日前��,美國(guó)安全公司fireeye針對(duì)最近韓國(guó)遭受的網(wǎng)絡(luò)攻擊做出了一系列分析����,在此次網(wǎng)絡(luò)攻擊行為中����,使用的惡意軟件通過(guò)直接訪問(wèn)\\.\PhysicalDrive來(lái)破壞硬盤(pán)的引導(dǎo)記錄(MBR),而且可以刪除硬盤(pán)上的文件��。
另一方面��,該惡意軟件是基于時(shí)間觸發(fā)的����,在特定的時(shí)間2013年3月20日下午14:00開(kāi)始檢查系統(tǒng)的Windows版本,啟動(dòng)一個(gè)線程來(lái)直接寫(xiě)入惡意軟件到硬盤(pán)中���,破壞MBR�����,該惡意軟件還自動(dòng)檢查韓國(guó)的防病毒軟件AhnLabs�����,并且發(fā)現(xiàn)之后立即禁用��。
詳細(xì)分析:
據(jù) fireeye從樣本分析得出結(jié)論�,在樣本中發(fā)現(xiàn)了HASTATI和PRINCPES兩個(gè)字符串�,該字符出出自羅馬軍隊(duì),“HASTATI”是指羅馬軍隊(duì)步兵部隊(duì)三大隊(duì)列中最前面的先鋒部隊(duì)���。這個(gè)詞的意思是第一列失敗后�����,第二��、第三列繼續(xù)戰(zhàn)斗���,所以可能是在暗示會(huì)發(fā)動(dòng)第二、第三輪黑客攻擊。而 PRINCPES可能是一個(gè)拼寫(xiě)錯(cuò)誤�����,正確的應(yīng)該是Principes����,Principes是指早期羅馬共和國(guó)軍隊(duì)中的長(zhǎng)槍兵,后劍士��,他們通常位列在第二戰(zhàn)線���。如下圖:
該惡意軟件中存在一個(gè)計(jì)時(shí)器���,在2013年3月20日下午14:00開(kāi)始激活,該功能通過(guò)GetLocalTime API實(shí)現(xiàn)��,激活之后執(zhí)行如下操作:
1) taskkill /F /IM pasvc.exe [AhnLab client]
2) taskkill /F /IM Clisvc.exepasvc.exe是AhnLab(注1)的客戶(hù)端進(jìn)程���,通過(guò)taskkill結(jié)束pasvc.exe進(jìn)程�,如下圖:
惡意軟件會(huì)自動(dòng)識(shí)別受感染機(jī)器的操作系統(tǒng)版本�����,如果是Windows Vista或以上,那該軟件會(huì)枚舉操作系統(tǒng)上的所有文件��,并且使用關(guān)鍵字“HASTATI”或“PRINCPES”來(lái)覆蓋文件�����,然后刪除所有被覆蓋的文件����,讓硬盤(pán)數(shù)據(jù)無(wú)法恢復(fù)。如果發(fā)現(xiàn)操作系統(tǒng)是Vista之前的版本���,則覆蓋硬盤(pán)的邏輯驅(qū)動(dòng)器��,如下圖:
下圖顯示惡意軟件枚舉所有物理驅(qū)動(dòng)器并改寫(xiě)MBR
使用HASTATI關(guān)鍵字破壞MBR,如下圖:
