이메일을 적으시면 보안관련 소식을 받을수 있습니다.
이메일:

안녕하세요, CrefunX 입니다.^^

다들 잘 지내고 계시나요?
저는 완연한 가을에 바쁘게 생활하고 있습니다. 

요즘 많이 화자가 되고 있는 스턱스넷(Stuxnet)과 향후 위험요소를 한번 생각해 보자는 취지로 해당 이야기를
해보고자 아래와 같이 정리해 보았습니다. 
 

1. 스턱스넷(Stuxnet) 이란?
"수퍼 산업시설 바이러스 웜"을 뜻하며 바이러스 코드 안에 "Stuxnet"으로 시작하는 이름의 파일이 많아 이렇게 불리게 되었다고 합니다. 해당 웜은 독일 지멘스사의 산업자동화제어시스템을 공격 목표로 제작된 악성코드로 원자력, 전기, 철강, 반도체, 화학 등 주요 산업 기반 시설의 제어 시스템에 침투해 오작동을 일으키는 악성코드를 입력해 시스템을 마비시킬 수 있습니다.



2. 스턱스넷(Stuxnet) 동작원리
USB 스틱을 통해 전파되는 Windows worm 이며 이는 한 조직 내에 전파가 되면 취약한 패스워드를 가진 공유 네트워크로 자신을 복사하여 전파가 됩니다. 이 웜은 시스템을 감염시키고 루트킷으로 자신을 숨기며 감염된 시스템은 Siemens Simatic(Step7) 공장 시스템에 연결되어 있는지 확인을 합니다.  해당 PC가 Step7과 연결이 되어 있다면 정상 s7otbxdx.dll 파일의 이름을 변경해 백업하고 정상 s7otbxdx.dll 파일과 동일한 이름으로 자신의 파일을 만듭니다. 이후 산업자동화제어시스템을 통합 관리하는 도구(소프트웨어)인 Step7을 실행하면 원래의 정상 파일이 아닌 악성파일인 스턱스넷이 곧바로 실행됩니다. Step7의 기능은 s7otbxdx.dll 파일을 통해서 제어 PC와 산업자동화제어시스템 간에 블록 파일을 교환하는 것입니다.
이 파일을 스턱스넷의 동적링크라이브러리(DLL) 파일로 바꾸면 산업자동화제어시스템을 모니터링하거나 제어(수정 또는 악성 블록 생성)할 수 있습니다. 이후 공격자는 모터, 컨베이어 벨트, 펌프 등의 장비를 제어하거나 심지어 폭발시킬 수도 있다고 합니다.

- Stuxnet 유형 분석 (ESET 백신사 분석내용)
Characteristics  Stuxnet 
Target Sites using SCADA systems
but promiscuous dissemination
Multiple distribution vectors yes
Payload all in one malware
Code packing yes
Code obfuscation yes
Anti-AV functionality yes
Masking under legal programs yes
Architecture of malicious program modular
Establishing a backdoor no
Distributed C&C no
Communications protocol http
Custom encryption of communications protocol yes
Modules with a legal digital signature yes
Update mechanism yes
downloads updates via WinAPI functions
and runs them in memory,
without creating any files Uninstall mechanism
Uninstall mechanism yes
Infection counter yes
Availability of any modifications malicious program yes
 
스턱스넷이 이용하는 취약점은 아래의 총 5개로 이 취약점 중 3개(USB, 공유 프린터, 공유 폴더를 통해 감염)는 이미 MS에서 보안 패치를 제공하지만 2개는 아직 발표하지 않은 상황입니다.
a. LNK (MS10-046)
b. Print Spooler (MS10-061)
c. Server Service (MS08-067)
d. Priviledge escalation via Keyboard layout file
e. Priviledge escalation via Task Scheduler

                                                               - SIEMENS WinCC -


4. SCADA 장비가 운용되는 곳들의 일반적인 특징은 어떻게 되는가?
- 폐쇄망
일반적인 네트워크 라인과 분리가 되어 있으나 내부에서의 통신을 위한 제한적인 라인들은 장비들끼리 연결 되어 있을 것입니다. 또 통제시스템도 마찬가지로 연결 되어 있을 것입니다. 폐쇄 망이라는 의미는 인터넷 연결이 되어 있지 않다는 의미 일뿐이며 독자적인 설비 상태로 존재하는 것입니다.

- 중단없는 운영
기반시설에 운영되는 장비는 대부분 24시간 365일 운영을 원칙으로 할 수 밖에 없으며 발전시설과 전력, 교통등 다양한 기반 분야에 활용되는 장비들의 특성은 항상 작동 되고 있어야 한다는 의미입니다.

