본문 바로가기

공지사항

이스트시큐리티 소식을 알려드립니다.

SCADA 시스템 공격을 시도하는 Stuxnet 악성코드

보안공지 2010-10-05

안녕하십니까 이스트소프트 알약 보안대응팀입니다.
최근 SCADA 시스템을 목표로 공격을 시도하는 악성코드인 Stuxnet이 이슈화되고 있습니다. 저희 알약에서는 이미 9월말에 언론에서 이슈화가 되기 이전에 이미 7월에 엔진 업데이트를 마쳤으며 현재 정상적인 치료와 예방이 가능한 상황입니다.


1. 최초 알약 등록일 : 2010년 7월 15일


진단명 : Rootkit.Stuxnet.A, Trojan.Stuxnet.A




2차 업데이트 : 2010년 7월 27일


진단명 : V.DRP.Stuxnet.A





 

2. Stuxnet이 악용하는 취약점 및 악성코드 감염 경로


Stuxnet 악성코드를 PC와 SCADA 시스템에 감염시키기 위해 사용하는 취약점과 주된 감염 경로는 아래와 같습니다.


* 윈도우 취약점
- 서버 서비스의 취약점으로 인한 원격코드 실행문제점 (MS08-067)
- 윈도우 쉘(Shell) 취약점으로 인한 원격코드 실행 문제점 (LNK 취약점) (MS10-046)
- 인쇄 스풀러 서비스의 취약점으로 인한 원격 코드 실행 문제점 (MS10-061)


* Siemens Simatic WinCC and PCS 7 SCADA 시스템 취약점
- 지멘스 원격통합감시 제어시스템(SCADA시스템)의 하드코드 패스워드로 인한 보안 취약점 (CVE-2010-2722)


 

3. Stuxnet 악성코드의 주된 감염경로


1) USB 자동실행(오토런) 기능을 통한 감염이 가능합니다.
2) 네트워크 공유 폴더 및 공유 프린터를 통한 감염이 가능합니다.
3) 윈도우 LNK 취약점을 이용한 감염이 가능합니다.


 

4. Stuxnet 악성코드 동작 로직


1) 로컬시스템 내에 다음과 같은 파일을 생성합니다.
- C:\WINDOWS\system32\drivers\mrxcls.sys(모듈 인젝션을 위한 인젝터)
- C:\WINDOWS\system32\drivers\mrxnet.sys(USB 전파를 위한 파일필터 드라이버)
- 네트워크 공유폴더(Copy of Shortcut to.lnk, ~WTR(랜덤 4자리).tmp)
- PNF파일 (C&C서버, 활동시간, 해제시간, 버전, Lnk 파일 정보 등)
 ; C:\WINDOWS\mdmcpq3.PNF
 ; C:\WINDOWS\mdmeric3.PNF
 ; C:\WINDOWS\oem6C.PNF
 ; C:\WINDOWS\oem7A.PNF


2) 레지스트리를 생성합니다.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\SYSTEM\CurrentControlSet\Services\MRxCls
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\SYSTEM\CurrentControlSet\Services\MRxNet


3) 매개체를 통해 다른 PC나 시스템으로 악성코드를 전파합니다.
- Lnk 취약점 (MS10-046)
- 네트워크 공유폴더
- 이동식디스크(USB)