Video Screencast Help
Symantec to Separate Into Two Focused, Industry-Leading Technology Companies. Learn more.
Security Response

Step 7 のプロジェクトが Stuxnet に感染

Created: 27 Sep 2010 10:33:09 GMT • Translations available: English
Nicolas Falliere's picture
0 0 Votes
Login to vote

Stuxnet のさまざまな感染経路については、autorun.inf を使った手法ゼロデイ脆弱性など、これまでのブログ記事でも取り上げてきました。シマンテックの調査では、そのほかの感染方法も見つかっています。これは、Step 7(Siemens のエンジニアリングソフトウェア)のプロジェクトフォルダに影響する手法で、サードパーティ由来の可能性がある感染プロジェクトフォルダを開くと、ユーザーが気づかないうちに感染してしまいます。

Step 7 のプロジェクトフォルダは、次のような構造になっています。

ApiLog\...
CONN\...
Global\...
hOmSave7\...
XUTILS\...
XUTILS\listen\...
XUTILS\links\...
...
<プロジェクト名>.s7p
...

Stuxnet は、s7tgtopx.exe プロセス(SIMATIC Manager)の特定の DLL で使われる CreateFile のような API をフックして、Step 7 のプロジェクト(.S7P ファイル)を監視します。こうした手法の攻撃を受けたプロジェクトは、感染している可能性があります。解析では、さらに Zip アーカイブ内のプロジェクトも同じ方法で感染する場合があることが判明しています。

感染プロセスは、いくつかの別個のステップから成り立っています。

まず、Stuxnet は以下のファイルを作成します。

  • xutils\listen\xr000000.mdx: メインの Stuxnet DLL を暗号化したコピー
  • xutils\links\s7p00001.dbf: Stuxnet データファイルのコピー(長さ 90 バイト)
  • xutils\listen\s7000001.mdx: Stuxnet 設定データブロックをエンコードして更新したバージョン

次に Stuxnet は、hOmSave7 フォルダのサブフォルダをスキャンし、自身のリソース内に保持している DLL のコピーを各サブフォルダに紛れ込ませます。この DLL には特定の名前が付いています(ここでは「xyz.dll」と称しておきます)。

次に Stuxnet は、プロジェクトフォルダ構造に配置されている Step 7 データファイルを変更します。責任を持って情報を公開するために、ここではこの変更について詳しくは紹介しません。この最終ステップが終わると、感染プロセスが完了します。

感染したプロジェクトを SIMATIC Manager で開くと、変更されたデータファイルによって、上記 xyz.dll ファイルの検索がトリガされます。以下のフォルダが、この順序で検索されます。

  • Step 7 インストールフォルダの S7BIN フォルダ
  • %System% フォルダ
  • %Windir%\system フォルダ
  • %Windir% フォルダ
  • プロジェクトの hOmSave7 フォルダのサブフォルダ

上記フォルダのうち最初の 4 つで xyz.dll ファイルが見つからない場合には、悪質な DLL がロードされ、SIMATIC Manager によって実行されます。この DLL ファイルが、xutils\listen\xr000000.mdx にあるメイン DLL のコピーに対して解読とロードの機能を実行します。この手法は、8 月に発生した「DLL のプリロード攻撃」に非常に類似しています。

シマンテックは、SIMATIC Manager の 2 つのバージョンを利用して、この脅威がプロジェクトに感染する能力をテストしました。影響があるのはバージョン 5.3 と 5.4 SP4 で、Step 7 Lite v3 は該当しないようです。今のところ、最新バージョンの SIMATIC Manager(v5.4 SP5 と、今年 8 月にリリースされた v5.5)に影響があるかどうかは未確認です。

プロジェクトファイルに感染し、そのファイルを開いたときに実行させるというこの機能は、Stuxnet の新しい感染経路としてリストに追加されます。信頼できない入手先(インターネット上のフォーラムなど)からのプロジェクトファイルには注意するようオペレータやプログラマには勧告していますが、感染源として最も可能性が高いのは、この脅威によって危殆化したシステムを使っている信頼済みの企業や団体とも考えられます。感染したプロジェクトをバックアップから復元した場合でも、クリーニング済みのコンピュータに感染が再発することがあるので、管理者はこのようなファイルの復元に当たっては十分に注意してください。

Stuxnet について現在までに判明している情報は、9 月 29 日に開催される Virus Bulletin のカンファレンスで報告する予定です。