스턱스넷 바이러스의 배경은?

세계적으로 매일 새로운 바이러스가 생성되고 있으며, 그 중 대부분은 청소년의 장난이며, 일부는 범죄자가 개인정보를 훔치기 위해 사용하는 도구일 뿐입니다. 그중 하나인데, Stuxnet 바이러스에 대한 자세한 배경 소개를 드릴게요!

Stuxnet 바이러스에 대한 배경 소개:

첫째, 윈도우 제로데이 취약점 4개를 악용한다. 제로데이 취약점은 방금 발견되었거나, 아직 공개되지 않았거나, 패치가 적용되지 않은 소프트웨어의 취약점을 말합니다. 제로데이 취약점은 컴퓨터 침입의 성공률을 크게 높일 수 있으며 암시장에서는 일반적으로 수십만 달러에 판매될 수 있습니다. 범죄 집단의 전문 해커라도 하나의 바이러스에서 4개의 제로데이 취약점을 동시에 사용할 수는 없습니다. 이것만 보아도 바이러스 개발자가 일반 해커가 아닌, 강력한 경제력을 갖고 있음을 알 수 있다. 게다가 개발자들은 공격 대상을 이기겠다는 각오로 여러 개의 제로데이 취약점을 동시에 활용해 단번에 성공을 보장합니다.

둘째, 슈퍼 USB 통신 기능을 갖췄다. 기존 바이러스는 주로 인터넷을 통해 확산되지만 Stuxnet 바이러스는 USB 인터페이스를 통해 확산되는 능력이 크게 향상되어 연결된 모든 USB 플래시 드라이브를 자동으로 감염시킵니다. 바이러스 개발자의 눈에는 바이러스 전파 환경이 실제 인터넷이 아니라 네트워크 연결이 제한된 곳이어서 전송 채널 확장을 위해 USB 포트가 필요한 것으로 보인다.

가장 이상한 점은 당시 바이러스 중에서 유일했던 지멘스 산업 제어 소프트웨어 취약점을 겨냥한 공격이 실제로 바이러스에 2건 포함되어 있다는 점이다. 인터넷의 관점에서 볼 때 산업 제어는 공룡과 같은 기술입니다. 고대의 통신 방식, 고립된 네트워크 연결, 거대한 시스템 규모, 느린 기술 변화 모두가 산업 제어 시스템을 인터넷과 완전히 다르게 보이게 합니다. 인터넷에 만연한 바이러스가 산업 시스템에도 적용될 수 있다고는 누구도 생각하지 못했습니다.

5 심층 분석 편집자

1장 사건 배경

2010년 10월, 스턱스넷 웜이 지멘스 데이터를 활용했다는 국내외 언론이 다수 보도됐다. 수집 및 모니터링 시스템 SIMATIC WinCC에 대한 공격은 '슈퍼 바이러스', '슈퍼 팩토리 바이러스'로 불리며 '슈퍼 무기', '판도라의 상자'로 묘사되었습니다.

일반적으로 "Stuxnet" 및 "Gemini" 공격으로 알려진 Stuxnet 웜 공격은 2003년 7월부터 발생하기 시작했습니다. 이는 3개의 새로운 제로데이 취약점을 포함하여 최소 4개의 Microsoft 운영 체제 취약점을 악용하고, 전체 침입 및 전파 프로세스를 통해 산업용 개인 영역 네트워크의 물리적 한계를 돌파합니다. 시스템의 WinCC 두 가지 취약점으로 인해 시스템에 대한 파괴적인 공격이 가능해졌습니다. 실제 산업 인프라를 직접적으로 손상시키는 최초의 악성 코드입니다. Symantec의 통계에 따르면 2010년 9월 현재 전 세계적으로 약 45,000개의 네트워크가 이 웜에 감염되었으며 피해자 호스트의 60%가 이란에 있었습니다. 이란 정부는 이란의 부셰르(Busher) 원자력 발전소가 스턱스넷(Stuxnet) 웜에 의해 공격을 받았다고 확인했습니다.

