详细分析韩国网络攻击(Trojan.Hastati)

安全
日前,美国安全公司fireeye针对最近韩国遭受的网络攻击做出了一系列分析,在此次网络攻击行为中,使用的恶意软件通过直接访问\\.\PhysicalDrive来破坏硬盘的引导记录(MBR),而且可以删除硬盘上的文件。

日前,美国安全公司fireeye针对最近韩国遭受的网络攻击做出了一系列分析,在此次网络攻击行为中,使用的恶意软件通过直接访问\\.\PhysicalDrive来破坏硬盘的引导记录(MBR),而且可以删除硬盘上的文件。

另一方面,该恶意软件是基于时间触发的,在特定的时间2013年3月20日下午14:00开始检查系统的Windows版本,启动一个线程来直接写入恶意软件到硬盘中,破坏MBR,该恶意软件还自动检查韩国的防病毒软件AhnLabs,并且发现之后立即禁用。

详细分析:

据fireeye从样本分析得出结论,在样本中发现了HASTATI和PRINCPES两个字符串,该字符出出自罗马军队,“HASTATI”是指罗马军队步兵部队三大队列中最前面的先锋部队。这个词的意思是第一列失败后,第二、第三列继续战斗,所以可能是在暗示会发动第二、第三轮黑客攻击。而PRINCPES可能是一个拼写错误,正确的应该是Principes,Principes是指早期罗马共和国军队中的长枪兵,后剑士,他们通常位列在第二战线。如下图:

详细分析韩国网络攻击(Trojan.Hastati)

 

该恶意软件中存在一个计时器,在2013年3月20日下午14:00开始激活,该功能通过GetLocalTime API实现,激活之后执行如下操作:

1)  taskkill /F /IM pasvc.exe [AhnLab client]

2)  taskkill /F /IM Clisvc.exepasvc.exe是AhnLab(注1)的客户端进程,通过taskkill结束pasvc.exe进程,如下图:

详细分析韩国网络攻击(Trojan.Hastati)

恶意软件会自动识别受感染机器的操作系统版本,如果是Windows Vista或以上,那该软件会枚举操作系统上的所有文件,并且使用关键字“HASTATI”或“PRINCPES”来覆盖文件,然后删除所有被覆盖的文件,让硬盘数据无法恢复。如果发现操作系统是Vista之前的版本,则覆盖硬盘的逻辑驱动器,如下图:

详细分析韩国网络攻击(Trojan.Hastati)

下图显示恶意软件枚举所有物理驱动器并改写MBR

详细分析韩国网络攻击(Trojan.Hastati)

使用HASTATI关键字破坏MBR,如下图:

详细分析韩国网络攻击(Trojan.Hastati) 

最后,通过调用Winexec API执行shutdown -r -t 0,关闭并重启操作系统,如下图:

详细分析韩国网络攻击(Trojan.Hastati)

 

根据fireeye公司分析,此次攻击韩国的算不上一个复杂的恶意软件,主要是行为主要是破坏硬盘,fireeye公司提供了一个YARA规则,来帮助研究人员分析该恶意软件样本,如下:

rule Trojan_Hastati{

meta:version = “1″

description = “Korean campaign

strings:

$str11 = “taskkill /F /IM clisvc.exe” ”

$str2 = “taskkill /F /IM pasvc.exe”

$str3 = ” shutdown -r -t 0″

condition

all of them

}

注1:AhnLab,中文名称为:安博士。1995年成立的安博士有限公司是韩国首家从事开发杀毒软件的企业,其总部设在首尔,是全球首批开展信息安全技术研发的企业之一。2000年10月在北京成立了中国代表处,宣布正式进入中国安全市场,并于2003年成立了北京安博士公司。

责任编辑:蓝雨泪 来源: FreebuF
相关推荐

2013-06-28 16:09:01

2009-09-25 14:23:39

2009-09-28 10:39:01

Hibernate基础

2014-11-13 09:57:43

2009-09-14 16:21:34

LINQ To XML

2009-09-09 09:48:43

Linq延迟加载

2009-06-18 14:00:51

2009-10-10 13:52:57

VB Update方法

2009-09-14 13:50:35

LINQ编程模型

2009-11-20 13:11:44

Oracle XML数

2009-09-08 15:56:50

Linq使用Group

2010-01-06 13:50:37

.NET Framew

2009-07-14 23:33:21

2009-03-24 08:30:54

AndroidGoogle移动os

2009-09-07 13:19:44

C#线程同步

2009-09-03 17:57:06

C#声明事件

2009-12-16 14:09:14

Visual Stud

2009-12-07 15:37:00

WCF控件

2010-04-26 18:17:19

Oracle存储过程

2009-09-04 15:43:07

C#流模型
点赞
收藏

51CTO技术栈公众号