2010년 10월 국내외 많은 언론은 스턱스넷 웜이 지멘스의 데이터 수집 및 모니터링 시스템인 SIMATIC WinCC를 공격했다는 사실을 잇달아 보도하며 이를 '슈퍼 바이러스', '슈퍼 팩토리 바이러스'라고 불렀다. 그것은 "슈퍼 무기"이자 "판도라의 상자"입니다.
Stuxnet 웜(일반적으로 "Stuxnet" 및 "Gemini"로 알려짐)은 2010년 7월부터 발생하기 시작했습니다. 이는 새로운 제로데이 취약점 3개를 포함하여 Microsoft 운영 체제의 취약점 4개 이상을 악용하고, 전체 침입 및 전파 프로세스를 통해 산업용 개인 LAN의 물리적 한계를 극복합니다. WinCC 시스템 2의 취약점을 찾아 파괴적인 공격을 수행합니다. 실제 산업 인프라를 직접적으로 손상시키는 최초의 악성 코드입니다. Symantec의 통계에 따르면 2010년 9월 현재 전 세계적으로 약 45,000개의 네트워크가 이 웜에 감염되었으며 그 중 피해자 호스트의 60%가 이란에 있었습니다. 이란 정부는 부쉐르 원자력 발전소가 스턱스넷(Stuxnet) 웜에 의해 공격을 받았다고 확인했습니다.
앤티랩스는 지난 7월 15일 스턱스넷(Stuxnet) 웜의 첫 번째 변종을 포착해 즉시 분석을 실시하고 분석 보고서와 예방조치를 공개하며 지속적인 추적을 진행했다. 이 보고서가 발표된 시점에서 Antiy는 총 13개의 변종과 다양한 해시 값을 가진 600개 이상의 샘플 엔터티를 캡처했습니다. 2.1 운영 환경
Stuxnet 웜은 다음 운영 체제에서 활성화되고 실행될 수 있습니다: Windows 2000, Windows Server 2000 Windows XP, Windows Server 2003 Windows Vista Windows 7, Windows Server 2008. 실행 중인 경우 Windows NT 시리즈가 아닌 운영 체제에서는 즉시 종료하십시오.
공격을 받은 소프트웨어 시스템은 다음과 같습니다: SIMATIC WinCC 7.0 SIMATIC WinCC 6.2. 그러나 다른 버전에서도 이 문제가 발생할 가능성을 배제할 수 없습니다.
2.2 로컬 동작
샘플이 활성화된 후 일반적인 실행 프로세스가 그림 1에 표시됩니다.
샘플은 먼저 현재 운영 체제 유형을 확인합니다. Windows 9X/ME인 경우 바로 종료됩니다.
다음으로 기본 DLL 모듈을 로드하면 모든 후속 작업이 이 DLL에서 수행됩니다. 탐지를 피하기 위해 샘플에서는 DLL 모듈을 디스크 파일로 해제한 후 로드하지 않고 대신 메모리에 직접 복사한 다음 DLL의 로드 프로세스를 시뮬레이션합니다.
구체적으로 샘플은 먼저 충분한 메모리 공간을 적용한 다음 Hookntdll.dll이 6개의 시스템 함수를 내보냅니다. ZwMapViewOfSection ZwCreateSection ZwOpenFile ZwClose ZwQueryAttributesFile ZwQuerySection 이를 위해 샘플은 먼저 메모리 이미지의 PE를 수정합니다. ntdll.dll 파일에 헤더의 보호 속성을 추가한 다음 오프셋 0x40의 쓸모 없는 데이터를 점프 코드로 다시 작성하여 후크를 구현합니다.
또한 샘플은 ZwCreateSection을 사용하여 메모리 공간에 새 PE 섹션을 생성하고 여기에 로드할 DLL 모듈을 복사한 다음 마지막으로 LoadLibraryW를 사용하여 모듈 핸들을 얻을 수 있습니다.
그림 1 샘플의 일반적인 실행 프로세스
그 후 샘플은 실행을 위해 로드된 DLL로 점프하고 다음 파일을 파생합니다.