앤티랩스는 지난 7월 15일 스턱스넷(Stuxnet) 웜의 첫 번째 변종을 포착해 즉시 분석을 실시하고 분석 보고서와 예방조치를 공개하며 지속적인 추적을 진행했다. 이 보고서가 발표된 시점에서 Antiy는 총 13개의 변종과 다양한 해시 값을 가진 600개 이상의 샘플 엔터티를 캡처했습니다.

2장 일반적인 행동 분석 샘플

2.1 실행 환경

Stuxnet 웜은 다음 운영 체제에서 실행될 수 있습니다:

Windows 2000, Windows Server 2000

Windows XP, Windows Server 2003

Windows Vista

Windows 7, Windows Server 2008

발견 당시 Windows NT 시리즈가 아닌 운영 체제에서 실행하면 즉시 종료됩니다.

공격받는 소프트웨어 시스템은 다음과 같습니다:

SIMATIC WinCC 7.0

SIMATIC WinCC 6.2

그러나 다른 버전도 배제되지 않습니다. 이 문제가 발생할 수 있습니다.

2.2 로컬 동작

샘플이 활성화된 후 일반적인 실행 프로세스가 그림 1에 표시됩니다.

샘플은 먼저 현재 운영 체제 유형을 확인합니다. Windows 9X/ME인 경우 바로 종료됩니다.

다음으로 기본 DLL 모듈을 로드하면 모든 후속 작업이 이 DLL에서 수행됩니다. 탐지를 피하기 위해 샘플은 DLL 모듈을 디스크 파일로 해제한 후 로드하지 않고, 대신 이를 메모리에 직접 복사한 다음 DLL의 로딩 프로세스를 시뮬레이션합니다.

구체적으로 샘플은 먼저 충분한 메모리 공간에 적용한 다음 Hookntdll.dll에서 6개의 시스템 기능을 내보냅니다.

ZwMapViewOfSection

ZwCreateSection

ZwOpenFile

ZwClose

ZwQueryAttributesFile

ZwQuerySection

이를 위해 샘플은 먼저 ntdll.dll 파일 메모리를 수정합니다. 보호 이미지에 있는 PE 헤더의 속성을 복사한 다음 오프셋 0x40에 있는 쓸모 없는 데이터를 점프 코드에 다시 작성하여 후크를 구현합니다.

또한 샘플은 ZwCreateSection을 사용하여 메모리 공간에 새 PE 섹션을 생성하고 여기에 로드할 DLL 모듈을 복사한 다음 마지막으로 LoadLibraryW를 사용하여 모듈 제어 코드를 얻을 수 있습니다.

그 후 샘플은 실행을 위해 로드된 DLL로 점프하고 다음 파일이 파생됩니다.

%System32%\drivers\mrxcls.sys %System32%\drivers\mrxnet .sys %Windir%\inf\oem7A.PNF%Windir%\inf\mdmeric3.PNF %Windir%\inf\mdmcpq3.PNF%Windir%\inf\oem6C.PNF 두 개의 드라이버 mrxcls.sys와 mrxnet.sys가 있습니다. 부팅 시 자동 시작을 실현하기 위해 각각 MRXCLS 및 MRXNET이라는 시스템 서비스로 등록됩니다. 두 드라이버 모두 루트킷 기술을 사용하며 디지털 서명되어 있습니다.

mrxcls.sys는 호스트에 설치된 WinCC 시스템을 쿼리하고 공격을 수행하는 역할을 담당합니다. 구체적으로는 시스템 프로그램의 이미지 로딩 동작을 감시하고 %Windir%\inf\oem7A.PNF에 저장된 모듈을 services.exe, S7tgtopx.exe, CCProjectMgr.exe 세 가지 프로그램에 주입합니다. 후자 두 개는 실행되는 프로그램입니다. WinCC 시스템에 의해.

mrxnet.sys는 일부 핵심 호출을 수정하여 USB 플래시 드라이브에 복사된 lnk 파일과 DLL 파일을 숨깁니다. "사람들도: