研究报告
[非官方中译文]红色警戒(Red Alert)研究报告3.20韩国网络攻击
3月22日上午11:37第五次更新版本, 24小时紧急报告 2013年3月22日 红色警戒(Red Alert)研究报告 3.20韩国网络攻击 版本号1.6 1.0更新版本2013年3月20日下午05:40 1.1更新版本2013年3月20日下午08:45 1.2更新版本2013年3月21日凌晨00:37 1.3更新版本2013年3月21日下午06:57 1.6更新版本2013年3月22日,上午11:37 目前,韩国当局正在调查本周三发生的针对其三大电视台和两大银行的网络攻击,此次攻击导致以上机构的服务器完全瘫痪。本文是针对3月20日网络攻击所用恶意代码的分析报告。 本文源自红色警戒(Red Alert)的某一分析小组,供研究恶意代码所用。 |
保密协议
此代码非常活跃,并保持不断更新。请登录https://www.facebook.com/nshc.red的Red Alert SNS页面下载更新版本。本文由Red Alert团队提供,用于研究分析,但并不承担任何法律责任。
1 绪论
目前,韩国当局正在调查本周三发生的针对其三大电视台和两大银行的网络攻击,此次攻击导致以上机构的服务器完全瘫痪。韩国军队也因担忧朝鲜介入,而提高了警戒级别。
此次攻击影响了韩国YIN、MBC和KBS三大电视台及Shinhan、NongHyup和Jeju三大银行的服务器,使其无法正常工作。
目前,我们正在对此威胁进行细节分析,并确定该恶意代码具有以下的特点和行为。
1.1 状态更新
更新 | 描述 |
第一次更新2013年3月20日下午5:56 | 第一次更新是在2013年3月20日下午1:29:28,当地时间为星期三下午2:20左右。韩国电视台YIN、MBC和KBS及Shinhan、NongHyup和Jeju银行,在他们的PC受到数据删除恶意代码的感染后,致使在当地时间下午2:20左右出现网络故障,服务器断网。该恶意软件被认为是通过这些机构的更新服务器进行传播的。更新服务器是用来对网络中其他PC进行文件和防御更新的服务器。 调查人员认为,该病毒旨在破坏被感染PC的主引导记录,使其无法启动并彻底破坏储存在受感染区域的数据。我们现从多个用户电脑获取一个样本,以下是关于该样本的分析报告。 |
第二次更新2013年3月20日下午8:45 | 韩国攻击事件NSHC研究(Red Alert),更多细节。 我们从恢复的硬盘上收集到其他的恶意代码样本。我们更新了恶意代码的分析结果,并着手对其样本进行动态分析和静态分析。 |
第三次更新2013年3月21日凌晨00:37 | 韩国攻击事件NSHC研究(Red Alert),更多细节。我们已经向政府部门和金融机构提交了报告。恶意代码样本分析结果,主引导记录区(MBR),包括被破坏的卷引导记录(VBR)。 |
第四次更新2013年3月21日下午06:57 | 韩国攻击事件NSHC研究(Red Alert),更多细节。 我们已经向政府部门和金融机构提交了报告,内容为如何尽可能快的我们的数据。我们向用户提供分析结果和安全策略,并关注媒体的推理信息。我们检测恶意代码的真实情况,关注破坏技术的分析,并给出可用的解决方案。数据自动恢复解决方案已经给出,并且数据回复系统已经完成。 |
第五次更新2013年3月22日凌晨00:00 | 韩国攻击事件NSHC研究(Red Alert),更多细节:投放文件。 释放恶意文件的是一个“vti-rescan.exe”文件,它可以毁坏Unix和Linux系统。 |
[表1] 3月20日网络攻击分析报告总结
1.2 攻击目标列表
银行 | Shinhan银行 | 电视台 | KBS |
NongHyup银行 | MBC | ||
Jeju银行 | YIN | ||
NongHyup Life |
[表2] 攻击目标
1.3 恶意代码的基本信息
文件名 | ApcRunCmd_DB4BBDC36A78A8807AD9B15A562515C4 .exe |
大小 | 24KB(24576字节) |
MD5 | db4bbdc36a78a8807ad9b15a562515c4 |
文件类型 | Win32 EXE |
收集信息(Gather) | 秘密/用户需求 |
创建 | 未检测到(文件完整性受损坏) |
修改 | 未检测到(文件完整性受损坏) |
运行 | 未检测到(文件完整性受损坏) |
[表3] ApcRunCmd.exe信息
文件名 | OthDown .exe |
大小 | 24KB(24576字节) |
MD5 | 5fcd6e1dace6b0599429d913850f0364 |
文件类型 | Win32 EXE |
收集信息(Gather) | 秘密/用户信息 |
创建 | 未检测到(文件完整性受损坏) |
修改 | 未检测到(文件完整性受损坏) |
运行 | 未检测到(文件完整性受损坏) |
[表4] OthDown .exe信息
文件名 | AmAgent .exe |
大小 | 24KB(427520字节) |
MD5 | 9263e40d9823aecf9388b64de34eae54 |
文件类型 | Win32 EXE |
收集信息(Gather) | 秘密/用户信息 |
创建 | 未检测到(文件完整性受损坏) |
修改 | 未检测到(文件完整性受损坏) |
运行 | 未检测到(文件完整性受损坏) |
[表5] AmAgent .exe信息
文件名 | vti-rescan .exe |
大小 | 417.5KB(24576字节) |
MD5 | 5fcd6e1dace6b0599429d913850f0364 |
文件类型 | Win32 EXE |
收集信息(Gather) | 秘密/用户信息 |
创建 | 未检测到(文件完整性受损坏) |
修改 | 未检测到(文件完整性受损坏) |
运行 | 未检测到(文件完整性受损坏) |
[表6] vti-rescan .exe信息
2 恶意代码行为
2.1 攻击类型
A. APT
本周三发生了针对韩国银行、保险公司及电视台等多个机构的在线攻击事件,致使这些机构的服务器瘫痪离线。但据Red Alert小组分析,此次攻击并不复杂,也不需要依赖大量基础设施和技术完成。
攻击过程中,该恶意代码关闭了韩国比较常用的两款杀毒产品,AhnLab 和 Haur。尽管如此,此次威胁并不归属APT攻击。
该恶意软件通过重写主引导记录和存储在PC上的数据来擦出windows,然后重启计算机,启动界面提示“系统没有可用的主引导记录并且丢失了驱动信息”。
[图1] ATM错误
2.2 行为流程图
2.2.1 投放文件的行为流程图
[图2]投放文件行为流
2.2.2 恶意代码行为流程图
[图3]恶意代码(ApcRunCmd exe、AmAgent.exe)行为流
2.3 破坏结果
重写主引导记录,致使系统无法正常启动。
(主引导记录)数据显示:
[图4]损坏的电脑
3 投放文件的细节分析(vti-rescan.exe)
3.1 释放恶意代码
A. 在Puty控制台和SCP控制台版本下的恶意代码执行信息。创建shell脚本并运行破坏目标系统(Unix和Lniux)。
[图5] 恶意代码投放文件分析
B. 以下表7中的列创建在%USERPROFILE%/Local Settings/Temp。
[表7]释放的恶意代码信息
C. 你会在下述文件里被发现:因为文件已经创建。
[图6]投放恶意代码
3.2 v3.log文件检测(用于破坏Windows系统)
恶意软件检测是否存在指定文件(C: /windows /temp /~v3.log),如果存在,就会执行AgentBase.exe或ApcRunCmd exe程序。
[图7]v3.log文件检测部分分析
3.3 检测远程管理工具(用于破坏Lniux/Niux系统)
检测远程管理工具文件,达到远程访问的目的。
[图8]检查分析配置文件
3.3.1 服务器信息提取
提取远程管理文件(Felix Deimel、mRmote、VanDyke和SecureCRT),达到远程访问的目的。
[表8]服务器信息提取
A.“mRemote”案例(恶意代码提取帐户信息、密码、主机名和端口等)。
[图9]mRemote提取信息的部分分析
B.从“confCons.xml”文件提取信息。
[表9]confCons.xml提取目标信息
C.恶意代码从VanDyke提取信息,同时还窃取帐户信息和密码、主机名等信息。
[图10]anDyke提取目标信息
D.检测“*.ini”文件并提取目标信息。
[表10]“*.ini”提取目标信息
3.3.2 生成指令前,检测提取服务器信息
A.通过提取特殊指令,获取配置文件里独立的帐户信息、密码、主机名、端口及服务器IP等。
[图11]指令创建后,服务器信息提取
[表11]创建的指令
B.通过创建的指令传输文件,通过Puty访问系统进行下一步破坏。
[图12]创建的指令
C.恶意代码在进程中执行下列指令。
[表12]执行指令
虽然产生上述行为,但具体结果如下:
[表13] “vti-rescan.exe”执行结果
4 攻击代码细节分析(被毁坏的系统)
4.1 主引导记录区重写
重写值:重写主引导记录某些区域的数据和主引导记录区的恶意代码。重写的目标是物理设备,最后执行“shutdown-r-t 0”指令进行重启。
[图13]主引导记录区数据
[图14] PhysicalDrive(被复制值并重启指令)
[图15] 强制关闭pasvc.exe和clisvc.exe进程
4.2 检测恶意代码字符串
ApcRunCmd.exe恶意代码内存中的字符串,覆盖主引导记录的“HASTATI”,pasvc.exe和clisvc.exe强制关闭的命令字符串,重启电脑字符串都可以在这里发现。
[图16]恶意代码字符串
4.3 主体部分:恶意代码分析
根据对ApcRunCmd.exe恶意代码主体部分的分析,目前得到的结果如下:确定有效地v3日志检测、破坏安全产品和主引导记录区。
[图17] ApcRunCmd.exe
4.4 库加载
必须加载恶意代码库。
[图18]库调用
如下,加载库。
[图19]被调用的库
4.5 v3日志检测
ApcRunCmd.exe检测“C: /windows /temp /~v3.log”文件的代码。
[图20]“v3.log”文件检测
4.6 强行终止进程
通过Taskkill指令终止pasvc.exe和clisvc.exe进程。
[图21]强行终止进程
[表14]终止的进程信息
4.7 加载驱动信息
为重写引导区数据,加载物理设备信息。
[图22]加载驱动
4.8 保存字符串以重写引导区信息
为重写引导区内的数据,字符串会暂时保存在缓存里。
[图23]为重写信息被暂时保存在缓存里的字符串
4.9 重写引导区内部分信息
特殊字符串(PRINCPES)重写(512字节)的分区表(56节)。
[图24]引导区重写— 1
重复200次对分析表的重写以防止数据被恢复。
[图25]引导区重写— 2
4.10 系统关闭
破坏引导区并重启系统。
[图26]重启
[图27]系统重启
5 对抗措施
5.1 禁止访问
在解决策略中给出安全方案(附录1)。
5.2 借助专用杀毒工具
5.3 修复主引导记录区
请参见附录2。
何为主引导记录?
在操作计算机时,先于大部分硬盘和系统操作区启动的区域。数据在主引导区加载,然后系统方可运行。
何为卷引导记录?
该区域位于大多数NTFS结构、启动区和类似预定的FAT的额外启动代码存储区前。
[图28]主引导记录和卷引导记录区
6 参考文献
[1] oymynews “broadcaster and shinhan bank, nonghyup computer network is paralyzed”
http://www.ohmynews.com/NWS_Web/View/at_pg.aspx?CNTN_CD=A0001845936
[2] naver news -“Advanced Persistent Threat (APT) attack possibility”
http://news.naver.com/main/read.nhn?mode=LSD&mid=sec&sid1=101&oid=003&aid=0005040322
[3] newdaily-“DDOS AttackNo”
http://www.newdaily.co.kr/news/article.html?no=147550
[4] OhmyStar -'computer network paralysis' KBS "we work hard for the Broadcast problem does not occur"
http://star.ohmynews.com/NWS_Web/OhmyStar/at_pg.aspx?CNTN_CD=A0001846061
[5] chosun newspaper -KBS "limited recovery limited press information"
http://news.chosun.com/site/data/html_dir/2013/03/20/2013032002616.html?news_topR
[6]Kyunghyang newspaper –KBS stance “computer network is down into the today events that occurred”
http://news.khan.co.kr/kh_news/khan_art_view.html?artid=201303201810111&code=960801
[7] Ohmynews -KBS computer network paralysis …articles, transcript direct output
http://www.ohmynews.com/NWS_Web/View/at_pg.aspx?CNTN_CD=A0001845936
[8] ZDNet Korea KISA-“This is peddled byAhnlab and Hauri’smodule,The worry…“
http://www.zdnet.co.kr/news/news_view.asp?artice_id=20130320223523