美国APT网络攻击破坏伊朗核设施的震网病毒大约分为4个大版本，分别是0.500版本、1.001版本、1.100版本、1.101版本。早期Stuxnet 0.500版本是通过荷兰情报机构招募特工，伪装成工程师进入核设施工厂，将U盘插入目标主机进行传播的，后期则是通过网络攻击5家伊朗核设施供应商技术人员的电脑或U盘，间接将病毒带入核设施工厂的。
在具体的实战过程中，震网0.500版本主要是通过关闭提纯浓缩铀的离心机的泄压阀门，造成离心机超压爆炸，以此来损坏伊朗核设施，拖慢伊朗核武研发计划。震网病毒早期版本一旦感染目标主机，会潜伏大约30天左右，在此期间会进行全面检查，以确定各种阀门、压力传感器和其它部件是否与预期一致，然后监视其运行状态，同时把正常的值记录下来，在正式开始攻击的时候，将这些值回传给操作人员，误以为一切正常，同时还会破坏掉核设施工厂的安全警报系统。震网病毒通过读取离心机在震动传感器的参数，确定离心机的受损害程度，并据此调整对离心机的攻击力度，避免离心机出现瞬时破坏性故障，以达到将其失效原因伪装成质量问题的目的，从而实现较为隐蔽的长期损坏离心机的目的。
后期特工将U盘病毒带入核设施工厂内部越来越困难，美国政府要求NSA修改病毒代码，用编程手段实现自动化进入物理隔离的伊朗核设施内网，为了避免伊朗方面怀疑，必须使用新方法替代原有的替代原有的关闭泄压阀门的方式。于是震网病毒更新到了1.x系列版本，美国NSA想到了一个绝妙的方法将病毒传播进入物理隔离的内网，这大概是供应链攻击的早期的成功实践。
美国挑选了与伊朗核设施工厂联系最为密切的5个供应商公司，通过网络攻击手段，入侵这5家公司的内部网络，将病毒植入这些技术人员的电脑或U盘中。传播机制是非常微妙的，入侵性太强，会扩散很快被发现，入侵性不强，无法进入物理隔离的核设施工厂。
当这些技术人员进入核设施工厂内部进行设备维护插入U盘或者将电脑接入物理隔离内网时，这些U盘病毒会通过Autorun方式或者Windows快捷方式文件解析漏洞MS10-046将病毒复制到伊朗核设施电脑中，然后这些病毒会自动化攻击内网其它主机，通过MS08-067远程溢出漏洞、打印机后台程序服务漏洞（MS10-061）、局域网共享等在内网进行横向传播，一旦感染计算机之后，会通过务计划程序权限提升漏洞（MS10-092）、内核模式驱动程序权限提升漏洞(MS10-073)两个Windows提权0day漏洞提升到windows系统最高权限。
震网病毒并不是漫无目的的肆意传播，震网病毒在进行内网自动化横向过程中的主要目的之一，就是寻找SCADA工控体系的工程师站机器，也就是安装了Wincc和Step7工控软件的机器，这种主机可以为PLC下发控制指令，从而控制泄压阀门开关、离心机转速、设备的运行停止等等，可以理解为获取了工程师站机器的权限，就可以控制工控设备运转。
#昀哥推荐阅读# http://t.cn/A6OX9TsW