利用网络传播的时候，流量中存在多种异常情况，如：传输PE文件、发送执行命令等，而且是明文化的可观测特征。因此，无论是内网或公开网络，不应因其是隔离就放任而不被监测，都应接受安全防护设备的监测与记录。正如The Langner Group所说的那样，伊朗应该意识到这些流量，而不是没有进行任何测试。

2.7 错误的认知与研判——未在初始排查中考虑网络攻击的可能

和今天已经固化的伊朗机构人员层面被渗透成筛子的印象不同，“震网”攻击发生于伊朗在工业化发展的国家上升期，彼时美以对伊朗人员渗透的程度要低得多。在“震网”攻击导致离心机损坏的情况最初出现时，伊方在排查中完全未考虑遭到网络入侵攻击的可能性，而将事故调查重点集中在“内部人员破坏”和国产设备质量缺陷两个方向。

当然这有一定的客观原因，在技术调查层面，伊朗核设施的离心机系统采用了混合供应链模式，既包含荷兰等国外厂商提供的设备，也使用了质量尚未稳定的国产化设备和部件。其自主生产的离心机模块在制造工艺和装配流程上存在固有缺陷，导致系统性故障频发。这一客观技术背景使得伊朗技术人员在初期更倾向于将故障归因于设备可靠性问题，而非定向网络攻击^[14]。

根据BBC的报道“在内部排查方面，随着离心机故障数量持续攀升，伊朗安全部门对多名涉嫌‘核间谍’的人员实施逮捕和起诉，甚至处决了某些工程师，试图通过内部整顿来遏制攻击态势”。当然不能排除相关报道有可能是西方媒体对伊朗的丑化^[15]。但从“震网”攻击实施来看，可能存在内部人员为美、以提供内部情况的可能性，但从其需要荷兰运营工程师实施投放来看，其在最初实施网络攻击时，是缺少可靠和具有足够权限的“内鬼”支撑的。

直至2009年末至2010年间，随着国际网络安全研究机构对“震网”病毒的逆向分析成果陆续公开，伊朗方面才逐步确认病毒攻击，并意识到早期应急响应策略存在重大误判。当面对超出认知范围的事件时，当事方往往倾向于用已有的知识经验去解释异常现象，而难以有效枚举所有可能性，并做出合理的顺位判断以指引分析方向。这种认知偏差必然导致宝贵的应急响应窗口被错失。

《伊朗核设施遭袭背后，重温 “震网” 事件：攻击没那么神，防御没那么难（下）》