详细分析韩国网络攻击(Trojan.Hastati)

黑吧安全 发表于:13年04月03日 11:36 [转载] DOIT.com.cn

  • 分享:
[导读]日前,美国安全公司fireeye针对最近韩国遭受的网络攻击做出了一系列分析,在此次网络攻击行为中,使用的恶意软件通过直接访问\\.\PhysicalDrive来破坏硬盘的引导记录(MBR),而且可以删除硬盘上的文件。

日前,美国安全公司fireeye针对最近韩国遭受的网络攻击做出了一系列分析,在此次网络攻击行为中,使用的恶意软件通过直接访问\\.\PhysicalDrive来破坏硬盘的引导记录(MBR),而且可以删除硬盘上的文件。

另一方面,该恶意软件是基于时间触发的,在特定的时间2013年3月20日下午14:00开始检查系统的Windows版本,启动一个线程来直接写入恶意软件到硬盘中,破坏MBR,该恶意软件还自动检查韩国的防病毒软件AhnLabs,并且发现之后立即禁用。

详细分析:

据 fireeye从样本分析得出结论,在样本中发现了HASTATI和PRINCPES两个字符串,该字符出出自罗马军队,“HASTATI”是指罗马军队步兵部队三大队列中最前面的先锋部队。这个词的意思是第一列失败后,第二、第三列继续战斗,所以可能是在暗示会发动第二、第三轮黑客攻击。而 PRINCPES可能是一个拼写错误,正确的应该是Principes,Principes是指早期罗马共和国军队中的长枪兵,后剑士,他们通常位列在第二战线。如下图:

详细分析韩国网络攻击(Trojan.Hastati)

该恶意软件中存在一个计时器,在2013年3月20日下午14:00开始激活,该功能通过GetLocalTime API实现,激活之后执行如下操作:

1) taskkill /F /IM pasvc.exe [AhnLab client]

2) taskkill /F /IM Clisvc.exepasvc.exe是AhnLab(注1)的客户端进程,通过taskkill结束pasvc.exe进程,如下图:

详细分析韩国网络攻击(Trojan.Hastati)

恶意软件会自动识别受感染机器的操作系统版本,如果是Windows Vista或以上,那该软件会枚举操作系统上的所有文件,并且使用关键字“HASTATI”或“PRINCPES”来覆盖文件,然后删除所有被覆盖的文件,让硬盘数据无法恢复。如果发现操作系统是Vista之前的版本,则覆盖硬盘的逻辑驱动器,如下图:

详细分析韩国网络攻击(Trojan.Hastati)

下图显示恶意软件枚举所有物理驱动器并改写MBR

详细分析韩国网络攻击(Trojan.Hastati)

使用HASTATI关键字破坏MBR,如下图:

详细分析韩国网络攻击(Trojan.Hastati)
[责任编辑:张存]
张存
2013年5月7日,全球领先的独立企业数据集成软件提供商Informatica在北京召开了媒体见面会,Informatica公司执行副总裁兼首席营销官Margaret Breya女士和Informatica大中国区总经理王晨杰先生向到会的数十家媒体阐释了Informatica公司最新发展蓝图,共享了数据集成和数据质量管理方面的成功经验,以及布局中国市场的最新思路。
官方微信
weixin
精彩专题更多
存储风云榜”是由DOIT传媒主办的年度大型活动。回顾2014年,存储作为IT系统架构中最基础的元素,已经成为了推动信息产业发展的核心动力,存储产业的发展迈向成熟,数据经济的概念顺势而为的提出。
华为OceanStor V3系列存储系统是面向企业级应用的新一代统一存储产品。在功能、性能、效率、可靠性和易用性上都达到业界领先水平,很好的满足了大型数据库OLTP/OLAP、文件共享、云计算等各种应用下的数据存储需求。
联想携ThinkServer+System+七大行业解决方案惊艳第十六届高交会
 

公司简介 | 媒体优势 | 广告服务 | 客户寄语 | DOIT历程 | 诚聘英才 | 联系我们 | 会员注册 | 订阅中心

Copyright © 2013 DOIT Media, All rights Reserved. 北京楚科信息技术有限公司 版权所有.