스턱스넷 상세 분석 보고서

Size: px

Start display at page:

Download "스턱스넷 상세 분석 보고서"

우은석 옥
4 years ago
Views:

1 IBM Security 스턱스넷 (Stuxnet) 상세분석보고서 문서등급 : 일반 Printed Date: 6 December 2010 문서저자 : 박형근차장 (IBM Security Technical Leader) IBM Security, IBM Korea Issue: 1.0 This issue 1.0 of the document supersedes and replaces any previous issue. A marker indicates the end of this document. Any copies found to be incomplete should not be used. Copyright IBM Security Korea Limited All rights reserved.

2 목차 1. 개요 목적 작성자 문서의한계 스턱스넷 (Stuxnet) 이란? 스턱스넷 (Stuxnet) 개요 스턱스넷 (Stuxnet) 의감염현황과공격대상 스턱스넷 (Stuxnet) 의감염현황 스턱스넷 (Stuxnet) 의공격대상 스턱스넷 (Stuxnet) 의전파 스턱스넷 (Stuxnet) 의전파방법 이동저장매체 USB 를통한전파 네트워크를통한전파 네트워크공유를통한전파 프린트스풀러취약점을이용한전파 NetPathCanonicalize 취약점을이용한전파 WinCC SQL 기본패스워드를이용한전파 Step7 프로젝트파일감염을통한전파 스턱스넷 (Stuxnet) 의설치와주요기능 관리자권한획득 디바이스드라이버설치 명령 & 제어기능 PLC 감염 스턱스넷 (Stuxnet) 의교훈과대응 스턱스넷 (Stuxnet) 은왜탐지에오랜시간이걸렸는가? 스턱스넷 (Stuxnet) 의교훈 보다향상된악성코드공격에대한방어 참고문헌... 17

3 1. 개요 1.1 목적 본문서는국가및산업기반시설에대한위험관리와관련있는모든분들을대상으로최근이슈가되고있는스턱스넷 (Stuxnet) 에대한상세분석보고서입니다. 본문서의목적은전세계적으로대두되고있는새로운위협을이해함으로써범국가적으로사이버전에대비하며, 국가의기간및산업인프라의핵심인중요정보기반시설에대한보안대책수립에도움을주고자함입니다. 1.2 작성자 박형근차장 (IBM Security Technical Leader, CISSP, CISA, CGEIT) 본문서에대한문의는아래연락처를이용하시기바랍니다. 트위터 : 페이스북 : 문서의한계 본문서에는 IBM X-Force 연구소의스턱스넷 (Stuxnet) 분석보고서를기반으로정보보안전문가에게스턱스넷 (Stuxnet) 에대한기술적이해를돕고자작성되었습니다. 타보고서의내용을인용하였을경우에는별도각주를첨부하여출처를밝혔습니다. 또한가급적스턱스넷 (Stuxnet) 에서악용된취약점에대한상세기술적설명보다는스턱스넷 (Stuxnet) 자체분석에초점을맞췄습니다. 따라서, 취약점에대한상세내용에대해서는관련된다른보고서를참고하시기바라며, 악성코드분석차원에서보다상세한분석내용은 IBM X-Force 연구소의스턱스넷 (Stuxnet) 상세분석보고서 ( 영문 ) 혹은시만텍 (Symantec) 사의 W32.Stuxnet Dossier version 1.3(November 2010) 영문자료 1 를참고하시기바랍니다. 1 dossier.pdf 3

4 2. 스턱스넷 (Stuxnet) 이란? 2.1 스턱스넷 (Stuxnet) 개요 스턱스넷 (Stuxnet) 은국가및산업의중요기반시설의공정을감시하고제어하는 SCADA (Supervisory Control And Data Acquisition) 시스템을대상으로한, 극도로정교하고군사적수준의첫사이버무기로지칭되는웜 (Worm) 2 입니다. 스턱스넷 (Stuxnet) 은 VirusBlokAda 3 라고하는안티바이러스회사에의해 2010 년 6 월에최초발견되었습니다. 이웜 (Worm) 은네트워크와이동저장매체인 USB(Universal Serial Bus) 를통해전파되었고, 이웜 (Worm) 의상세분석과공격목표는 2010 년 7 월, 전세계적인관심과함께 IBM X-Force 연구소를포함한많은기관의분석을통해밝혀졌습니다. 스턱스넷 (Stuxnet) 의공격목표는산업공정제어장치인 SCADA 시스템이며, 공정설비와연결된프로그램이가능한논리제어장치 (PLC Programmable Logic Controller) 상의코드에대한악의적인변경을통해제어권을획득하는것입니다. 현재스턱스넷 (Stuxnet) 의대부분의코드는공개되었으며그작동원리와기능모두가공개된상태입니다. 스턱스넷 (Stuxnet) 은열개의실행가능한컴포넌트들로구성되어있습니다. 이컴포넌트들은스턱스넷 (Stuxnet) 의핵심모듈을포함하여커널모드모듈, USB 전파 DLL(Dynamic Link Library), 지멘스사의 SIMATIC Step7 의구성바이너리를공격하기위한대체 DLL, 동일시스템의 WinCC 공격을위한컴포넌트들이며, 각컴포넌트들은미리만들어진구성과함께스스로를새롭게복제할수있는기능을갖고있습니다. 또한이컴포넌트들은네트워크기반의취약점을공격하는코드들을사용하였습니다. 압축해제된핵심모듈의크기는 1MB(1,233,920 Bytes) 가넘는크기입니다. 웜 (Worm) 전파를위해여덟가지다른방식을사용하였으며, 사용된취약점은윈도우쉘 LNK 취약점, 윈도우서버서비스 NetPathCanonicalize() 취약점, 윈도우프린트스풀러서비스취약점, 공유네트워크서비스, 지멘스 SIMATIC WinCC 디폴트패스워드취약점과지멘스 SIMATIC Step7 인젝션을위한세개의공격방식등이이용되었습니다. 특히발견당시에는아직패치되지않은네개의취약점에대한공격코드를포함하고있었으며, 각컴포넌트들은유출된전자인증서에의해서명되었습니다. 스턱스넷 (Stuxnet) 은전염된노드간의조정과통신을위해글로벌뮤텍스 (Mutex) 프로세스와 RPC(Remote Procedure Call) 서버등여러프로세스를공격하며, 전염된각노드들은피어투피어 (Peer-to-Peer) 네트워크를구성하여동작합니다. 스턱스넷 (Stuxnet) 은이동저장매체인 USB 를공격에활용함으로써지멘스 SIMATIC 시스템에대한공극 (Air Gap) 4 을극복하였습니다. 여기서공극 (Air Gap) 이란보안상의이유로인터넷에연결된네트워크상에중요핵심시스템을두지않음을지칭하는용어입니다. 모든보안전문가들은중요시스템과인프라에대해공극전략을사용하도록권장합니다. 그러나, 스턱스넷 (Stuxnet) 의제작자는이러한사실을매우잘알고있었기때문에, 이악성코드내에네트워크의접속없이도시스템간의전파에이용될수있는취약점을포함하였습니다. 결론적으로스턱스넷 (Stuxnet) 은지멘스사의 PCS7 시스템상의프로그램이가능한논리제어장치 (PLC) 의코드를변경함으로써, 관련 SCADA 시스템을이용하고있는국가및산업의중요기반시설에대한공격과파괴를목적으로한매우정교한사이버무기입니다. 2.2 스턱스넷 (Stuxnet) 의감염현황과공격대상 스턱스넷 (Stuxnet) 의감염현황 지난 2010 년 11 월 29 일마무드아마디네자드이란대통령에의해스턱스넷 (Stuxnet) 에의한이란의우라늄농축프로그램의원심분리기를감염시켰음을공식확인하였으며, 지난 9 월에는이란내 3 만여윈도우시스템이스턱스넷 (Stuxnet) 에감염되었다고발표하였습니다. 또한지난 8 월기준마이크로소프트 2 웜 (Worm): 3 VirusBlokAda: 4 Air Gap: 4

5 사의악성코드제거툴인 MSRT(Malicious Software Removal Tool) 에의해 46,351 대의 PC 가감염되었음을탐지하였고또한치료하였다고발표했습니다. 5 시만텍사에서는 2010 년 9 월 29 일기준십만대의시스템이감염되었다고발표했습니다. 특히시만텍사의발표에따르면감염된시스템중 8.1% 가국내호스트의감염비율이라고밝혀많은논란을불러일으켰습니다. 지멘스사에따르면 2010 년 11 월 22 일기준전세계 22 명의고객이감염사실을보고했다고밝혔습니다. 6 그러나, 현재까지모든감염사례를통틀어국가및산업공정프로세스에영향을주었던사례나스턱스넷 (Stuxnet) 이공정통제소프트웨어에어떤영향을주고자시도한사례역시발견되지않았습니다 스턱스넷 (Stuxnet) 의공격대상 스턱스넷 (Stuxnet) 의공격대상은스카다 (SCADA) 시스템이며, 국가및산업의중요공정프로세스를파괴하기위해설계되었다는것에는대부분동의하나, 스턱스넷 (Stuxnet) 제작자가실제공격하고자했던물리적인공격목표는아직식별되지않았습니다. 또한, 이웜 (Worm) 에서정의한대상시스템과맞지않는경우에는공격자체가일어나지않았습니다. 스턱스넷 (Stuxnet) 이공격목표로한 SCADA 시스템은지멘스사의 SIMATIC PCS7 이라고하는프로세스통제시스템입니다. 지멘스사의 SIMATIC PCS7 은많은다양한컴포넌트로구성된분산통제시스템입니다. 이많은컴포넌트중스턱스넷 (Stuxnet) 이공격목표로삼은것은 WinCC 7 와 Step7 8 이었습니다. SIMATIC WinCC 는시스템운영자에대한통제및모니터링시스템으로프로그램이가능한논리제어장치 (PLC) 와통신하는소프트웨어입니다. 이시스템에대해스턱스넷 (Stuxnet) 은하드코딩된기본 SQL 서버의패스워드를이용하여공격을하였습니다. SIMATIC Step7 엔지니어링시스템은일종의개발환경으로이시스템을공격하기위해스턱스넷 (Stuxnet) 은 PLC 코드블록을변조하고변조된코드블록을숨기며 Step7 이호출될때마다감춰진변조된코드블록이실행되도록하였습니다. 특히이러한공격들은 SIMATIC 프로그램이가능한논리제어장치 (PCS) 의특정 CPU 에대해만공격이이뤄졌는데그것은 6ES 와 6ES7-417 시리즈였습니다

6 3. 스턱스넷 (Stuxnet) 의전파 3.1 스턱스넷 (Stuxnet) 의전파방법 스턱스넷 (Stuxnet) 의전파방법은크게세가지방식으로나뉩니다. 첫번째는이동저장매체인 USB 플래쉬드라이브를통해서전파하는것으로 USB 연결시자동으로특정기능을실행하도록정의하는 autorun.inf 파일을이용하거나, 발견되었을당시아직패치되지않았던윈도우쉘 LNK 취약점을이용하였습니다. 두번째는네트워크를통한전파입니다. 네트워크기본공유폴더나스턱스넷 (Stuxnet) 발견당시에는아직패치되지않았던윈도우프린트스풀러서비스취약점을이용하거나, 2008 년도에컨피커 (Conficker) 웜이나다운나드업 (Downadup) 웜에서이용되었고, 이미패치가발표된윈도우서버서비스 NetPathCanonicalize() 취약점을이용하거나, 지멘스 SIMATIC WinCC 의 SQL 데이터베이스서버내의기본패스워드를이용하여네트워크를통해전파되었습니다. 마지막세번째는 Step7 프로젝트파일을이용한것으로이방법을통해 USB, 전자메일등을통해전파가가능하였습니다. 스턱스넷 (Stuxnet) 에의해이용되었던취약점들을정리해보면아래와같습니다. CVE (MS08-067) 윈도우서버서비스 NetPathCanonicalize() 취약점 : CVE (MS10-046) 윈도우쉘 LNK 취약점 : CVE (MS10-061) 윈도우프린트스풀러서비스취약점 : CVE (MS10-073) 윈도우 Win32K 키보드레이아웃취약점 : CVE 지멘스 SIMATIC WinCC 기본패스워드취약점 현재까지아직패치되지않은윈도우작업스케줄러취약점 3.2 이동저장매체 USB 를통한전파 스턱스넷 (Stuxnet) 의이동저장매체를통한전파는 autorun.inf 파일을이용하기도하지만, 자동실행기능이비활성화되어있는 PC 환경에서도감염및전파를수행하기위해 LNK 파일에대한윈도우쉘아이콘처리자내에존재하는취약점 (MS10-046, CVE ) 을이용했습니다. 이취약점으로인해윈도우익스플로러는이동저장매체상에있는 DLL 파일을실행하게됩니다. 즉, 스턱스넷 (Stuxnet) 에감염된 USB 를아직감염되지않은 PC 에연결하게되면 USB 내의파일과디렉토리를검색하기위해브라우저창이열리고, 그때해당 PC 는감염되게됩니다. 이취약점은파일열기대화상자와같이아이콘이 LNK 파일에대해적재되는어떤순간에도발생될수있습니다. 아래그림은스턱스넷 (Stuxnet) 에감염된이동저장매체 USB 내의디렉토리목록입니다. 이 LNK 파일의내용을살펴보면아래와같습니다. 6

위디렉토리목록은 USB 내에스턱스넷 (Stuxnet) 에감염되었을때어떤파일들이존재하게되는지를보여줍니다. 동적연결라이브러리 (DLL - dynamic link library) 로써로딩되는파일이있는데, USB 상에서모든 LNK 파일은 ~WTR4141.tmp 파일을가리키고있으며이파일이동적연결라이브러리 (DLL) 형태로로딩되게됩니다.

하나의시스템상에서 USB 장치는예를들면최초연결시 F 드라이브였다가다음연결시에는 G 드라이브로재할당될수있습니다. 그렇기때문에이러한형태로경로를사용하는것은정확한장치상의정확한파일을참조하도록확실하게보장해줄수있습니다. ~WTR4141.tmp 파일은앞서설명드린바와같이 LNK 취약점을사용하여탐색기프로세스 (explorer.

7 위디렉토리목록은 USB 내에스턱스넷 (Stuxnet) 에감염되었을때어떤파일들이존재하게되는지를보여줍니다. 동적연결라이브러리 (DLL - dynamic link library) 로써로딩되는파일이있는데, USB 상에서모든 LNK 파일은 ~WTR4141.tmp 파일을가리키고있으며이파일이동적연결라이브러리 (DLL) 형태로로딩되게됩니다. 상기디렉토리목록을보면 4 개의약간씩다른형태의 LNK 파일을볼수있습니다. 이것은윈도우 XP, 윈도우 2003, 비스타와윈도우 7 등대상운영체제마다각기다른형태가필요하기때문입니다. 그링크자체는장치이름을사용한특별한경로를이용합니다. 그이유는이웜 (Worm) 도 USB 장치가어디에위치할지알수없기때문입니다. 하나의시스템상에서 USB 장치는예를들면최초연결시 F 드라이브였다가다음연결시에는 G 드라이브로재할당될수있습니다. 그렇기때문에이러한형태로경로를사용하는것은정확한장치상의정확한파일을참조하도록확실하게보장해줄수있습니다. ~WTR4141.tmp 파일은앞서설명드린바와같이 LNK 취약점을사용하여탐색기프로세스 (explorer.exe) 에의해로드되는동적연결라이브러리 (DLL) 파일입니다. 리얼텍 (Realtek) 반도체회사의인증서를갖고서명되어있긴하지만, 해당서명은유효하지않습니다. 이모듈은 LoadLibrary() 시스템콜에의해직접로딩하기때문에서명을한것으로보입니다. 다른모듈들은안티바이러스소프트웨어와어플리케이션화이트리스트방식의제어소프트웨어를우회하도록설계된프로세스인젝션기술을사용하여적재합니다. 이 ~WTR4141.tmp 모듈이적재되면악의적인파일들을숨기기위해서디렉토리내에파일들을검색하는데사용되는함수에대한시스템콜을후킹한후탐색기창에서 새로고침 을실행합니다. 그런다음 ~WTR4141.tmp 파일내의감염카운터를감소시키는데, 이것이왜서명이유효하지않은지에대한이유입니다. 메모리상에 ~WTR4141.tmp 파일을적재하고, 코드라이브러리로써 ~WTR4141.tmp 파일을직접매핑합니다. 코드를적재하기위해서또다른매우흥미로운사용자모드함수후킹기법이사용되었습니다. 아래그림은스턱스넷 (Stuxnet) 의 NTDLL 후킹에대한전과후비교자료입니다. NTDLL 후킹이전 7

NTDLL 후킹이후 ~WTR4141.tmp 파일의스터브 9 내에암호화된핵심스턱스넷 (Stuxnet) 코드가포함되어있습니다. 이암호화된파일의크기는 498,176 바이트입니다. 그러나 UPX(Ultimate Packer for executables) 10 를통해압축해제한사이즈는 1,233,920 바이트입니다.

