FireEye剖析南韓銀行及廣播電視網攻擊

【台北訊，2013 年 3月 21 日】 最新型網路攻擊防護領導廠商FireEye^® 公司，今天針對本周三(3/20)南韓銀行及廣播電視網遭網路攻擊的事件發表完整的剖析。FireEye研究部門總監Rob Rachwald表示：「不同於其他事件，南韓此次惡意軟體攻擊的重心在癱瘓、摧毀被攻擊的系統而非竊取資料。過去，駭客採用分散式阻斷服務 (DDoS) 的手法，攻佔一個國家的基礎設施，2007 年對愛沙尼亞的網路攻擊，2012 年宣稱由伊朗駭客軍團對美國數十家銀行發動的攻擊等，均屬此類。此次南韓攻擊事件的重點是損毀主開機紀錄 (MBR)，抹除硬碟所有資料，並造成電腦當機。同時，此一惡意軟體有定時功能，亦即該軟體原在睡眠狀態中，但設定在特定時間啟動：14:00-20-Mar-2013。」

啟動後該惡意軟體即檢查 Windows 版本，發動一個執行緒，再直接寫入硬碟中，進而毁掉主開機紀錄。最後，此軟體具備回避功能，它會檢查並停用韓國流行的防毒產品 — AhnLabs；這代表駭客顯然是衝著南韓而來。

客戶受影響狀況

FireEye 扺擋了這次攻擊，並偵測、命名此惡意軟體攻擊為 Trojan.Hastati。FireEye 已產出此攻擊的動態威脅情報，客戶將受到保護不會遭駭。動態威脅情報 (Dynamic Threat Intelligence, DTI) 雲端的訂戶，已取得最新的防護能力，可阻止對內的 (inbound)攻擊。

請注意，此惡意軟體不會進行 CnC 回撥 (callback)，完全以破壞中毒主機為目標。它清點 Microsoft Vista 及其後續版本 (Windows 7 / 8) 系統上的所有檔案，將關鍵字「HASTATI」覆寫到所有檔案上，接著刪除被覆寫的檔案，使資料無法復原。而對較早期的 Windows 版本，該惡意軟體會覆寫邏輯磁碟，在損毀/覆寫主開機紀錄後將系統重新開機，進而癱瘓系統。

惡意軟體資料

此惡意軟體有一個計時器，唯有日期和時間在 3 月 20 日下午兩點時才會自行啟動。它會感染本機系統，一旦啟動即終止下列程序：

1) taskkill /F /IM pasvc.exe [the AhnLab client]
2) taskkill /F /IM Clisvc.exe

pasvc.exe 程序是 AhnLab 的用戶端。AhnLab 是韓國非常流行的防毒軟體，因此我們認為該惡意軟體是特別鎖定南韓的。

欲這一步了解背景和更新資料，請造訪 FireEye 部落格：http://www.fireeye.com/blog