1. /
  2. 보안 연구소/
  3. W32.Stuxnet
  4. W32.Stuxnet
  • 추가

W32.Stuxnet

위험 수준2: 낮음

발견됨:
2010년 7월 13일
업데이트됨:
2013년 7월 11일 8:37:59 AM
다른 이름:
Troj/Stuxnet-A [Sophos], W32/Stuxnet-B [Sophos], W32.Temphid [Symantec], WORM_STUXNET.A [Trend], Win32/Stuxnet.B [Computer Associates], Trojan-Dropper:W32/Stuxnet [F-Secure], Stuxnet [McAfee], W32/Stuxnet.A [Norman], Rootkit.Win32.Stuxnet.b [Kaspersky], Rootkit.Win32.Stuxnet.a [Kaspersky]
유형:
Worm
감염 부분 크기:
다양함
영향을 받는 시스템:
Windows 2000, Windows 7, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Server 2008, Windows Vista, Windows XP
CVE 참조:
CVE-2010-2568
W32.Stuxnet은 2010년 7월에 처음 분류되었습니다. 처음 받은 정보에 따라 원래 W32.Temphid로 명명했으나 다른 공급업체와 명명 기준을 맞추기 위해 나중에 Stuxnet으로 이름을 변경했습니다. 따라서 2010년 7월 19일 또는 그 이전의 바이러스 정의는 이 위협 요소를 W32.Temphid로 탐지할 수 있습니다. 이 위협 요소는 산업용 제어 시스템을 대상으로 하여 발전소와 같은 산업용 시설을 제어합니다. 공격자의 정확한 동기는 명확하지 않지만 산업 스파이 목적이 가장 의심되는 가운데 여러 이유가 있는 것으로 추측됩니다http://www.symantec.com/connect/blogs/hackers-behind-stuxnet. 공격자의 신원 또한 알 수 없지만 신원에 관계없이 뛰어난 기술과 리소스를 갖추고 있는 것에는 의심의 여지가 없습니다. 이 위협 요소는 짧은 기간에 준비할 수 있는 것이 아닙니다. 놀랍게도 Stuxnet은 4가지 제로데이http://www.symantec.com/connect/blogs/stuxnet-using-three-additional-zero-day-vulnerabilities 취약점을 악용하며, 이는 전례가 없는 것입니다.


2011년 10월 - W32.Duqu, 새로운 시작?

시만텍은 Stuxnet과 동일한 코드 기반으로 생성된 새로운 위협 요소(W32.Duqu)를 보고 받았습니다. 코드 기반이 거의 동일하고 공격 방법도 유사하지만 이 새 위협 요소는 Stuxnet과 완전히 다른 목적을 가진 것으로 보입니다. Stuxnet은 산업 기계의 작동을 고의적으로 방해하는 것이 목적인 반면, Duqu는 특히 산업 시스템 및 기타 비밀과 관련된 정보를 훔치는 것이 목적으로 보입니다. 이러한 작업은 훔친 정보를 사용하여 Stuxnet과 유사한 성격의 향후 공격을 계획하고 준비하는 것을 목표로 수행되는 것일 수 있습니다.

시만텍은 이 위협 요소를 자세히 분석한 후 분석 내용이 담긴 보고서를 발표했습니다.
W32.Duqu: The precursor to the next Stuxnet(영문)


감염

Stuxnet은 Microsoft Windows Shortcut 'LNK/PIF' Files Automatic File Execution Vulnerability(BID 41732)를 악용하여 확산되는 최초의 멀웨어입니다. 이 웜은 이동식 드라이브에 자가 복제본과 자가 복제본에 대한 링크를 추가합니다. 이동식 드라이브가 시스템에 연결되고 Windows 탐색기와 같이 아이콘을 표시하는 응용 프로그램으로 탐색되면 링크 파일이 웜 복제본을 실행합니다. Windows의 설계 결함으로 인해 아이콘을 표시하는 응용 프로그램은 코드를 잘못 실행할 수 있으며, Stuxnet의 경우 .lnk 파일의 코드가 동일한 이동식 드라이브에 있는 웜 복제본을 가리킵니다.

또한 Stuxnet은 W32.Downadup(다른 이름: Conficker)이 성공적으로 이용하는 Microsoft Windows Server Service RPC Handling Remote Code Execution Vulnerability(BID 31874)와 Microsoft Windows Print Spooler Service Remote Code Execution Vulnerability(BID 43073)를 악용합니다.

또한 이 웜은 취약한 암호로 보호되는 네트워크 공유로 자가 복제하여 확산을 시도합니다.


기능
Stuxnet 웜의 주 목적은 산업용 시설을 제어하는 것입니다. 흥미롭게도 이 멀웨어 작성자는 산업용 시설을 제어하는 소프트웨어를 실행하는 시스템만 대상으로 합니다. 하지만 다른 다양한 웜들과 마찬가지로 위에 설명된 취약점을 이용하여 가리지 않고 확산됩니다.

Stuxnet 웜의 초기 기록을 보면 이란, 인도네시아 및 인도에 위치한 시스템이 주로 대상이 되었습니다.




