日前����,美國安全公司fireeye針對最近韓國遭受的網(wǎng)絡(luò)攻擊做出了一系列分析,在此次網(wǎng)絡(luò)攻擊行為中��,使用的惡意軟件通過直接訪問\\.\PhysicalDrive來破壞硬盤的引導(dǎo)記錄(MBR)�,而且可以刪除硬盤上的文件。
另一方面�����,該惡意軟件是基于時間觸發(fā)的���,在特定的時間2013年3月20日下午14:00開始檢查系統(tǒng)的Windows版本���,啟動一個線程來直接寫入惡意軟件到硬盤中,破壞MBR���,該惡意軟件還自動檢查韓國的防病毒軟件AhnLabs����,并且發(fā)現(xiàn)之后立即禁用��。
詳細(xì)分析:
據(jù) fireeye從樣本分析得出結(jié)論��,在樣本中發(fā)現(xiàn)了HASTATI和PRINCPES兩個字符串���,該字符出出自羅馬軍隊�����,“HASTATI”是指羅馬軍隊步兵部隊三大隊列中最前面的先鋒部隊����。這個詞的意思是第一列失敗后����,第二、第三列繼續(xù)戰(zhàn)斗�,所以可能是在暗示會發(fā)動第二、第三輪黑客攻擊�����。而 PRINCPES可能是一個拼寫錯誤�����,正確的應(yīng)該是Principes�,Principes是指早期羅馬共和國軍隊中的長槍兵,后劍士�����,他們通常位列在第二戰(zhàn)線。如下圖:
該惡意軟件中存在一個計時器�����,在2013年3月20日下午14:00開始激活�����,該功能通過GetLocalTime API實現(xiàn)���,激活之后執(zhí)行如下操作:
1) taskkill /F /IM pasvc.exe [AhnLab client]
2) taskkill /F /IM Clisvc.exepasvc.exe是AhnLab(注1)的客戶端進(jìn)程����,通過taskkill結(jié)束pasvc.exe進(jìn)程���,如下圖:
惡意軟件會自動識別受感染機(jī)器的操作系統(tǒng)版本���,如果是Windows Vista或以上,那該軟件會枚舉操作系統(tǒng)上的所有文件��,并且使用關(guān)鍵字“HASTATI”或“PRINCPES”來覆蓋文件���,然后刪除所有被覆蓋的文件�,讓硬盤數(shù)據(jù)無法恢復(fù)。如果發(fā)現(xiàn)操作系統(tǒng)是Vista之前的版本��,則覆蓋硬盤的邏輯驅(qū)動器���,如下圖:
下圖顯示惡意軟件枚舉所有物理驅(qū)動器并改寫MBR
使用HASTATI關(guān)鍵字破壞MBR,如下圖:
