可怜的韩国核电站,继索尼之后又一个遭受“格盘病毒”的倒霉蛋。 - APT防御产品

可怜的韩国核电站,继索尼之后又一个遭受“格盘病毒”的倒霉蛋。


为什么又用?因为前不久闹得沸沸扬扬的针对索尼影视的攻击中,黑客使用的正是“格盘病毒”。那么究竟这两起事件之间有没有关联呢?

0.jpg

格盘病毒是如何感染计算机的

在这次韩国核电站黑客攻击事件中,攻击者使用了一款病毒(恶意软件),该病毒会擦除感染机器的主引导记录(MBR),因此我们称它为“格盘病毒”。

“格盘病毒”是通过文杰文字处理软件(Hangul Word Processor,HWP)感染电脑的。文杰Office是由韩软公司(Hansoft)开发的类似微软Office的一套软件,在韩国的占有率很高。

为了让受害者打开这些文件,攻击者使用了大量的社会工程学技巧。以下就是从受害者收到鱼叉式钓鱼邮件开始的一连串攻击过程。


病毒行为
趋势科技将MBR wiper病毒识别为TROJ_WHAIM.A。除了修改MBR,它还会覆盖特定类型的文件。它将自己伪装成系统服务,确保每次重启都能正常运行。它使用真实存在的系统服务所使用的文件名、服务名和服务描述,不细看可能察觉不到异常,以此规避检测。


图1:病毒所使用的服务名称

多次攻击间的异同

这次核电站遭到的“格盘病毒”MBR攻击虽然罕见,但似曾相识。2013年3月的几次针对多个韩国政府部门的攻击中,我们也看到过MBR覆盖。这次攻击中所使用的恶意软件同样覆盖MBR引导记录,它会使用一系列“PRINCPES”,“HASTATI”或者“PR!NCPES”字符串覆盖MBR。

这次的攻击与之前的攻击是有相似之处:三次的MBR攻击中,恶意软件使用了字符串不断重复覆盖MBR。在韩国核电站攻击中,黑客重复了“Who Am I?”字符串,而在索尼攻击事件中重复的是“0xAAAAAAAA”。


图2:感染的机器启动时看到的‘Who Am I’信息

与朝鲜有关?

针对索尼影业的黑客攻击被指是因为讽刺朝鲜的电影《刺杀金正恩》。虽然我们不能够确定这种观点的真实性,但在这次攻击中我们发现了与之相似的地方。

我们注意到某个Twitter账户向韩国核电站传达指令,如果不满足他们的要求,就要发布窃取到的核电公司的文件。黑客其中的一个要求就是关闭核电站(韩国29%的电力是由核电站提供的)。
尚未有确切归因

虽然最近这几起攻击中有非常明显的相似之处,但我们还是不能肯定三次攻击的幕后主使就一定有关联。索尼安全事件被媒体广泛报道,所以也有可能导致一个攻击事件“引发”了新的攻击,他们不一定是有关联的。

这些攻击中,MBR wiper病毒越来越显眼,一个深度防御的网络应该要把这些威胁考虑进去了。

12月23日更新

在随后的调查分析中我们发现,“格盘病毒”中的恶意进程TROJ_WHAIM.A会检查系统时间是不是晚于2014年12月10日 11:00 AM,如果是,它就会把注册表中的HKEY_LOCAL_MACHINE\SOFTWARE\PcaSvcc\finish值设为1,然后开始覆盖MBR;如果不是,它会等一分钟,然后再检查。

所以除了MBR这个相似点以外,另一个与2013年3月事件相似的地方在于程序的“定时炸弹”功能,即检查系统时间,一旦到了某个时间,就开始运行。



转载请注明出处 APT防御产品 » 可怜的韩国核电站,继索尼之后又一个遭受“格盘病毒”的倒霉蛋。

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址