Logic Locker

Logic Locker는 산업용 제어 시스템(ICS)^[1]에서 사용되는 Programmable Logic Controller(PLC; 프로그래머블 로직 컨트롤러)를 대상으로 하는 크로스벤더 랜섬웨어 웜입니다.조지아 ^[2][1]공과대학이 발표한 연구논문에 처음 기술된 이 악성코드는 다양한 인기 공급업체의 여러 PLC를 탈취할 수 있습니다.연구원들은 수처리 플랜트 모델을 사용하여 Schneider Modicon M241, Schneider Modicon M221 및 Allen Bradley MicroLogix 1400 PLC를 사용하여 잘못된 판독치를 표시하고 밸브를 잠그고 염소 방출을 독성 수준으로 변경하는 능력을 입증할 수 있었다.랜섬웨어는 다양한 PLC에서 볼 수 있는 취약한 인증 메커니즘을 우회하여 PLC에 로직밤을 심는 동안 합법적인 사용자를 차단하도록 설계되었습니다.2017년 2월 14일 현재 Shodan을 ^[3][4][5][2]사용하여 발견된 것과 같은 개념 증명 공격에 사용된 PLC가 1,400개 이상이라는 점에 주목한다.

공격 방식

LogicLocker에서 사용되는 공격 방식에는 5단계가 있습니다.초기 감염, 수평 및 수직 이동, 잠금, 암호화 및 네고시에이션.초기 감염은 다양한 취약성 공격을 통해 발생할 수 있습니다.ICS 디바이스는 통상, 상시 온 상태가 되기 때문에, 사이버 범죄자는 PLC의 타협을 시도할 충분한 시간을 얻을 수 있습니다.PLC는 일반적으로 잠재적인 ^[1]공격으로부터 자신을 보호하기 위한 강력한 인증 메커니즘을 갖추고 있지 않습니다.사용자가 잠재적으로 악의적인 전자 메일 첨부 파일을 클릭하여 ^[1][2]초기 감염이 발생할 수 있습니다.PLC의 초기 감염 시 PLC의 기능에 따라 PLC에서 기업 네트워크로 수평 또는 수직 이동이 이루어질 수 있습니다.공격의 다음 단계는 잠금입니다. 공격자는 복원 작업을 금지하거나 방지하기 위해 합법적인 사용자를 차단합니다.이는 비밀번호 변경, OEM 잠금, PLC 리소스 과다 사용 또는 IP/포트 변경을 통해 수행할 수 있습니다.이러한 다양한 잠금 방법은 다양한 성공 정도와 강점을 제공합니다.공격을 성공시키기 위해 암호화는 향후 협상을 위해 기존의 암호 소프트웨어 관행을 따르기 위해 사용됩니다.마지막으로 공격자와 피해자 간에 서비스 복구를 위한 협상이 이루어집니다.일부 PLC에는 개념 증명 ^[1][4]공격에 사용된 MicroLogix 1400 PLC와 마찬가지로 몸값 메시지를 보내는 데 사용할 수 있는 이메일 기능이 포함되어 있습니다.

방위 전략

방어 및 취약성 완화 노력을 지원하기 위해 사용할 수 있는 몇 가지 전략이 있습니다.

엔드포인트 보안

패스워드 변경, 미사용 포트 및 프로토콜 비활성화 및 Access Control List(ACL; 접근컨트롤 리스트) 구현, 적절한 백업 및 펌웨어 업데이트 유지 등의 엔드포인트 보안 기술을 사용해야 합니다.이를 통해 사이버 ^[1]범죄자의 공격 표면을 크게 줄일 수 있습니다.

네트워크 보안

이상 검출에는 네트워크 감시를 강화하고 경계해야 합니다.방화벽, 네트워크 세그멘테이션 및 자동 백업에 대한 프로토콜 화이트리스트를 통해 보안이 강화되고 ^[1]백업에 문제가 발생하지 않는 한 복원 시간을 단축할 수 있습니다.

정책.

피싱 메일의 적절한 식별, USB 디바이스의 금지, 포괄적인 사고 대응 계획의 짜넣기를 종업원의 트레이닝에 의해서, 이 ^[1]위협에 대응할 수 있도록 할 필요가 있습니다.

「 」를 참조해 주세요.

• 핀 컨트롤 공격
• 스턱스넷

레퍼런스