精實新聞 2013-03-22 10:20:06 記者 陳祈儒 報導
最新型網路攻擊防護領導廠商FireEye公司,針對本周三(3/20)南韓銀行及廣播電視網遭網路攻擊的事件發表完整的剖析。FireEye研究部門總監 Rob Rachwald 表示,不同於其他事件,南韓此次惡意軟體攻擊的重心在癱瘓、摧毀被攻擊的系統而非竊取資料。
此次,南韓攻擊事件的重點是損毀主開機記錄(MBR),抹除硬碟所有資料,並造成電腦當機。同時,此一惡意軟體有定時功能,亦即該軟體原在睡眠狀態中,但設定在特定時間啟動,經追查為訂在14:00-20-Mar-2013。
不同於過去駭客採用分散式阻斷服務(DDoS)的手法,攻佔一個國家的基礎設施,例如2007年對愛沙尼亞的網路攻擊,以及2012年宣稱由伊朗駭客軍團對美國數十家銀行發動的攻擊等,均屬於分散式阻斷服務(DDoS)類別。
此次南韓銀行及廣播電視網遭網路攻擊,是在啟動後該惡意軟體即檢查 Windows 版本,發動一個執行緒,再直接寫入硬碟中,進而覆寫掉主開機記錄。最後,此軟體具備回避功能,它會檢查並停用韓國最流行的防毒產品AhnLabs;這代表駭客顯然是衝著南韓而來。
FireEye表示,其軟體扺擋了此次攻擊,並偵測、命名此惡意軟體攻擊為 Trojan.Hastati。FireEye已產出此攻擊的動態威脅情報,客戶將受到保護不會遭駭。這些動態威脅情報(Dynamic Threat Intelligence, DTI)雲端的訂戶,已取得最新的防護能力,可阻止對內的(inbound)攻擊。
FireEye也表示,應該要注意此惡意軟體不會進行CnC回撥(callback),完全以破壞中毒主機為目標。惡意軟體清點了 Microsoft Vista 及其後續版本 (Windows 7 / 8) 系統上的所有檔案,將關鍵字「HASTATI」覆寫到所有檔案上,接著刪除被覆寫的檔案,使資料無法復原。而對較早期的 Windows 版本,該惡意軟體會覆寫邏輯磁碟,在損毀/覆寫主開機記錄後將系統重新開機,進而癱瘓系統。
分析這一次的惡意軟體資料,FireEye認為,此惡意軟體有一個計時器,唯有日期和時間在3月20日下午兩點時才會自行啟動,並會感染本機系統,一旦啟動即終止下列程序:
1) taskkill /F /IM pasvc.exe [the AhnLab client]
2) taskkill /F /IM Clisvc.exe
由於 pasvc.exe 程序是AhnLab的用戶端。因為 AhnLab 是韓國非常流行的防毒軟體,因此我們認為該惡意軟體是特別鎖定南韓的。
