文章总结： 本文深度剖析了震网病毒0.5版本攻击伊朗核设施的机制。该版本针对S7-417型PLC，通过感染Step7项目文件传播，主要操纵阀门制造超压破坏离心机。攻击流程分潜伏录制数据、关闭阀门升压、伪造监控数据掩护及循环破坏四阶段。由于攻击见效慢，后期被改为控制变频器的1.x版本，展示了高度复杂的工控攻击战术。 综合评分： 88 文章分类： 恶意软件,漏洞分析,安全大事件,逆向分析,供应链安全

第150篇：美国NSA网络战：震网病毒0.5早期版本入侵伊朗核工厂的技术细节拆解（第5篇）

原创

abc123info

希潭实验室

2026年1月7日 09:41 山东

Part1 前言

大家好，我是ABC_123。前面几期给大家深入分析了美国震网病毒入侵伊朗核工厂的全过程，这个史上第1个被纰漏的网络战案例如同科幻电影一样，对于这个超级复杂的案例ABC_123还在研究整理，未完待续。今天给大家分析一下震网病毒0.5早期版本是如何入侵伊朗核工厂的离心机设备。

前面ABC_123写了4篇文章，欢迎大家阅览：

第74篇：美国APT网络攻击破坏伊朗核设施全过程复盘分析（第1篇）

第75篇：美国APT供应链打穿伊朗物理隔离的核工厂案例分析（第2篇）

第76篇：美国震网病毒隐蔽破坏伊朗核设施离心机的多种方法揭秘（第3篇）

第112篇：美国APT震网病毒入侵伊朗核工厂后续与启示（第4篇）

Part2 技术研究过程

通过前面几篇文章我们知道，震网病毒1.x版本是控制离心机的变频器，进而控制离心机转速导致离心机爆炸损坏；但是震网病毒早期版本0.5它的攻击对象不是控制转速的变频器，而是控制六氟化铀气体进出离心机和级联系统的阀门。震网病毒0.5早期版本并不攻击伊朗纳坦兹核工厂的所有离心机设备，而是选择性地进行攻击：在含有 18 个级联系统的核工厂机房中，它会选择攻击其中的 6 个；在每个包含 164 台离心机的级联系统中，它选择攻击其中 110 台离心机的阀门，每个机房大概有3000多台离心机设备。

#

震网病毒0.5版本专门针对西门子S7-417型PLC进行攻击，后续较新版本则攻击的S7-315型的PLC 。与震网病毒较新版本利用零日漏洞和 USB自动运行进行内网横向传播不同，震网病毒0.5版本主要通过感染西门子Step 7软件的项目文件进行传播。这意味着震网病毒早期版本攻击者必须通过伊朗核工厂的工程师或操作员的计算机（如通过社工手段向其U盘进行病毒植入）将病毒带入伊朗核工厂内部系统。 震网病毒0.5版本的攻击是一个精心设计的极其复杂的循环过程，旨在通过操纵离心机气压来破坏离心机，同时欺骗操作人员误以为工控系统一切正常。其具体流程分为以下几个阶段：

• ### 第一阶段：潜伏与侦察（录制正常数据）

长期潜伏：震网病毒0.5版本进入伊朗核工厂的工控系统后，会潜伏大约 30 天。在此期间，它会检查系统的各项配置，如阀门和压力传感器，确保不仅找到了目标 PLC，而且该 PLC 连接了预期的硬件设备。

数据录制：在潜伏的30天中，它会记录级联系统正常运行时的数值，例如短暂打开某级阀门读取正常的压力值，以便在后续攻击实施破坏时，向监控系统回放这些正常的虚假数据，掩盖故障真相。

触发条件：震网病毒0.5版本的攻击启动需要满足特定的运行时间条件：单个级联系统需连续运行超过 35 天，或者所有 6 个目标级联系统累计运行超过 298 天。其原因是为了隐蔽攻击行动，同时等待气体原料注满离心机，以备后续关闭阀门导致离心机增压爆炸。

• ### 第二阶段：实施破坏（制造超压）

关闭排气阀门：攻击开始后，震网病毒会关闭除第10层气体注入层之外的各层上的离心机的部分阀门。在级联系统的第9层，它关闭 20 台离心机中的 14 台离心机的废气管道阀门；在级联系统的第 8 级，会关闭 16 台离心机中的 13 台离心机的废气管道阀门。具体关闭哪一个阀门，震网病毒内置一个复杂的算法随机挑选。

等待压力积聚：关闭阀门之后，气体只进不出，离心机内部压力迅速升高。震网病毒0.5版本会维持这种状态，它会等待 2 小时或者直到压力传感器显示压力升高至正常值的 5 倍 。此时，六氟化铀气体会开始凝结、固化。固态的铀化物进入高速旋转的转子，会严重损坏转子或导致其失去平衡，敲打离心机的外壳，进而引发剧烈震动，导致离心机粉碎或产生连锁反应撞毁周围的机器。一个每分钟转速高达上万次的离心机从静止状态中脱离出来，破坏力是非常大的。

• ### 第三阶段：掩盖与重置（清理现场）

屏蔽安全系统：在攻击过程中，震网会禁用伊朗核工厂的安全告警系统，如加速度传感器（用于监控离心机的振幅）和压力传感器（防止系统检测到异常震动或压力而自动触发紧急停机），伊朗的这套系统能在毫秒级响应以隔离发生故障的离心机。

排放废气降压：在2个小时的高压状态维持结束后，病毒会进入恢复阶段。它会打开除气体注入层附近的3个阀门之外的辅助阀门，然后会等待3分钟；此时继续发送伪造监控数据使工程师以为离心机一切正常，然后静默7分钟，阻止操作员修改设置，为了后续离心机恢复正常工作及清理攻击痕迹做准备。最后它会打开一组约25个阀门（推测是通往废气罐的排放阀），将受损或残留的气体排空。

• ### 第四阶段：循环执行

整个攻击循环结束后，程序会重置并等待下一个35天的周期。这种攻击不仅通过物理损坏摧毁离心机，还通过破坏浓缩过程（如产生低质量或固化的铀）来浪费宝贵的核材料 。然而，由于这种针对离心机阀门的攻击见效较慢、效果不如预期，美国NSA后期改变了策略，在2009年推出了针对变频器的新版本震网病毒1.x，其原理主要是改变离心机的转速。

由于攻击仅仅持续2个小时，受影响的只是部分离心机阀门，在这个过程中，核工厂的技术人员看到的监视器上的数据都是震网病毒伪造的正常数据，这些使得伊朗核工厂的工作人员陷入了空前的困惑当中。

Part3 总结

1.  震网病毒0.5版本一次攻击仅仅持续2个小时，是为了缓慢破坏而不被发现，防止瞬时破坏导致攻击计划被安全人员发现。

2.  震网病毒这个案例还没有分析完，敬请期待后续章节。大家有好的建议，欢迎给我留言。为了便于技术交流，现已建立微信群”希水涵-信安技术交流群”，欢迎您的加入。

公众号专注于网络安全技术分享，包括APT事件分析、红队攻防、蓝队分析、渗透测试、代码审计等，每周一篇，99%原创，敬请关注。

Contact me: 0day123abc#gmail.com

OR 2332887682#qq.com

(replace # with @)

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：希潭实验室 abc123info《第150篇：美国NSA网络战：震网病毒0.5早期版本入侵伊朗核工厂的技术细节拆解（第5篇）》