8 NTDLL 후킹이후 ~WTR4141.tmp 파일의스터브 9 내에암호화된핵심스턱스넷 (Stuxnet) 코드가포함되어있습니다. 이암호화된파일의크기는 498,176 바이트입니다. 그러나 UPX(Ultimate Packer for executables) 10 를통해압축해제한사이즈는 1,233,920 바이트입니다. 이핵심스턱스넷 (Stuxnet) 코드가실행되면, 먼저실행시킨윈도우시스템의버전을확인하는것입니다. 또한, 관리자권한으로실행된것이아니라면, 두개의권한상승공격코드를사용하여관리자권한을획득합니다. 관리자권한이거나권한상승을통해관리자권한을획득했다면, lsass.exe, svchost.exe, winlogin.exe 나안티바이러스프로세스처럼스스로를재실행시킵니다. 재실행을통해만들어진새로운프로세스내에서설치루틴을실행합니다. 이 ~WTR4141.tmp 파일은프로세스인젝션기술을통해메모리에적재되기때문에전자서명을이용할필요는사실없었습니다. 설치루틴에서는먼저하드디스크에 MrxCls.sys 와 MrxNet.sys 라는두개의커널모드컴포넌트파일을생성합니다. 그런다음, 이컴포넌트들이부팅시실행될수있도록시스템서비스항목으로추가하고는이서비스들을직접기동시킵니다. 또한, \%SystemRoot%\inf 에 oem6c.pnf, oem7a.pnf, mdmeric3.pnf, mdmcpq3.pnf 라는구성파일들을생성합니다. 이과정을끝으로감염은완료됩니다. 감염즉시스턱스넷 (Stuxnet) 은 RPC(Remote Procedure Call) 서버를기동하기위해 services.exe 프로세스내로자체코드를주입합니다. 운영중인 Step7 프로젝트메니저도감염시킵니다. 이러한인젝션과정이끝나면감염루틴이시작되며스턱스넷 (Stuxnet) 은네트워크를스캐닝하고감염되지않은 USB 드라이브를감염시키기위해기다립니다. 설치루틴에대한보다상세한내용은다음 4. 스턱스넷 (Stuxnet) 의설치와주요기능 섹션에서다시다루도록하겠습니다. 이러한프로세스인젝션방식은개인용방화벽, 안티바이러스와어플리케이션화이트리스트소프트웨어를방해하기위해설계되었습니다. 이제품들은일반적으로바이러스스캐닝이나화이트리스트에대해해쉬확인등다양한테스트를통과했을때실행파일의실행을허용합니다. 그러나, 이미메모리에로딩되고실행할준비가되어있는실행파일, 즉실행프로세스에대해서, 스턱스넷 (Stuxnet) 은파일자체에대한어떠한확인도우회할수있도록, 그프로세스안으로자기자신을복제할수있습니다. 3.3 네트워크를통한전파 네트워크공유를통한전파 스턱스넷 (Stuxnet) 은원격시스템상의 C$ 와 Admin$ 의네트워크공유가있는지를찾습니다. 만일이런네트워크공유를발견하게되면우선쓰기가능한디렉토리내에 DEFRAGxxxxx.TMP 라는이름으로자기자신과같은파일을생성합니다. 이파일을실행하기위해서다음과같은명령을수행하려고시도합니다. rundll32.exe DEFRAGxxxxx.TMP,DllGetClassObjectEx

이뿐만아니라, 이명령을수행할수있는서로다른네가지방법을이용합니다. 첫번째는현재의사용자인증정보를이용하여명령을수행하는것이고, 두번째는 explorer.exe 의인증정보를이용하여수행하는것입니다. 세번째는즉시이명령을수행하기위해 WMI 의 win32_process:create 를이용하는것입니다.

2. 이동저장매체 USB 를통한전파 에서 ~WTR4141.tmp 파일을실행시킨이후와동일합니다. 3.3.2 프린트스풀러취약점을이용한전파 스턱스넷 (Stuxnet) 이이프린트스풀러취약점 (MS10-061, CVE-2010-2719) 을이용한다는사실을보안연구원들이밝혀내기전까지이취약점은아직패치되지않은상태였습니다.

9 이뿐만아니라, 이명령을수행할수있는서로다른네가지방법을이용합니다. 첫번째는현재의사용자인증정보를이용하여명령을수행하는것이고, 두번째는 explorer.exe 의인증정보를이용하여수행하는것입니다. 세번째는즉시이명령을수행하기위해 WMI 의 win32_process:create 를이용하는것입니다. 마지막네번째방법은현시각으로부터 119 초후에명령을수행하도록하는작업을스케줄하기위해 NetScheduleJobAdd 를사용하는것입니다. DEFRAGxxxxx.TMP 파일의실행이후는 3.2. 이동저장매체 USB 를통한전파 에서 ~WTR4141.tmp 파일을실행시킨이후와동일합니다 프린트스풀러취약점을이용한전파 스턱스넷 (Stuxnet) 이이프린트스풀러취약점 (MS10-061, CVE ) 을이용한다는사실을보안연구원들이밝혀내기전까지이취약점은아직패치되지않은상태였습니다. 하지만, IBM 의가상패치기술 11 을이용한여러보안제품에서는 MSRPC_Spoolss_GetDocPrinter_Exec 라는항목으로해당취약점을탐지하고공격을방어하고있었습니다. 이취약점은 2009 년 4 월 Hackin9 보안잡지에서 Carsten Köhler 에의해 Print Your Shell 이란제목으로최초발표되었습니다. 이취약점을이용하여공격하기위해서는공격대상시스템에파일과프린터공유가 사용함 으로활성화되어있어야하고, 프린터는반드시공유되어야합니다. 이취약점은 \%SysemRoot%\System32 디렉토리에게스트계정으로로그온한사용자에게파일을쓸수있도록허용하는것입니다. 즉, 이취약점은단지파일쓰기만허용된취약점이었기때문에스턱스넷 (Stuxnet) 은그파일을실제적으로실행하기위한다른방법이필요했습니다. 스턱스넷 (Stuxnet) 은대상시스템에아래두파일을생성하기위해서프린터스풀러취약점을이용했습니다. \%SystemRoot%\System32\winsta.exe \%SystemRoot%\System32\wbem\mof\sysnullevnt.mof 이중 winsta.exe 는스턱스넷 (Stuxnet) 의핵심모듈입니다. sysnullevnt.mof 는 WMI BMF(Binary Managed Object Format) 파일로 MOF 파일의컴파일된버전입니다. 11 가상패치기술 (Virtual Patch Technology): IBM 의등록상표이며, 이기술이적용된제품에는 IBM Security Network Intrusion Prevention System, IBM Security Server Protection 등이있습니다. 9

10 \%SystemRoot%\System32\wbem\mof\ 디렉토리는기본 MOF 자체설치디렉토리입니다. 여기에위치된어떤파일도자동적으로컴파일되고등록됩니다. 자체설치디렉토리는레지스트리내에아래와같이구성됩니다. HKLM\Software\Microsoft\WBEM\MOF Self-Install Directory 이 MOF 파일은 winsta.exe 를실행하기위한 WMI 코드가포함되어있고, 실행이후에는 winsta.exe 와 sysnullevnt.mof 파일을삭제합니다 NetPathCanonicalize 취약점을이용한전파 이취약점 (MS08-067, CVE ) 은컨피커에의해사용되었으며, 2008 년에이미패치되었습니다. IBM 의가상패치기술이적용된제품에서도 MSRPC_Srvsvc_Bo 라는항목으로해당취약점을탐지하고공격을방어하고있습니다. 스턱스넷 (Stuxnet) 에서두가지조건이충족될때이취약점을이용하였습니다. 첫째는안티바이러스시그니처업데이트일자가오래되었고, 두번째는윈도우 DLL 파일들의변경일자를확인하여이 DLL 파일들이패치되지않았다는것이확인될때입니다. 이때사용된공격코드는컨피커에서사용했던것보다향상된쉘코드기술을사용하였습니다 WinCC SQL 기본패스워드를이용한전파 스턱스넷 (Stuxnet) 은 WinCCConnect 계정에대해기본패스워드를사용하고있는 WinCC SQL 서버에접속한다음, OLE 자동저장프로시저를활성화하기위해다음과같은명령을실행합니다. sp_configure Ole Automation Procedures, 1 그런다음은스턱스넷 (Stuxnet) 드롭퍼 (dropper) 의바이너리이미지를포함하고있는 sysbinlog 라는이름의테이블을생성합니다. 그후 %AllUsersProfile% 디렉토리내에 sqlxxxxx.dbi 파일을생성하기위해스턱스넷 (Stuxnet) 은 WScript.Shell 과 ADODB.Stream COM 오브젝트를이용합니다. 이파일은 sp_addextendedproc 라는명령을이용하여 sp_dumpdbilog 라는이름의확장저장프로시저로추가됩니다. 하드디스크상의이바이너리코드를실행하기위해 EXEC sp_dumpdbilog 라는명령을실행합니다. 실행및감염이완료되면 sp_dumpdbilog 는 Scripting.FileSystemObject COM 오브젝트를이용하여삭제됩니다. WinCC 를통해스턱스넷 (Stuxnet) 이설치된경우에는제거할수없도록확실히하기위해데이터베이스내로자체코드를주입시키며 MCPVREADVARPERCON 뷰를변경합니다. 앞서스턱스넷 (Stuxnet) 에의해생성된 \GraCS\cc_tlg7.sav 파일로부터코드를추출하기위해 xp_cmdshell 을이용하여 extrac32.exe 를호출합니다. extrac32.exe 는 CAB, 캐비닛, 기타아카이브들로부터파일을추출하기위한윈도우유틸리티입니다. 이유틸리티를통해추출된코드는 cc_tlg7.savx 라는이름으로추출되며, sp_run 라는이름의확장저장프로시저로추가됩니다. cc_tlg7.savx 는스턱스넷 (Stuxnet) 의핵심모듈을적재한 DLL 파일로 GraCS 디렉토리내에저장됩니다. 그런다음 sp_run 저장프로시저를삭제합니다 Step7 프로젝트파일감염을통한전파 몇가지조건이충족하는경우에스턱스넷 (stuxnet) 은.s7p 파일을감염시킵니다. 그몇가지조건이란.s7p 파일이과거 3.5 년내에사용되거나접근되어야하며, wincproj 폴더내에유효한.mcp 파일을포함하고있어야하며, 예제프로젝트가아니어야합니다. 이조건하에서프로젝트디렉토리내의존재하는어떤 DLL 파일과동일한이름으로스턱스넷 (Stuxnet) 감염프로그램의복제본을생성함으로써감염활동은개시됩니다. Step7 소프트웨어가프로젝트를로딩할때, 안전하지않은라이브러리로딩이원격코드를 10

