Security Response

最近の W32.Stuxnet ブログシリーズで説明したとおり、Stuxnet は Windows システムに感染して、一般に SCADA システムとして誤って認知されている産業用制御システムの検索を行います。産業用制御システムは、プログラマブルロジックコントローラ（PLC）で構成されます。PLC は、Windows システムからプログラミング可能なミニコンピュータと考えることができます。これらの PLC には、工業プロセスの自動化を制御する特殊なコードが含まれています（たとえば、プラントや工場で機械類を制御します）。プログラマは、ソフトウェア（Windows PC のソフトウェアなど）を使用してコードを作成した後、そのコードを PLC にアップロードします。

以前、Stuxnet はコードを盗んでプロジェクトを設計し、従来の Windows ルートキットを使用して自分自身を隠すこともできるということを報告しましたが、残念ながら今はさらに多くの能力を身につけています。Stuxnet は、プログラミングソフトウェアを悪用して、自身のコードを、通常 SCADA システムによって監視されている産業用制御システム内の PLC にアップロードすることもできます。さらに、Stuxnet はそれらのコードブロックを隠すため、感染したマシンを使用しているプログラマが PLC 上のすべてのコードブロックを表示しようとしても、Stuxnet によりインジェクトされたコードは表示されません。したがって、Stuxnet は単に Windows で自分自身を隠すルートキットであるだけでなく、PLC 上に存在するインジェクトされたコードを隠すことができる、初めて公けに知られたルートキットでもあります。

具体的には、Stuxnet はプログラミングソフトウェアをフックします。つまり、そのソフトウェアを使用して PLC 上のコードブロックを表示しても、インジェクトされたブロックはどこにも見つかりません。これは、列挙、読み取り、書き込みの各機能をフックして、...