攻击索尼的“格盘病毒”又重创了韩国核电站

安全
12月21日,一名黑客通过Twitter向韩国水电与核电公司发出严重警告,要求官方立即停止运行核电站。同时黑客还公开了包括两座核电站部分设计图在内的4份压缩档案。值得一提的是,这次事件中所用的木马竟然又是“格盘病毒”——MBR Wiper。

12月21日,一名黑客通过Twitter向韩国水电与核电公司发出严重警告,要求官方立即停止运行核电站。同时黑客还公开了包括两座核电站部分设计图在内的4份压缩档案。值得一提的是,这次事件中所用的木马竟然又是“格盘病毒”——MBR Wiper。

为什么又用?因为前不久闹得沸沸扬扬的针对索尼影视的攻击中,黑客使用的正是“格盘病毒”。那么究竟这两起事件之间有没有关联呢?

[[125230]]

格盘病毒是如何感染计算机的

在这次韩国核电站黑客攻击事件中,攻击者使用了一款病毒(恶意软件),该病毒会擦除感染机器的主引导记录(MBR),因此我们称它为“格盘病毒”。

“格盘病毒”是通过文杰文字处理软件(Hangul Word Processor,HWP)感染电脑的。文杰Office是由韩软公司(Hansoft)开发的类似微软Office的一套软件,在韩国的占有率很高。

为了让受害者打开这些文件,攻击者使用了大量的社会工程学技巧。以下就是从受害者收到鱼叉式钓鱼邮件开始的一连串攻击过程。

攻击索尼的“格盘病毒”又重创了韩国核电站 

病毒行为

趋势科技将MBR wiper病毒识别为TROJ_WHAIM.A。除了修改MBR,它还会覆盖特定类型的文件。它将自己伪装成系统服务,确保每次重启都能正常运行。它使用真实存在的系统服务所使用的文件名、服务名和服务描述,不细看可能察觉不到异常,以此规避检测。

 

攻击索尼的“格盘病毒”又重创了韩国核电站

图1:病毒所使用的服务名称

多次攻击间的异同

这次核电站遭到的“格盘病毒”MBR攻击虽然罕见,但似曾相识。2013年3月的几次针对多个韩国政府部门的攻击中,我们也看到过MBR覆盖。这次攻击中所使用的恶意软件同样覆盖MBR引导记录,它会使用一系列“PRINCPES”,“HASTATI”或者“PR!NCPES”字符串覆盖MBR。

这次的攻击与之前的攻击是有相似之处:三次的MBR攻击中,恶意软件使用了字符串不断重复覆盖MBR。在韩国核电站攻击中,黑客重复了“Who Am I?”字符串,而在索尼攻击事件中重复的是“0xAAAAAAAA”。

[[125231]]

图2:感染的机器启动时看到的‘Who Am I’信息

与朝鲜有关?

针对索尼影业的黑客攻击被指是因为讽刺朝鲜的电影《刺杀金正恩》。虽然我们不能够确定这种观点的真实性,但在这次攻击中我们发现了与之相似的地方。

我们注意到某个Twitter账户向韩国核电站传达指令,如果不满足他们的要求,就要发布窃取到的核电公司的文件。黑客其中的一个要求就是关闭核电站(韩国29%的电力是由核电站提供的)。

尚未有确切归因

虽然最近这几起攻击中有非常明显的相似之处,但我们还是不能肯定三次攻击的幕后主使就一定有关联。索尼安全事件被媒体广泛报道,所以也有可能导致一个攻击事件“引发”了新的攻击,他们不一定是有关联的。

这些攻击中,MBR wiper病毒越来越显眼,一个深度防御的网络应该要把这些威胁考虑进去了。

12月23日更新

在随后的调查分析中我们发现,“格盘病毒”中的恶意进程TROJ_WHAIM.A会检查系统时间是不是晚于2014年12月10日 11:00 AM,如果是,它就会把注册表中的HKEY_LOCAL_MACHINE\SOFTWARE\PcaSvcc\finish值设为1,然后开始覆盖MBR;如果不是,它会等一分钟,然后再检查。

所以除了MBR这个相似点以外,另一个与2013年3月事件相似的地方在于程序的“定时炸弹”功能,即检查系统时间,一旦到了某个时间,就开始运行。

责任编辑:蓝雨泪 来源: FreeBuf
相关推荐

2013-11-11 11:01:08

2016-10-18 14:36:46

2011-11-29 14:13:22

StrixMesh

2014-02-13 15:19:49

2023-08-21 13:33:39

2022-03-30 12:16:17

能源部门Triton系统供应链攻击

2023-11-14 17:18:45

AI人工智能

2011-09-22 13:38:15

2012-03-01 14:31:30

2011-09-21 18:02:16

2019-12-31 13:01:28

物联网智能家居网络安全

2017-05-22 11:16:35

2019-05-25 11:19:03

华为开发者存储

2019-03-04 08:38:08

2011-05-18 20:46:39

笔记本评测

2013-08-13 12:57:47

炎黄盈动BPM

2015-10-08 13:54:18

2013-03-21 09:24:28

点赞
收藏

51CTO技术栈公众号