11 실행시킬수있는취약점 12 으로인해스턱스넷 (Stuxnet) 감염프로그램의복제본인악의적인 DLL 파일이로딩됩니다. 만일.mcp 파일이발견된다면 WinCC 데이터베이스자체에대한감염도실행합니다. 12 MS Security Advisory # : Insecure Library Loading Could Allow Remote Code Execution 11

4. 스턱스넷 (Stuxnet) 의설치와주요기능 4.1 관리자권한획득 스턱스넷 (Stuxnet) 은설치과정에서사용할관리자권한을획득하기위해두개의다른취약점을이용합니다. 하나는 Win32k.sys 키보드레이아웃취약점 (MS10-073, CVE-2010-2743) 입니다.

12 4. 스턱스넷 (Stuxnet) 의설치와주요기능 4.1 관리자권한획득 스턱스넷 (Stuxnet) 은설치과정에서사용할관리자권한을획득하기위해두개의다른취약점을이용합니다. 하나는 Win32k.sys 키보드레이아웃취약점 (MS10-073, CVE ) 입니다. 이취약점은윈도우 2000 과 XP 에영향을주며, NtSendUserInput 시스템요청내에기능포인터를위치시키는데이용하는값에대한충분한확인을하지않았기때문에발생합니다. 이결과로이취약점을이용한성공적공격은커널모드로임의코드를실행시킬수있습니다. 스턱스넷 (Stuxnet) 은어떤메모리주소에할당받은후 Win32k.sys 를이용하여그메모리주소의쉘코드를커널모드로실행시켰습니다. 다른하나는작업스케줄러서비스내에아직정의되지않은취약점을활용했습니다. 이취약점은윈도우비스타, 윈도우 7 과윈도우 2008 서버에영향을줍니다. 스턱스넷 (Stuxnet) 은상승된권한으로그자신을 rundll32.exe 로실행시키기위해이취약점을이용했습니다. 그러나이취약점은마이크로소프트사로부터아직패치되지않았습니다. 4.2 디바이스드라이버설치 스턱스넷 (Stuxnet) 은설치과정을통해 MrxCls 와 MrxNet, 이두개의커널모드컴포넌트를설치합니다. 이두개의커널모드컴포넌트의이름은 MrxSmb 와 MrxDav 와같이실제윈도우커널모드컴포넌트와그이름이매우유사합니다. 이두개의컴포넌트는리얼텍 (Realtek) 과 JMicron 사에서도난당한디지털인증서를갖고서명되었습니다. 인증서들은이미유효하지않았습니다. 이드라이버들은안티바이러스소프트웨어의휴리스틱 (heuristic) 탐지방식을우회하기위해일부러압축하지않았습니다. 이드라이버들은부팅시에실행되며, PC 시작프로세스내에서가능한빨리실행되도록구성되어있습니다. 이두커널모드컴포넌트중 MrxCls 는핵심스턱스넷 (Stuxnet) 모듈입니다. 구성정보에따라다양한시스템프로세스로자체코드를주입시킵니다. services.exe: \%SystemRoot%\inf\oem7a.pnf 기능 1 S7tgtopx.exe: \%SystemRoot\inf\oem7a.pnf 기능 2 CCProjectMgr.exe: \%SystemRoot%\inf\oem7a.pnf 기능 2 explorer.exe: \%SystemRoot%\inf\oem7m.pnf 기능 4 구성정보는레지스트리상의 MrxCls 항목의 Data 의바이너리값으로암호화되어저장되어있습니다. 구성정보는다른프로세스들내로자체코드를주입하기위한다른기능들을허용합니다. 12

반면, 다른커널모드컴포넌트인 MrxNet 은일종의루트킷입니다. 이컴포넌트의역할은이동저장매체상의스턱스넷 (Stuxnet) 감염과정의일부분인 LNK 와 TMP 파일들을숨기도록설계되어, 마치파일시스템필터드라이버처럼동작합니다. 그러나, 디바이스드라이버에대한레지스트리키나, 드라이버파일자신과구성파일등과같은감염과정의다른지시자들은숨기지않았습니다. 4.

com 에위치했습니다. 이호스트들은실행파일내에하드코딩되어있지않고, 구성파일내에구성되어있습니다. 몇몇변종들은이도메인의 IP 주소로직접연결하고자시도한것도있었습니다. 만일스턱스넷 (Stuxnet) 이명령 & 제어서버에연결되었다면, 감염된시스템으로부터수집한몇가지정보를보냅니다.