%System32% \drivers\mrxcls.sys %System32%\drivers\mrxnet.sys%Windir%\inf\oem7A.PNF%Windir%\inf\mdmeric3.PNF %Windir%\inf\mdmcpq3.PNF%Windir%\inf\oem6C. PNF에는 mrxcls.sys 및 mrxnet.sys라는 두 개의 드라이버가 있으며, 이는 각각 MRXCLS 및 MRXNET이라는 시스템 서비스로 등록되어 부팅 시 자동 시작을 실현합니다. 두 드라이버 모두 루트킷 기술을 사용하며 디지털 서명되어 있습니다.
mrxcls.sys는 호스트에 설치된 WinCC 시스템을 찾아 공격을 수행하는 역할을 담당합니다. 구체적으로는 시스템 프로세스의 이미지 로딩 작업을 모니터링하고 %Windir%\inf\oem7A.PNF에 저장된 모듈을 services.exe, S7tgtopx.exe, CCProjectMgr.exe의 세 가지 프로세스에 주입합니다. WinCC 시스템이 실행 중일 때 프로세스.
mrxnet.sys는 일부 커널 호출을 수정하여 USB 플래시 드라이브에 복사된 lnk 파일과 DLL 파일을 숨깁니다(그림 2).
그림 2 드라이버는 일부 lnk 파일을 숨깁니다.
그림 3 샘플의 다양한 전파 방법
2.3 전파 방법 Stuxnet 웜은 SIMATIC WinCC 소프트웨어를 공격합니다. 후자는 주로 산업용 제어 시스템의 데이터 수집 및 모니터링에 사용되며 일반적으로 전용 내부 LAN에 배포되며 외부 인터넷과 물리적으로 격리됩니다. 공격을 달성하기 위해 Stuxnet 웜은 그림 3과 같이 침투 및 확산을 위한 다양한 수단을 채택합니다.
전체적인 전파 아이디어는 다음과 같습니다. 먼저 외부 호스트를 감염시킨 다음 USB 디스크를 감염시키고, 바로가기 파일 구문 분석 취약점을 사용하여 인트라넷의 내부 네트워크로 확산시키고, 바로가기 구문 분석 취약점과 RPC 원격을 사용합니다. 실행 취약점, 프린터 데몬 서비스 취약점은 네트워크로 연결된 호스트 간에 전파될 수 있으며, 최종적으로 WinCC 소프트웨어가 설치된 호스트에 도달하여 공격을 시작합니다.
2.3.1. 바로가기 파일 구문 분석 취약점(MS10-046)
이 취약점은 바로가기 파일(예: .lnk 파일)을 구문 분석할 때 Windows의 시스템 메커니즘 결함을 악용하여 다음을 유발합니다. 시스템은 공격자가 지정한 DLL 파일을 로드하여 공격 동작을 촉발합니다. 구체적으로, Windows는 바로가기 파일을 표시할 때 파일의 정보를 기반으로 필요한 아이콘 리소스를 찾아서 사용자에게 파일의 아이콘으로 표시합니다. 아이콘 리소스가 DLL 파일에 있는 경우 시스템은 DLL 파일을 로드합니다. 공격자는 이러한 바로가기 파일을 구성하여 시스템이 지정된 DLL 파일을 로드하고 그 안에 있는 악성 코드를 실행하도록 할 수 있습니다. 바로가기 파일 표시는 사용자 개입 없이 시스템에 의해 자동으로 실행되므로 취약점 악용은 매우 효과적입니다.
Stuxnet 웜은 컴퓨터에서 이동식 저장 장치를 검색합니다(그림 4). 찾으면 바로가기 파일과 DLL 파일을 복사합니다(그림 5). 사용자가 이 장치를 내부 네트워크의 컴퓨터에 연결해 사용하면 취약점이 발동해 이동식 저장장치를 이용해 물리적으로 분리된 네트워크에 침투하는 이른바 '페리' 공격이 이뤄진다.
그림 4 USB 플래시 드라이브 검색
USB 플래시 드라이브에는 ~wtr4132.tmp 및 ~wtr4141.tmp라는 두 개의 DLL 파일이 복사되어 있습니다. 후자는 kernel32.dll 및 ntdll.dll에서 다음과 같은 내보낸 함수를 연결합니다.
FindFirstFileW FindNextFileW FindFirstFileExWNtQueryDirectoryFile ZwQueryDirectoryFile은 USB 플래시 드라이브에 있는 lnk 파일과 DLL 파일을 숨깁니다.
따라서 Stuxnet은 먼저 USB 디스크 파일을 숨기기 위해 두 가지 방법(커널 모드 드라이버, 사용자 모드 Hook API)을 사용하여 공격 프로세스를 사용자가 감지하기 어렵게 만들었으며 바이러스 백신 소프트웨어 검사도 어느 정도 회피할 수 있었습니다.
그림 5 USB 플래시 드라이브에 파일 복사
2.3.2 RPC 원격 실행 취약점(MS08-067) 및 권한 상승 취약점
이것은 2008년에 발생한 가장 심각한 Microsoft 운영 체제 취약점은 단순한 악용, 광범위한 영향, 높은 피해 수준이라는 특징을 가지고 있습니다.
그림 6 RPC 공격 시작
구체적으로, 이 취약점이 있는 시스템이 신중하게 조작된 RPC 요청을 수신하면 원격 코드 실행이 허용될 수 있습니다. Windows 2000, Windows XP 및 Windows Server 2003 시스템에서 공격자는 이 취약점을 악용하여 악의적으로 구성된 네트워크 패킷을 통해 직접 공격을 시작하고 인증 없이 임의 코드를 실행하며 완전한 권한을 얻을 수 있습니다. 따라서 이 취약점은 웜이 대규모로 확산하고 공격하는 데 자주 사용됩니다.
Stuxnet 웜은 이 취약점을 이용하여 내부 LAN으로 전파됩니다(그림 6). 이 취약점을 악용할 경우 권한 부족으로 인해 실패할 경우 공개되지 않은 취약점을 이용해 자체 권한을 상승시킨 후(그림 1) 다시 공격을 시도하게 됩니다. 이 보고서가 발표된 시점에서 Microsoft는 아직 이 권한 상승 취약점에 대한 솔루션을 제공하지 않았습니다.
2.3.3.프린터 데몬 서비스 취약점(MS10-061)
스턱스넷(Stuxnet) 웜에서 처음 발견된 제로데이 취약점이다.
Windows 인쇄 스풀러가 사용자 권한을 적절하게 설정하지 않습니다. 공격자는 인쇄 스풀러 인터페이스를 노출하는 호스트의 %System32% 디렉터리에 파일을 보내는 조작된 인쇄 요청을 제출할 수 있습니다. 이 취약점을 성공적으로 악용하면 시스템 권한으로 임의 코드가 실행되어 전파 및 공격이 가능해집니다.
그림 7 인쇄 서비스 취약점 악용
Stuxnet 웜은 이 취약점을 이용하여 내부 LAN으로 확산됩니다. 그림 7에 표시된 대로 대상 호스트에 winsta.exe, sysnullevnt.mof라는 두 개의 파일을 보냅니다. 후자는 특정 이벤트에 의해 구동될 때 winsta.exe가 실행되도록 구동하는 Microsoft MOF(Managed Object Format) 파일입니다.
2.3.4. 커널 모드 드라이버(MS10-073)
2.3.5. 작업 스케줄러 취약점(MS10-092)
2.4 공격 행위
p>Stuxnet 웜은 WinCC 시스템이 호스트에 설치되어 있는지 확인하기 위해 두 개의 레지스트리 키를 쿼리합니다(그림 8):
HKLM\SOFTWARE\SIEMENS\WinCC\Setup
HKLM\SOFTWARE\SIEMENS\STEP7
그림 8 WinCC 설치 여부를 결정하기 위해 레지스트리 쿼리
WinCC 시스템이 발견되면 그 안에 있는 두 가지 취약점을 사용하여 공격을 시작합니다. :
첫 번째, WinCC 시스템에는 데이터베이스 접근을 위한 기본 계정 이름과 비밀번호를 저장하는 하드코딩된 취약점이 있습니다. Stuxnet은 이 취약점을 이용하여 시스템의 SQL 데이터베이스에 접근을 시도합니다. 그림 9).
두 번째는 WinCC가 사용해야 하는 Step7 프로젝트에서 프로젝트 파일을 열 때 DLL 로딩 전략에 결함이 있어 'DLL 프리로딩 공격'과 유사한 악용 방법으로 이어진다는 점이다. . 마지막으로 Stuxnet은 Step7 소프트웨어의 s7otbxdx.dll을 대체하여 일부 쿼리 및 읽기 기능에 대한 후크를 구현했습니다.
그림 9 WinCC 데이터베이스 쿼리
2.5 샘플 파일의 파생 관계
이 섹션에서는 위에서 언급한 복사, 유포 및 공격 프로세스의 샘플 파일을 포괄적으로 소개합니다. . 파생된 관계.
그림 10과 같습니다. 가능한 샘플 소스는 다양합니다.
원본 샘플과 RPC 취약점 또는 인쇄 서비스 취약점을 통해 확산되는 샘플은 모두 exe 파일입니다. 이들은 "kernel32.dll.aslr.
USB 플래시 드라이브에서 확산된 샘플의 경우 시스템이 바로가기 파일을 표시하고 'shell32.dll.aslr'이라는 파일을 로드하는 ~wtr4141.tmp 파일을 로드할 때 취약점이 트리거됩니다.< 난수>.dll "모듈, 이 모듈은 다른 파일 ~wtr4132.tmp를 "kernel32.dll.aslr.<난수>.dll"로 로드합니다.
그림 10 샘플 파일에서 파생된 관계
모듈 "kernel32.dll.aslr.
그 중 내보내기 기능 16번은 두 개의 드라이버(리소스 번호 201의 mrxcls.sys 및 리소스 번호 242의 mrxnet.sys)와 4개의 .pnf 파일을 포함하여 로컬 파일을 파생하는 데 사용됩니다.
내보내기 기능 17번은 WinCC 시스템의 두 번째 취약점을 공격하는데 사용된다. s7otbxdx.dll을 공개하고, WinCC 시스템에 있는 같은 이름의 파일을 s7otbxsx.dll로 변경하고 이를 내보낸다. file Hook을 구현하기 위해 함수를 한 번 캡슐화합니다.
내보내기 기능 19번은 바로가기 파싱 취약점을 악용하여 확산을 담당합니다. 여러 개의 lnk 파일과 tmp 확장자를 가진 두 개의 파일을 릴리스합니다.
내보낸 함수 22번은 RPC 취약점과 인쇄 서비스 취약점을 악용하여 확산을 담당합니다. 공개된 파일 중 리소스 번호 221의 파일은 RPC 공격에 사용되고, 리소스 번호 222의 파일은 인쇄 서비스 공격에, 리소스 번호 250의 파일은 권한 상승에 사용됩니다. 3.1 이 공격에 대한 저항
Siemens는 이 공격에 대한 솔루션을 제공했습니다. 링크 주소는 부록을 참조하세요. 분석 결과를 바탕으로 보다 구체적인 조치는 아래와 같습니다.
1. 관련 종료 도구를 사용하거나 Stuxnet 웜을 수동으로 제거합니다.
수동 제거 단계는 다음과 같습니다. Atool 관리 도구를 사용하여 상위 프로세스가 아닌 시스템의 모든 lsass를 종료합니다. winlogon.exe .exe 프로세스, 다음 파생 파일을 강제로 삭제합니다:
%System32%\drivers\mrxcls.sys
%System32%\drivers\mrxnet.sys
%Windir%\inf\oem7A.PNF
%Windir%\inf\mdmeric3.PNF
%Windir%\inf\mdmcpq3.PNF
%Windir% \inf\oem6C.PNF 다음 레지스트리 키를 삭제합니다.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxCls
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxNET 2. 악용된 취약점 시스템 패치 설치
Microsoft에서 제공하는 다음 패치 파일을 설치합니다. RPC 원격 실행 취약점(MS08-067) 바로가기 파일 구문 분석 취약점(MS10-046) 프린터 데몬 서비스 취약점(MS10-061) 커널 모드 드라이버 프로그램 취약점(MS10-073) 작업 스케줄러 프로그램 취약점(MS10-092) 3. 소프트웨어 패치 설치
Siemens에서 출시한 WinCC 시스템 보안 업데이트 패치 주소는 부록을 참조하십시오.