이를 위해 이 웜은 잘 알려진 기업이 서명한 2개의 중요 합법 인증서를 사용하여 안타바이러스 응용 프로그램의 탐지를 피합니다. 시스템에 침투한 후 .lnk 취약점을 악용하여 실행되면 루트킷을 설치하여 시스템에서 자신을 숨깁니다.

Stuxnet은 일반적으로 SCADA 시스템으로 잘못 알려진 산업용 제어 시스템을 검색하며, 손상된 시스템에서 이러한 시스템이 발견되면 코드와 설계 프로젝트를 훔치려고 시도합니다. 또한 프로그래밍 소프트웨어 인터페이스를 활용하여 대개 SCADA 시스템이 모니터링하는 산업용 제어 시스템에서 "소형 시스템"인 프로그래밍 가능 로직 컨트롤러(PLC)에 자체 코드를 업로드합니다. 그런 다음 이 코드를 숨겨서 프로그래머가 손상된 시스템에서 PLC의 모든 코드를 보려고 할 때 Stuxnet이 삽입한 코드는 나타나지 않도록 합니다.

따라서 Stuxnet은 Windows에서 자신을 숨길 뿐만 아니라 PLC에 삽입된 코드를 숨길 수 있는 것으로 공개적으로 알려진 최초의 루트킷입니다.


Symantec Endpoint Protection - Application and Device Control
시만텍 보안 연구소에서는 이 위협 요소와 관련된 작업을 차단하기 위해 Symantec Endpoint Protection용 ADC(Application and Device Control) 정책을 개발했습니다. ADC 정책은 시스템을 감염시키는 위혐 요소의 위험과 의도하지 않은 데이터 제거를 줄이고 시스템에 실행되는 프로그램 제한하는 데 유용합니다.

이 특정 ADC 정책은 서로 다른 시스템 간에 확장되는 위협 요소의 기능을 늦추거나 제거하여 이 위협 요소의 확산을 차단하는 데 사용할 수 있습니다. 네트워크에서 이 위협 요소가 확산되는 경우 정책을 다운로드하십시오.

정책을 사용하려면 Symantec Endpoint Protection Manager로 .dat 파일을 가져옵니다. 이 파일을 클라이언트 시스템에 배포할 때는 처음에 Test (log only) 모드로 사용하여 일반 네트워크/시스템 사용에 대한 정책에 미치는 영향을 파악합니다. 일정 시간 동안 정책을 관찰하고 환경에서 실행할 때 발생 가능한 결과를 판단한 후 Production 모드로 정책을 배포하여 능동 보호 기능을 실행하십시오.

ADC와 조직 내 ADC 배포 및 관리 방법에 대한 자세한 내용은 Symantec Endpoint Protection 관리 설명서(PDF)를 참조하십시오.

참고: 확산 상황에서는 보안 연구소에서 개발한 ADC 정책을 사용하는 것이 좋습니다. 확산 상황에서는 유용한 반면 제한적인 성격을 가지고 있으므로 일반 업무 작업을 방해할 수 있습니다.


활동 지역
이 위협 요소의 활동 지역은 다음과 같습니다.






감염 수준
이 위협 요소의 전 세계 감염 수준은 다음과 같습니다.



시만텍 보호 요약
시만텍에서는 다음 컨텐츠를 제공하여 이 위협 요소 계열을 방지합니다.


안티바이러스 시그니처
W32.Stuxnet


안티바이러스(지능형/일반)
W32.Stuxnet!lnk 침입 방지 시스템



안티바이러스 보호 일자

  • Rapid Release 최초 버전2010년 7월 13일 리비전038
  • Rapid Release 최신 버전2013년 2월 19일 리비전016
  • Daily Certified 최초 버전2010년 7월 13일 리비전040
  • Daily Certified 최신 버전2013년 2월 1일 리비전020
  • Weekly Certified 최초 릴리스 날짜2010년 7월 14일
Rapid Release 및 Daily Certified 바이러스 정의에 대한 자세한 설명을 보려면 여기를 누르십시오.

위협도 측정

확산도

  • 확산 수준:Low
  • 감염 개수:0 - 49
  • 사이트 개수:0 - 2
  • 지역적 분포:Low
  • 위협 격리:Easy
  • 제거:Easy

손상

  • 손상 수준:Medium
  • 페이로드:해당 사항 없음
  • 대량 이메일 발송:해당 사항 없음
  • 파일 삭제:해당 사항 없음
  • 파일 수정:해당 사항 없음
  • 기밀 정보 유출:손상된 시스템에서 다양한 정보를 수집함
  • 성능 저하:해당 사항 없음
  • 시스템 불안정성 유발:해당 사항 없음

배포

  • 배포 수준:Medium
  • 이메일 제목:해당 사항 없음
  • 첨부 파일 이름:해당 사항 없음
  • 첨부 파일 크기:해당 사항 없음
  • 포트:해당 사항 없음
  • 공유 드라이브:이동식 드라이브를 통해 확산됨
  • 감염 대상:특정 취약점에 취약한 이동식/네트워크 드라이브 및 시스템
  • 첨부 파일 타임 스탬프:해당 사항 없음
작성자:Jarrad Shearer
ISTR V16