13 반면, 다른커널모드컴포넌트인 MrxNet 은일종의루트킷입니다. 이컴포넌트의역할은이동저장매체상의스턱스넷 (Stuxnet) 감염과정의일부분인 LNK 와 TMP 파일들을숨기도록설계되어, 마치파일시스템필터드라이버처럼동작합니다. 그러나, 디바이스드라이버에대한레지스트리키나, 드라이버파일자신과구성파일등과같은감염과정의다른지시자들은숨기지않았습니다. 4.3 명령 & 제어기능 스턱스넷 (Stuxnet) 에서명령 & 제어서버 (Command & Control Server) 와통신하기위해제일먼저하는것은 windowsupdate.com 과 msn.com 에대한 DNS 질의를통해인터넷의연결여부를확인하는것입니다. 실제명령 & 제어서버들은 과 에위치했습니다. 이호스트들은실행파일내에하드코딩되어있지않고, 구성파일내에구성되어있습니다. 몇몇변종들은이도메인의 IP 주소로직접연결하고자시도한것도있었습니다. 만일스턱스넷 (Stuxnet) 이명령 & 제어서버에연결되었다면, 감염된시스템으로부터수집한몇가지정보를보냅니다. 예를들면, 감염된시스템의컴퓨터이름과도메인이름, 운영체제의종류와버전, Step7 또는 WinCC 가설치되어있는지여부를가리키는플래그등입니다. 이데이터는 XOR 연산자를통한 31 바이트의스트링으로되어있으며, data 라는변수의파라미터형태로명령 & 제어서버의 /index.php 페이지로보내집니다. 예를들면 와같습니다. 이정보를받은멍령 & 제어서버는 RPC(Remote Procedure Call) 명령어들혹은실행하기위한새로운모듈들을전송합니다. 명령 & 제어서버들은발견된이후에곧오프라인이되었습니다. 스턱스넷 (Stuxnet) 은내부프로세스나다른감염된노드와의통신을처리하기위해 RPC 서버를설치합니다. 이 RPC 서버는버전을확인하고, 컴포넌트들의업데이트된버전을다운로드받는기능이포함되어있습니다. 이 RPC 루틴은명령 & 제어센터로부터의응답에의해실행됩니다. 또한, 각감염된노드들은마치피어투피어네트워크 (Peer-to-peer) 상의노드와같이행동합니다. 13

14 4.4 PLC 감염 s7tgtopx.exe 와 CCProjectMgr.exe 와같은 Step7/WinCC 프로세스들내로스턱스넷 (Stuxnet) 코드를주입하는것으로감염됩니다. 이소프트웨어들은 SIMATIC PLC(Programmable Logic Controller) 디바이스에연결되어있습니다. 감염된 PCL 들로부터데이터를읽거나쓸때사용되는 DLL(Dynamic Link Library) 호출을후킹합니다. 이 DLL 후킹은 PLC 코드에만들어진어떤변경도숨기기위한루트킷기능이포함되어있습니다. 따라서, 후킹된 DLL 파일을사용하는어떤소프트웨어도 PCL 코드블록이변경되었는지는알수없습니다. Step7 이운영중인시스템을스턱스넷 (Stuxnet) 이발견했을때, 이러한 PLC 들을감염시키는일련의과정조차필요하지않습니다. 왜냐하면 Step7 소프트웨어가프로젝트를로딩할때, 안전하지않은라이브러리로딩이원격코드를실행시킬수있는취약점으로인해스턱스넷 (Stuxnet) 감염프로그램의복제본인악의적인 DLL 파일을로딩할수있기때문입니다. SIMATIC PLC 를대상으로한이번공격은 SIMATIC CPU 6ES7-315 와 6ES7-417 만을대상으로하고있습니다. 시스템데이터블록 (SDB System Data Block) 은특별한값들로확인되었습니다. 스턱스넷 (Stuxnet) 이 PLC 들을감염시키기로결정하였다면, DO_RECV 라는이름의닫혀진기능을후킹함으로써본래의 DO_RECV 기능으로부터데이터를변조합니다. 또한, OB1 과 OB35 라는두개의 OB(Organizational Block) 들을감염시킵니다. 감염된 OB(Organizational Block) 들은본래기능을중지할수있습니다. 이러한기능의중지가발생되면어떤물리적장치의기능이정지될수도있습니다. 예를들면 OB35 는 100ms 타이머입니다. 이타이머는매우빠르게동작하는프로세스인데이기능의정지는예측할수없는대재앙을불러일으킬수도있습니다. 그렇기때문에보안전문가들사이에서스턱스넷 (Stuxnet) 이사보타지 (Savitage) 적행위를하는웜이라고판단한것입니다. 그러나, 이웜의물리적인진짜목적은아직아무도확신할수없습니다. 14