3.2 보안 제안
이 공격은 두 가지 문제를 강조합니다. 물리적으로 분리된 전용 LAN도 깨지지 않는 것은 아니며 산업 제어 시스템을 포함한 전용 소프트웨어 시스템도 공격을 받을 수 있습니다. 따라서 우리는 관련 부서 및 기업에 다음과 같은 보안 제안을 제시합니다.
호스트(특히 인트라넷 호스트)의 보안을 강화하세요. 물리적으로 격리된 컴퓨터라도 적시에 운영 체제 패치를 업데이트하고 완전한 보안을 구축해야 합니다. 보안 전략,
안티바이러스 소프트웨어 및 방화벽을 포함한 보안 보호 소프트웨어를 설치하고 바이러스 데이터베이스를 적시에 업데이트합니다.
소프트웨어 보안 인식을 확립하고 핵심 컴퓨터를 추적합니다. 기업의 소프트웨어 보안 문제, 취약한 소프트웨어의 적시 업데이트
기업 인트라넷의 보안 구축을 더욱 강화하고, 네트워크 서비스 보안에 특별한 주의를 기울이고, 호스트의 불필요한 네트워크 서비스 포트를 닫습니다.< /p>< p>취약한 비밀번호와 기본 비밀번호는 모든 소프트웨어 및 네트워크 서비스에서 활성화되지 않습니다.
이동식 저장 장치의 보안 관리를 강화하고 컴퓨터의 자동 실행 기능을 끄고 바이러스 검사를 수행합니다. 이동식 장치를 사용하기 전에 모바일 장치에 대한 바이러스 면역력을 구축하고 하드웨어 기반 USB 디스크 바이러스 검사 도구를 사용하십시오. 이번 공격은 이전의 보안 사고와 비교해 볼 때, 우리가 특별히 주목할 만한 새로운 방법과 특징을 많이 제시하고 있습니다.
4.1 산업용 시스템에 대한 특수 공격
Stuxnet 웜의 공격 대상은 바로 Siemens의 SIMATIC WinCC 시스템입니다. 철강, 자동차, 전기, 운송, 수자원 보호, 화학, 석유 등 핵심 산업 분야, 특히 국가 인프라 프로젝트에서 널리 사용되는 데이터 수집 및 감독 제어(SCADA) 시스템입니다. 외부 세계와 격리된 전용 LAN에 배포되는 경우가 많습니다.
일반적으로 웜의 공격 가치는 확산 범위가 넓고 공격 대상이 보편적이라는 점에 있습니다. 이 공격은 최종 목표가 공개 호스트도 일반 소프트웨어도 아니기 때문에 완전히 대조적입니다. 내부 네트워크에 침투하든, 대규모 전문 소프트웨어의 취약점을 악용하든 일반적인 공격으로는 할 수 없습니다. 이는 또한 공격의 의도가 매우 명확하고 잘 계획된 공격임을 보여줍니다.
4.2 여러 제로데이 취약점 악용
Stuxnet 웜은 Microsoft 운영 체제의 다음 취약점을 악용했습니다. RPC 원격 실행 취약점(MS08-067) 바로가기 파일 구문 분석 취약점(MS10-046) ) ) 프린터 데몬 서비스 취약점(MS10-061) 커널 모드 드라이버 취약점(MS10-073) 작업 스케줄러 프로그램 취약점(MS10-092) 마지막 4개 취약점은 모두 Stuxnet에서 처음으로 사용된 취약점으로 실제 제로데이 취약점입니다. . 여러 제로데이 취약점을 대규모로 사용하는 경우는 드뭅니다.
이러한 취약점은 무작위로 선택되지 않았습니다. 웜이 확산되는 방식의 관점에서 각 취약점은 고유한 역할을 합니다. 예를 들어 자동 재생 기능을 기반으로 한 U디스크 바이러스를 대부분의 백신 소프트웨어가 방어할 때 바로가기 취약점을 이용해 U디스크 바이러스가 확산된다.
한편, Antiy가 캡처한 샘플 중 일부 개체의 타임스탬프는 2013년 3월입니다. 이는 위에서 언급한 제로데이 취약점이 적어도 3월에는 공격자들에 의해 마스터되었음을 의미합니다. 하지만 이 취약점이 처음으로 공개된 것은 7월 대규모 확산 이후였습니다. 이 기간 동안에는 취약점이 유출되는 것을 통제하기 어렵습니다.
4.3 디지털 서명 사용
실행 후 Stuxnet은 두 개의 드라이버 파일을 릴리스합니다:
%System32%\drivers\mrxcls.sys
< p> %System32%\drivers\mrxnet.sys이 두 드라이버 파일은 바이러스 백신 소프트웨어의 감지를 피하기 위해 RealTek의 디지털 서명(그림 7)을 위장합니다. 현재 이 서명의 디지털 인증서는 발급 기관에 의해 폐기되어 더 이상 온라인 검증을 통과할 수 없습니다. 그러나 대부분의 바이러스 백신 제품은 현재 실행 파일에 디지털 서명이 있는지 확인하기 위해 정적 방법을 사용하므로 그럴 수 있습니다. 속았다. 그림 11 Stuxnet 위조 디지털 서명
4.4 명확한 공격 대상
Symantec의 통계에 따르면 지난 7월 이란 호스트의 25%만이 Stuxnet 웜에 감염되었습니다. 9월에는 이 비율이 60%에 달했다.
WinCC는 이란의 기본 방어 시설에 널리 사용되고 있습니다. 9월 27일, 이란 국영 통신사는 이란 최초의 원자력 발전소인 부셰르 원자력 발전소가 공격을 받았다는 사실을 외부 세계에 확인했습니다. 당초 원전은 2013년 8월 정식 가동을 시작할 예정이었던 것으로 알려졌다. 따라서 이 공격은 명확한 지역적, 목적적 성격을 갖고 있습니다. 5.1 산업 시스템 보안은 심각한 문제에 직면할 것입니다.
우리나라에서는 WinCC가 여러 중요한 산업에서 널리 사용되고 있으며, 일단 공격을 받으면 해당 기업의 시설이 비정상적으로 작동할 수 있으며 심지어 도난을 초래할 수도 있습니다. 비즈니스 데이터의 삭제, 생산 중단 등 심각한 사고.
스턱스넷(Stuxnet) 웜의 출현은 별로 놀랍지 않습니다. 이미 작년부터 Antiy는 사용자로부터 화학 산업의 장비 안전에 대한 연구를 의뢰받았습니다. 상황은 낙관적이지 않았습니다.
산업용 이더넷을 비롯한 산업용 제어 네트워크와 필드버스 제어 시스템은 현재 전력, 철강, 화학 등 대규모 중화학공업 기업에서 산업용 이더넷을 수년간 사용해 왔다. , DCS(분산 제어 시스템), 필드버스 및 기타 기술은 이미 제어 시스템의 모든 측면에 침투했습니다. 산업용 제어 네트워크의 핵심은 이제 산업용 제어 PC이며, 대부분은 Windows-Intel 플랫폼을 기반으로 합니다. 산업용 이더넷과 민간용 이더넷 간에는 본질적인 기술적 차이가 없습니다. 제어 장비. LAN을 통해 확산되는 악성 코드와 같이 민간/상업 네트워크와 동일한 공격을 받을 수 있을 뿐만 아니라 산업용 제어 네트워크도 필드버스에 대한 특화된 공격을 받을 수 있는데, 이는 과소평가되어서는 안 됩니다.
