在6月25日上午10点左右,韩国青瓦台网站(相当于美国白宫)遭黑客攻击,“黑客”在青瓦台网站首页发布红色文字消息,10时开始发布一条国际“黑客”团体“匿名者”的口号:“我们是‘匿名者’,我们是罗马军团,我们从不宽恕也不会忘记,世界等着我们。”这条信息附有一张韩国总统朴槿惠的照片,持续存在10分钟。
两家网站随后关闭并修复。当天,包括《朝鲜日报》在内的几家韩国主流新闻媒体网络以及执政党新国家党一些地方党部网站同样瘫痪。
利用漏洞入侵网站
在攻击发生后不久,YouTube网站上放出来了一段视频,显示了黑客入侵青瓦台的过程,没多久就被YouTube官网删除。根据视频显示,系统为Solars 10,并且在上面运行的应用是WebSphere WAS,攻击者利用该应用的WAS公告板中的文件上传\下载的漏洞入侵了该网站。
视频中显示了攻击者利用了“w3b_avtix”工具包进行入侵以及提权等操作,以下为被入侵网站列表:
Org | Website |
---|---|
The Blue House | www.president.go.kr |
The Office for Government Policy Coordination | pmo.go.kr/pmo_web/main |
The Ministry of National Defense | www.mnd.go.kr |
The NIS | www.nis.go.kr |
Chosun Ilbo | www.chosun.com |
Daegu Ilbo | www.idaegu.com |
Maeil Shinmun | www.imaeil.com |
Korea Press Foundation | www.kpf.or.kr/index.jsp |
eToday | www.etoday.co.kr |
Saenuri Party Seoul | seoul.saenuriparty.kr |
Saenuri Party Gyeonggi-do | www.visiongg.com |
Saenuri Party Incheon | www.hannaraincheon.or.kr |
Saenuri Party Busan | busan.saenuriparty.kr |
Saenuri Party Ulsan | ulsan.saenuriparty.kr |
Saenuri Party Gyeongnam | gyeongnam.saenuriparty.kr |
Saenuri Party Jeju | jeju.saenuriparty.kr |
Saenuri Party Gyeongsangbuk-do | www.gbsaenuri.kr |
Saenuri Party Gangwon | www.hangangwon.org/ |
DNS服务器的DDOS攻击:
遭到DDOS攻击的两个DNS服务器如下:
ns.gcc.go.kr [152.99.1.10]
ns2.gcc.go.kr [152.99.200.6]
攻击者对这两台服务器发起了大量的查询请求,并且查询速度非常快,间隔非常短,每个查询的数据请求包非常大(1500字节),使得这两台服务器在短时间内负载急剧升高,下面的攻击报文显示了随机子域DNS查询的请求:
在用户的系统中发现的恶意软件如下:
Red Alert team确定,该恶意软件创建时间是2013年6月24日,删除和执行时间是2013年6月25日上午10点。一旦该恶意软件被执行,它会创建一个UDP套接字以及修改目标服务器的DNS记录,并且创建两个线程循环执行操作。恶意软件会生成一个随机字符串,并将子域名优先设置为gcc.go.kr。
该恶意软件调用了内置的sendto函数创建一个数据包,然后重置所有连接,并循环以上这个过程。