15 5. 스턱스넷 (Stuxnet) 의교훈과대응 5.1 스턱스넷 (Stuxnet) 은왜탐지에오랜시간이걸렸는가? 스턱스넷 (Stuxnet) 의일부버전은 2009 년대까지거슬러올라가며, 일부안티바이러스업체는 2009 년에수집되었던셈플들에대해보고했었습니다. 처음으로 2010 년 3 월에컴파일되고전자서명된변종이발견되었습니다. 이변종은안티바이러스업체에시그니처에추가되기전에 3 ~ 4 개월동안활동을했었습니다. 이웜이발견되기까지오랜시간이소요된것은몇가지이유가있습니다. 첫번째는공격대상이지형적으로고립되어있고, 두번째는감염카운터를내장하고있어서중복된감염시도를하지않도록제한되어있으며, 세번째는전자서명된바이너리컴포넌트를사용했고, 네번째는매우많은에러확인루틴을정교히설계및사용하고있어, 운영체제로부터특별한경고메시지나급작스런시스템다운사례가없었으며, 다섯번째는대상시스템이아닌경우에는어떤특별한활동도하지않았으며, 여섯번째는이동저장매체상의감염흔적을루트킷을이용하여감췄으며, 일곱번째는전파방법을여러가지로선택적으로사용했기때문입니다. 만약스턱스넷 (Stuxnet) 이그렇게넓게전파되지않았다면, 여전히발견되지않은상태로존재했을것입니다. 5.2 스턱스넷 (Stuxnet) 의교훈 SCADA(Supervisory Control And Data Acquisition) 및 PCS(Process Control System) 시스템은그동안공극 (Air Gap) 전략으로시스템에대한고립화를추구했을뿐, 보안에대해서는오히려여러가지로취약한점이많았습니다. 전사보안정책내에포함되어있지않았으며, SCADA 및 PCS 시스템을이용하는사용자에대한교육에대한계획도부재한경우가많았습니다. 더구나, 해당시스템의공급사의기술지원이슈로인해상당부분많은 SCADA 및 PCS 관련시스템들이패치되지않은채로사용되는경우가많았으며, 안티바이러스소프트웨어설치가안되어있는경우도많이있습니다. 더구나제한된시스템리소스로인해로깅을활성화하지않았거나제한적으로사용하며, 네트워크통신도암호화통신이아닌평문전송이일반적이었습니다. 이렇게할수있었던유일한당위성은시스템이고립되었기때문에, 악의적인해커를포함하여, 악성코드도물리적인단절을극복할수없다고보았습니다. 그러나, 스턱스넷 (Stuxnet) 의구조와기능을통해볼때, 이와같은수준으로악성코드를제작할수있는정말로정교한악성코드제작자가존재함을알았습니다. 또한, APT(Advanced Persistent Threat) 공격은부수적인피해를야기할수있습니다. 단하나의특별한대상을위한악성코드로인해십만여디바이스들이감염되었습니다. 전통적인안티바이러스소프트웨어는셈플이제공되기전까지는악성코드를방어하는데있어전체적으로효과적이지않습니다. 악성코드의위협은점점더복잡해지고있어전체적인분석만해도수개월이걸릴수있습니다. 악성코드는발견되기이전수개월동안패치되지않은취약점을공격합니다. 공극 (Air Gap) 전략은물리적인매체를감염시킴으로써극복될수있고이러한보안전략이실패할수있습니다. 5.3 보다향상된악성코드공격에대한방어 스턱스넷 (Stuxnet) 은이전에볼수없었던악성코드의정교함에있어새로운차원을보여주었습니다. 이악성코드로인해악성코드제작자들과연구원들은모두이새로운기술들에대해배우고보다높은수준의 15

16 악성코드제작에힘쓸것입니다. 따라서, 앞으로더욱지능적이고정교한악성코드의출현은쉽게예상할수있으며, 이에대한대응은한두개의솔루션이아닌, 다계층의전방위방어체계가더욱요구됩니다. SCADA 및 PCS 시스템전반에걸쳐모든주요한핵심인프라스트럭처에대해전사보안정책, 절차및프로세스내에포함시키기바랍니다. SCADA 및 PCS 시스템등주요한핵심인프라스트럭처를이용하는모든사용자에대한보안교육을계획하고실행하시기바랍니다. 주요한핵심인프라스트럭처에들어가는모든소프트웨어와코드에대해보안감사가필요합니다. 이제더이상기본패스워드로인한문제는변명의여지가없습니다. 필요하지않다면시스템상에서이동저장매체를사용하지말기바랍니다. 필요하다면, 쓰기방지탭이있는이동저장매체를사용하시기바랍니다. 주기적으로주요핵심시스템에대한오프라인보안감사를수행하시기바랍니다. 주기적으로이동저장매체에대한오프라인보안감사를수행하시기바랍니다. 주기적으로시스템과사용소프트웨어의패치수준을검사하고, 최신패치적용을유지하시기바랍니다. 만일여러가지이유로인해시스템과사용소프트웨어에대한최신패치를적용할수없다면, 네트워크단에서의가상패치기술의적용을고려해보시기바랍니다. 주기적으로시스템과사용소프트웨어의적절한보안구성을유지하고있는지보안감사를수행하시기바랍니다. 특히, 이동저장매체연결시자동실행이비활성화되어있는지, 파일과프린터공유가비활성화되어있는지, 운영체제와상관없이주요핵심시스템상의아이콘표시를비활성화되었는지확인하시기바랍니다. 어플리케이션화이트리스팅, 안티바이러스소프트웨어, 방화벽, 네트워크침입방지솔루션, 호스트침입방지솔루션등전통적인관점의보안소프트웨어의배치도적절히고려하시기바랍니다. 16

17 6. 참고문헌 An inside look at Stuxnet, Jon Larimer, Senior Researcher, IBM X-Force A Strategic Approach to Protecting SCADA and Process Control Systems, IBM Global Services, July 2007 US-CERT: Primary Stuxnet Indicators, US-CERT: Stuxnet Mitigations, Symantec: Win32.Stuxnet Dossier, ESET: Stuxnet Under the Microscope, Siemens: Information concerning Malware/ Virus/ Trojan, This notice marks the end of this document. 17

*2008년1월호진짜

*2008년1월호진짜 3. USB 이동식저장장치를이용하여전파되는악성코드분석 1. 개 요 최근 USB 이동식 저장장치를 통하여 전파되는 악성코드에 대한 감염피해가 증가하고 있어 주의가 필요하다. 이번에 확인된 ntion.exe 악성코드는 감염 시, 특정 사이트에 접속하여 추가 악성코드를 다운로드하는 Dropper 기능을 수행한다. 또한, 웹 서버가 감염될 경우는 웹 서버내의 웹 페이지가