현재 민간/상업용 컴퓨터 및 네트워크에 대한 공격은 대부분 경제적 이익을 얻는 것을 목표로 합니다. 그러나 산업 제어 네트워크 및 필드 버스에 대한 공격은 중요한 기업 장치 및 장비의 정상적인 측정 및 제어를 파괴할 수 있습니다. 그 결과는 치명적일 수 있습니다. 화학 산업을 예로 들면, 산업 제어 네트워크에 대한 공격은 원자로의 정상적인 온도/압력 측정 및 제어를 파괴하여 원자로의 과열/과압을 유발하여 결국 물질 손실과 같은 재앙적인 사고로 이어질 수 있습니다. 홍조, 화재, 심지어 폭발까지 일으킬 수 있으며, 2차 재해 및 인도주의적 재해를 일으킬 수도 있습니다. 따라서 산업 네트워크를 공격하는 이러한 종류의 악성 코드는 일반적으로 정보 무기의 성격을 가지며, 그 목적은 중요한 산업 기업의 정상적인 생산을 방해하거나 심지어 심각한 피해를 입히는 것입니다. 그 배경은 일반적으로 개인이나 일반 지하 해커가 아닙니다. 조직.
현재 산업용 이더넷과 필드버스 표준은 개방형 표준으로, 산업용 제어 시스템에 익숙한 프로그래머가 표적 악성 공격 코드를 개발하기에는 높은 기술적 한계가 없습니다. 따라서 다음과 같은 산업용 네트워크 보안 취약점을 강화하고 보호할 필요가 있다. 윈도우-인텔 플랫폼 기반의 산업용 PC와 산업용 이더넷은 악성코드 등 민간/상업용 PC와 네트워크를 공격하는 것과 동일한 수단으로 공격받을 수 있다. 코드와 네트워크 웜은 USB 플래시 드라이브를 통해 확산됩니다. Stuxnet 바이러스가 대표적인 예입니다. DCS 및 필드버스 제어 시스템의 구성 소프트웨어(측정 및 제어 소프트웨어의 핵심)는 현재 몇몇 회사, 특히 전력 산업에서 일반적으로 사용되는 Siemens SIMATIC WinCC, 석유화학 산업에서 일반적으로 사용되는 Zhejiang University Sinocon과 같은 산업 제품에 의해 독점되고 있습니다. , 등. 구성 소프트웨어에 대한 공격은 측정 및 제어 시스템을 근본적으로 파괴합니다. Stuxnet 바이러스의 표적은 WinCC 시스템입니다. PROFIBUS 및 MODBUS(직렬 링크 프로토콜)와 같은 RS-485 버스 및 광섬유 물리 계층을 기반으로 하는 필드 버스는 보안이 상대적으로 우수하지만, 특히 일반적인 단거리 무선을 사용하지 않는 단거리 무선 네트워크는 더욱 그렇습니다. Zigbee와 같은 프로토콜은 (특정한 보안을 가지고 있음) 반면, 맞춤형 전용 프로토콜을 사용하는 단거리 무선 통신 측정 및 제어 장비는 보안이 좋지 않습니다. 특히, 국내 일부 중소기업에서 생산하는 '무선센서' 등 일부 측정·제어 기기들은 무선통신 부품에 범용 2.4GHz 근거리 무선통신 칩을 사용하고 있어 기본적인 암호화 통신도 사용하지 않는다고 할 수 있다. 보안이 전혀 없으며 도청 및 공격에 매우 취약합니다. 사용하면 필드버스에서 매우 취약한 약점이 됩니다. 산업용 제어 네트워크는 일반적으로 민간/상업 네트워크에 비해 데이터 전송량은 작지만 실시간 및 신뢰성 요구 사항이 매우 높기 때문에 문제의 결과가 매우 심각합니다.
정보 네트워크에 비해 기존 산업 네트워크의 보안은 항상 인트라넷 격리와 소홀한 예방에 의존해 왔습니다.
따라서 산업시스템의 보안점검과 예방강화가 시급하다.