Stuxnet 웜에 대해 알아야 할 사항
Stuxnet은 인프라 지원 시설 (발전소, 수처리 시설, 가스관 등)에서 일반적으로 사용되는 산업 제어 시스템 (ICS) 유형을 대상으로하는 컴퓨터 웜입니다.
이 웜은 2009 년이나 2010 년에 처음으로 발견 된 것으로 종종 알려져 있지만 2007 년 초이란의 핵 프로그램을 공격 한 것으로 밝혀졌습니다. 당시 Stuxnet은 주로이란, 인도네시아, 인도에서 발견되어 85 % 모든 감염의.
그 이후이 웜은 많은 국가에서 수천 대의 컴퓨터에 영향을 주었으며 일부 컴퓨터를 완전히 망가 뜨리고이란의 핵 원심 분리기의 상당 부분을 닦아 냈습니다.
Stuxnet은 어떤 역할을합니까?
Stuxnet은 이러한 시설에서 사용되는 PLC (Programmable Logic Controller)를 변경하도록 설계되었습니다. ICS 환경에서 PLC는 압력 및 온도 제어를 유지하기 위해 유속 조절과 같은 산업 유형의 작업을 자동화합니다.
그것은 3 대의 컴퓨터에만 퍼질 수 있도록 만들어졌지만 각각의 컴퓨터는 3 대의 컴퓨터로 퍼져 나갈 수 있습니다. 이것이 전파되는 방식입니다.
또 다른 특징 중 하나는 인터넷에 연결되지 않은 로컬 네트워크의 장치로 확산되는 것입니다. 예를 들어, USB 를 통해 하나의 컴퓨터로 이동할 수 있지만 라우터 뒤의 다른 사설 컴퓨터로 확산되어 외부 네트워크에 연결되지 않아 인트라넷 장치가 서로를 감염시킬 수 있습니다.
처음에는 Stuxnet의 장치 드라이버 가 JMicron 및 Realtek 장치에 적용된 합법적 인 인증서에서 도난 당했기 때문에 디지털 서명이되어 사용자에게 의심스러운 메시지없이 쉽게 설치할 수있었습니다. 그러나 이후 VeriSign은 인증서를 폐기했습니다.
바이러스가 올바른 Siemens 소프트웨어가 설치되지 않은 컴퓨터에 설치되면 쓸모가 없습니다. 이는 매우 특정한 목적을 위해 만들어졌으며 다른 컴퓨터에서 사악한 일을 "하고 싶지"않은 점에서이 바이러스와 다른 바이러스 간의 주요 차이점 중 하나입니다.
Stuxnet은 PLC에 어떻게 도달합니까?
보안상의 이유로 산업 제어 시스템에 사용되는 많은 하드웨어 장치는 인터넷에 연결되어 있지 않으며 (종종 로컬 네트워크에 연결되지도 않음) 이를 극복하기 위해 Stuxnet 웜은 PLC 디바이스를 프로그래밍하는 데 사용되는 STEP 7 프로젝트 파일에 최종적으로 도달하고 감염시키는 것을 목표로 몇 가지 정교한 전파 방법을 통합합니다.
초기 전파 목적으로 웜은 Windows 운영 체제를 실행하는 컴퓨터를 대상으로하며 일반적으로 플래시 드라이브를 통해이를 수행합니다. 그러나 PLC 자체는 Windows 기반 시스템이 아니라 독자적인 기계 언어 장치입니다. 따라서 Stuxnet은 PLC를 관리하는 시스템에 도달하기 위해 Windows 컴퓨터를 단순히 트래버스하여 페이로드를 렌더링합니다.
Stuxnet 웜은 PLC를 재 프로그래밍하기 위해 PLC를 프로그래밍하는 데 사용되는 감시 제어 및 데이터 수집 (SCADA) 및 휴먼 - 기계 인터페이스 (HMI) 시스템 인 Siemens SIMATIC WinCC에서 사용되는 STEP 7 프로젝트 파일을 찾아 감염시킵니다.
Stuxnet은 특정 PLC 모델을 식별하는 다양한 루틴을 포함합니다. 이 모델 검사는 기계 수준의 지침이 다른 PLC 장치에 따라 달라 지므로 필요합니다. 대상 장치가 식별되어 감염되면 Stuxnet은 PLC로 들어오고 나가는 모든 데이터를 가로 챌 수있는 기능을 포함하여 해당 데이터를 변조하는 기능을 포함합니다.
Stuxnet은 이름을 바꿉니다.
다음은 바이러스 백신 프로그램이 Stuxnet 웜을 식별 할 수있는 몇 가지 방법입니다.
- F-Secure : 트로이 Dropper : W32 / Stuxnet
- Kaspersky : Rootkit.Win32.Stuxnet.b 또는 Rootkit.Win32.Stuxnet.a
- McAfee : Stuxnet
- 노먼 : W32 / Stuxnet.A
- Sophos : Troj / Stuxnet-A 또는 W32 / Stuxnet-B
- 시만텍 : W32.Temphid
- Trend Micro : WORM_STUXNET.A
스턱 스넷은 듀크 (Duqu) 나 플레임 (Flame) 과 같은 내 이름을 쓰는 "친척 (친척)"을 가지고있을 수도 있습니다.
Stuxnet을 제거하는 방법
컴퓨터가 Stuxnet에 감염되었을 때 Siemens 소프트웨어가 손상 되었기 때문에 감염이 의심되면 컴퓨터에 연락하는 것이 중요합니다.
또한 Avast 또는 AVG와 같은 바이러스 백신 프로그램이나 Malwarebytes와 같은 주문형 바이러스 검색 프로그램을 사용하여 전체 시스템 검사를 실행하십시오.
또한 Windows Update를 사용 하여 수행 할 수있는 Windows 업데이트 를 유지 해야합니다.
도움이 필요하면 맬웨어 방지를 위해 컴퓨터를 올바르게 검색하는 방법을 참조하십시오.