日前�����,美國安全公司fireeye針對(duì)最近韓國遭受的網(wǎng)絡(luò)攻擊做出了一系列分析���,在此次網(wǎng)絡(luò)攻擊行為中�,使用的惡意軟件通過直接訪問\\.\PhysicalDrive來破壞硬盤的引導(dǎo)記錄(MBR)����,而且可以刪除硬盤上的文件。
另一方面�����,該惡意軟件是基于時(shí)間觸發(fā)的���,在特定的時(shí)間2013年3月20日下午14:00開始檢查系統(tǒng)的Windows版本��,啟動(dòng)一個(gè)線程來直接寫入惡意軟件到硬盤中��,破壞MBR���,該惡意軟件還自動(dòng)檢查韓國的防病毒軟件AhnLabs,并且發(fā)現(xiàn)之后立即禁用���。
詳細(xì)分析:
據(jù) fireeye從樣本分析得出結(jié)論�,在樣本中發(fā)現(xiàn)了HASTATI和PRINCPES兩個(gè)字符串��,該字符出出自羅馬軍隊(duì)�,“HASTATI”是指羅馬軍隊(duì)步兵部隊(duì)三大隊(duì)列中最前面的先鋒部隊(duì)。這個(gè)詞的意思是第一列失敗后����,第二、第三列繼續(xù)戰(zhàn)斗�,所以可能是在暗示會(huì)發(fā)動(dòng)第二、第三輪黑客攻擊���。而 PRINCPES可能是一個(gè)拼寫錯(cuò)誤���,正確的應(yīng)該是Principes���,Principes是指早期羅馬共和國軍隊(duì)中的長槍兵,后劍士��,他們通常位列在第二戰(zhàn)線�����。如下圖:
該惡意軟件中存在一個(gè)計(jì)時(shí)器��,在2013年3月20日下午14:00開始激活�,該功能通過GetLocalTime API實(shí)現(xiàn),激活之后執(zhí)行如下操作:
1) taskkill /F /IM pasvc.exe [AhnLab client]
2) taskkill /F /IM Clisvc.exepasvc.exe是AhnLab(注1)的客戶端進(jìn)程����,通過taskkill結(jié)束pasvc.exe進(jìn)程����,如下圖:
惡意軟件會(huì)自動(dòng)識(shí)別受感染機(jī)器的操作系統(tǒng)版本,如果是Windows Vista或以上���,那該軟件會(huì)枚舉操作系統(tǒng)上的所有文件���,并且使用關(guān)鍵字“HASTATI”或“PRINCPES”來覆蓋文件�����,然后刪除所有被覆蓋的文件�����,讓硬盤數(shù)據(jù)無法恢復(fù)�。如果發(fā)現(xiàn)操作系統(tǒng)是Vista之前的版本�����,則覆蓋硬盤的邏輯驅(qū)動(dòng)器�,如下圖:
下圖顯示惡意軟件枚舉所有物理驅(qū)動(dòng)器并改寫MBR
使用HASTATI關(guān)鍵字破壞MBR����,如下圖:
