SCADA 라이브 바카라 공격을 시도하는 Stuxnet 악성코드
안녕하십니까 이스트소프트 알약 보안대응팀입니다.최근 SCADA 라이브 바카라을 목표로 공격을 시도하는 악성코드인 Stuxnet이 이슈화되고 있습니다. 저희 알약에서는 이미 9월말에 언론에서 이슈화가 되기 이전에 이미 7월에 엔진 업데이트를 마쳤으며 현재 정상적인 치료와 예방이 가능한 상황입니다.
1. 최초 알약 등록일 : 2010년 7월 15일
진단명 : Rootkit.Stuxnet.A, Trojan.Stuxnet.A
2차 업데이트 : 2010년 7월 27일
진단명 : V.DRP.Stuxnet.A
2. Stuxnet이 악용하는 취약점 및 악성라이브 바카라 감염 경로
Stuxnet 악성코드를 PC와 SCADA 라이브 바카라에 감염시키기 위해 사용하는 취약점과 주된 감염 경로는 아래와 같습니다.
* 윈도우 취약점- 서버 서비스의 취약점으로 인한 원격라이브 바카라 실행문제점 (MS08-067)- 윈도우 쉘(Shell) 취약점으로 인한 원격라이브 바카라 실행 문제점 (LNK 취약점) (MS10-046)- 인쇄 스풀러 서비스의 취약점으로 인한 원격 라이브 바카라 실행 문제점 (MS10-061)
* Siemens Simatic WinCC and PCS 7 SCADA 라이브 바카라 취약점- 지멘스 원격통합감시 제어라이브 바카라(SCADA라이브 바카라)의 하드코드 패스워드로 인한 보안 취약점 (CVE-2010-2722)
3. Stuxnet 악성라이브 바카라의 주된 감염경로
1) USB 자동실행(오토런) 기능을 통한 감염이 가능합니다.2) 네트워크 공유 폴더 및 공유 프린터를 통한 감염이 가능합니다.3) 윈도우 LNK 취약점을 이용한 감염이 가능합니다.
4. Stuxnet 악성라이브 바카라 동작 로직
1) 로컬라이브 바카라 내에 다음과 같은 파일을 생성합니다.- C:\WINDOWS\system32\drivers\mrxcls.sys(모듈 인젝션을 위한 인젝터)- C:\WINDOWS\system32\drivers\mrxnet.sys(USB 전파를 위한 파일필터 드라이버)- 네트워크 공유폴더(Copy of Shortcut to.lnk, ~WTR(랜덤 4자리).tmp)- PNF파일 (C&C서버, 활동시간, 해제시간, 버전, Lnk 파일 정보 등);C:\WINDOWS\mdmcpq3.PNF;C:\WINDOWS\mdmeric3.PNF;C:\WINDOWS\oem6C.PNF;C:\WINDOWS\oem7A.PNF
2) 레지스트리를 생성합니다.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\SYSTEM\CurrentControlSet\Services\MRxClsHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\SYSTEM\CurrentControlSet\Services\MRxNet
3) 매개체를 통해 다른 PC나 라이브 바카라으로 악성코드를 전파합니다.- Lnk 취약점 (MS10-046)- 네트워크 공유폴더- 이동식디스크(USB)