W32.Stuxnet: 산업 제어 시스템을 위협하는 악성코드

W32.Stuxnet는 2010년대 연구자들과 미디어 사이에서 큰 관심을 받았었습니다.

Stuxnet은 현대 산업 환경에서 가장 복잡한 위협 중 하나입니다. 이 글에서는 Stuxnet과 그 다양한 구성 요소에 대해 자세히 살펴보며, 특히 Stuxnet의 최종 목표인 산업 제어 시스템의 재프로그래밍에 초점을 맞춥니다. Stuxnet은 다양한 구성 요소와 기능을 갖춘 크고 복잡한 악성코드입니다. 이 글은 위협에 대한 보다 포괄적이고 심층적인 분석을 제공합니다.

 

Stuxnet은 주로 가스 파이프라인 및 발전소와 같은 산업 제어 시스템을 대상으로 작성된 위협입니다.

그 최종 목표는 공격자가 의도한 대로 작동하도록 프로그래머블 논리 컨트롤러(PLC)의 코드를 수정하여 산업 제어 시스템(ICS)을 재프로그래밍하고, 그 변경 사항을 장비 운영자로부터 숨기는 것입니다.

이 목표를 달성하기 위해, Stuxnet 제작자들은 성공 확률을 높이기 위한 다양한 구성 요소를 모았습니다.

 

이에는 제로데이 익스플로잇, 윈도우 루트킷, 최초의 PLC 루트킷, 안티바이러스 회피 기술, 복잡한 프로세스 주입 및 후킹 코드, 네트워크 감염 루틴, 피어 투 피어 업데이트, 명령 및 제어 인터페이스가 포함됩니다. 우리는 Stuxnet의 다양한 구성 요소를 살펴보며, 이 위협이 어떻게 작동하는지 자세히 이해하고, 위협의 최종 목표가 이 위협의 가장 흥미롭고 관련성 높은 부분임을 명심합니다.

 

Stuxnet  요약

Stuxnet은 특정 산업 제어 시스템, 아마도 이란 내의 가스 파이프라인이나 발전소를 대상으로 하는 위협입니다. Stuxnet의 궁극적인 목표는 공격자가 의도한 대로 작동하도록 프로그래머블 논리 컨트롤러(PLC)를 재프로그래밍하여 해당 시설을 방해하는 것입니다. Stuxnet은 7월에 발견되었지만, 적어도 1년 전에 존재했음이 확인되었고, 아마도 그 이전부터 존재했을 것입니다. 대부분의 감염 사례는 이란에서 발견되었습니다.

 

Stuxnet에는 다음과 같은 다양한 기능이 포함되어 있습니다:

• 이동식 드라이브를 통해 자가 복제하며, 자동 실행을 허용하는 취약점을 이용합니다.
• LAN을 통해 윈도우 인쇄 스풀러의 취약점을 이용하여 확산합니다.
• SMB를 통해 확산하며, 마이크로소프트 윈도우 서버 서비스 RPC 처리 원격 코드 실행 취약점을 이용합니다.
• 네트워크 공유를 통해 원격 컴퓨터에 복사 및 실행됩니다.
• WinCC 데이터베이스 서버를 실행하는 원격 컴퓨터에 복사 및 실행됩니다.
• Step 7 프로젝트에 그러한 방식으로 복사되어 Step 7 프로젝트가 로드될 때 자동으로 실행됩니다.
• LAN 내에서 피어 투 피어 메커니즘을 통해 자체를 업데이트합니다.
• 미공개된 네 가지 마이크로소프트 취약점을 이용하며, 이 중 두 가지는 자가 복제를 위한 취약점이고 나머지 두 개는 아직 공개되지 않은 권한 상승 취약점입니다.
• 해커가 코드를 다운로드 및 실행할 수 있도록 하는 명령 및 제어 서버에 연결합니다.
• 이진 파일을 숨기는 윈도우 루트킷을 포함합니다.
• 보안 제품을 우회하려고 시도합니다.
• 특정 산업 제어 시스템을 지문 인식하고 지멘스 PLC의 코드를 수정하여 시스템을 잠재적으로 방해합니다.
• PLC에서 수정된 코드를 숨깁니다. 기본적으로 PLC를 위한 루트킷입니다.