- 독자적인 프로토콜 사용 및 목적에 맞게 변형된 장비나 운영체제의 사용
SCADA 장비에는 복잡하지는 않으나 독자적인 프로토콜이 사용됩니다. 다만 이 프로토콜의 사용법과 활용도에서는 인터넷에 일정수준 공개되어 있으며 장비를 직접 제어하는 PLC 명령코드는 그리 어렵지 않습니다. 목적에 맞도록 운영체제도 일정수준의 기능을 제거하거나 용도에 맞도록 변형된 임베디드 운영체제가 사용되고 장비도 독자적인 변형을 가진 장비 형태가 사용됩니다.


5. 스턱스넷 대응
스턱스넷 대응부분에는 폐쇄망의 특성과 임베디드 운영체제, 기존의 PC와는 상이한 프로토콜 및 운영원칙은 기본적인 보호 대책을 다른 관점에서 살펴 보아야 합니다.

첫번째로 시스템 자체의 변화를 감지 할 수 있는 수동적인 탐지 도구가 필요하며 각 중요 시스템마다 상황을 일목요연하게 파악 할 수 있는 체계도 필요합니다. 이는 기존의 PC기반의 악성코드 탐지와 같은 패턴매칭으로 대응 하는 것은 어려움이 있으며 폐쇄망 네트워크내에서 어느 지점이나 문제를 통해 문제가 확산되는지 여부를 확인 하는 것도 어려움이 있습니다.

두번째로 기반시설 시스템의 보호를 위해서는 통신을 위한 가장 제한적인 프로토콜과 연결만이 허용 되어야 하고 그 기반 하에서 시스템의 변화를 감지 할 수 있는 수동적인 탐지 도구 및 전체적인 현황을 볼 수 있는 시스템과 체계가 필수적으로 요구됩니다.

세번째로 체계적이고 통합적으로 대응할 수 있는 국가적인 시스템이 필요할 것입니다. 현재 정부나 민관군에서 사이버 위험을 대비하기 위해서 다양한 정책과 대응체계를 구축하고 있는 것으로 알고 있습니다. 이 부분이 각 각의 정책이 아닌 통합적이고 서로 연동하여 위험을 함께 대응할 수 있어야 할 것입니다.    


6. 향후 위험요소 예측

위에 스턱스넷에 대한 전반적인 사항을 알아 보았습니다.
스턱스넷의 출현은 특정 기반시설을 타켓으로 한 정교하게 만들어진 악의적인 프로그램으로 향후 이와 비슷한 위험요소들이 등장할 것으로 보입니다. 요즘 여러 전자 제품들이 인터넷과 연결되어 편리하고 다양한 정보를 제공을 제공하고 있으며 이 또한 해커들의 좋은 먹이감이 될 것으로 판단됩니다.
예를 들어 현재 스마트TV가 출시가 되거나 향후에 출시가 많이 될 것으로 생각이 듭니다. 이 스마트 TV에서 인터넷의 연결을 통해 해커가 불법적인 사용자 정보를 수집하거나 TV 프로그램을 해커가 만든 다른 TV 프로그램으로 변경하여
고객사나 해당 방송사쪽에 피해를 주는 사례도 상상할 수 있을 것입니다.

이에 철저한 사전 예방에 대한 정책적인 부분과 문제가 발생했을시에 빠른 대응을 할수 있는 시스템에 대한 관리적인 부분 및 보다 견고하고 안전한 프로그램에 대한 기술적인 부분이 필요할 것으로 생각이 됩니다.


# 참고자료
1. 사이버 무기 `스턱스넷' 작동 원리! - 보안닷컴
   
http://www.boan.com/news/articleView.html?idxno=3168

2. 스턱스넷 대응과 앞으로의 과제 - 보안닷컴
    http://www.boan.com/news/articleView.html?idxno=3273

3. [알아봅시다] 스턱스넷 - 디지털타임즈
    http://www.dt.co.kr/contents.html?article_no=2010100702011860739002

4. Stuxnet Under the Microscope - Revision 1.11 (ESET)
    http://www.eset.com/resources/white-papers/Stuxnet_Under_the_Microscope.pdf
5. Stuxnet Questions and Answers - Posted by Mikko (F-Secure)
    http://www.f-secure.com/weblog/archives/00002040.html

6. SIMATIC WinCC 브로셔 (SIEMENS)
    http://www.automation.siemens.com/salesmaterial-as/brochure/en/brochure_simatic-wincc_en.pdf




****************************************************************************************************

본 포스팅의 저작권은 보안인닷컴과 작성자에 있으며 상업적 이용을 배제하며 콘텐츠 이용시에는 반드시 출처와 링크를 이용해 주시기 바랍니다. 무단도용은 저작권법에 저촉을 받습니다..

****************************************************************************************************

Posted by 알 수 없는 사용자
,