[3月22日 11:37 第五次更新, 24小时紧急报告]
2013年3月22日
Red Alert 研究报告
3月20日韩国网络攻击
版本1.6
[1.0版本更新 - 2013/03/20 下午 05:40]
[1.1版本更新 - 2013/03/20 下午 08:45]
[1.2版本更新 - 2013/03/21 上午 00:37]
[1.3版本更新 - 2013/03/21 下午 06:57]
[1.6版本更新 - 2013/03/22 上午 11:37]
Red Alert 研究报告:3月20日韩国网络攻击
非官方中文译文•安天技术公益翻译组 译注 | 文档信息 | 原文名称
| Red Alert Research Report - 3.20 South Korea Cyber Attack
| 原文作者
| Red Alert
| 原文发布日期
| 2013年3月22日
| 作者简介
| NSHC成立于2003 年,是一家专业从事信息安全开始的地下黑客会议,2010 年,扩大业务,包括信息安全解决方案,安全漏洞信息,提供咨询服务/解决方案/提供的信息。
Red Alert是一个NSHC组建的提供信息安全的专业团队,努力通过提供专业的技术信息和培训,创造一个安全的区域并分析信息安全问题。
http://www.nshc.net/
| 原文发布单位
| Red Alert
| 原文出处
| http://training.nshc.net/KOR/Document/virus/20130321_320CyberTerrorIncidentResponseReportbyRedAlert(EN).pdf
| 译者
| 安天技术公益翻译组
| 校对者
| 安天技术公益翻译组
| 免责声明
| • 本译文译者为安天实验室工程师,本文系出自个人兴趣在业余时间所译,本文原文来自互联网的公共方式,译者力图忠于所获得之电子版本进行翻译,但受翻译水平和技术水平所限,不能完全保证译文完全与原文含义一致,同时对所获得原文是否存在臆造、或者是否与其原始版本一致未进行可靠性验证和评价。 • 本译文对应原文所有观点亦不受本译文中任何打字、排版、印刷或翻译错误的影响。译者与安天实验室不对译文及原文中包含或引用的信息的真实性、准确性、可靠性、或完整性提供任何明示或暗示的保证。译者与安天实验室亦对原文和译文的任何内容不承担任何责任。翻译本文的行为不代表译者和安天实验室对原文立场持有任何立场和态度。 • 译者与安天实验室均与原作者与原始发布者没有联系,亦未获得相关的版权授权,鉴于译者及安天实验室出于学习参考之目的翻译本文,而无出版、发售译文等任何商业利益意图,因此亦不对任何可能因此导致的版权问题承担责任。 • 本文为安天内部参考文献,主要用于安天实验室内部进行外语和技术学习使用,亦向中国大陆境内的网络安全领域的研究人士进行有限分享。望尊重译者的劳动和意愿,不得以任何方式修改本译文。译者和安天实验室并未授权任何人士和第三方二次分享本译文,因此第三方对本译文的全部或者部分所做的分享、传播、报道、张贴行为,及所带来的后果与译者和安天实验室无关。本译文亦不得用于任何商业目的,基于上述问题产生的法律责任,译者与安天实验室一律不予承担。 |
目录
1. 简介
1.1 更新的状态
1.2 攻击列表
1.3 恶意软件的基本信息
2. 恶意软件的行为
2.1攻击类型
2.2 行为流
2.3 损害结果
3. 投放器的详细分析 (vti-rescan.exe)
3.1对PC投放恶意软件
3.2 v3.log文件检查 (Windows系统毁坏)
3.3检查远程管理工具(Linux/Unix系统毁坏)
4. 攻击代码详细分析(系统破坏)
4.1. 主引导记录区重写
4.2检查恶意代码字符串
4.3恶意代码主要部分的分析
4.4 加载库
4.5. ’v3.log’文件检查
4.6程序强制终止
4.7加载物理驱动器信息
4.8保留字符串以重写引导区
4.9 重写引导区
4.10系统关闭
5. 应对措施
5.1. 阻止访问
5.2. 专杀工具
5.3. 恢复主引导记录
6. 参考文献
保密协议
这段代码是一个动态文件且时时更新。请参考Red Alert社交网络页面https://www.facebook.com/nshc.redalert去下载更新,这份报告由Red Alert组织撰写。用于 研究使用没有问题,我们不负法律责任。
分析报告在Facebook更新,包括其他资料、文章和样本,能够提供高级服务,参见ISAC页面https://isac.nshc.net。
1. 简介
韩国政府正调查在周三,一起导致三家广播电视公司和两家主要银行服务器崩溃的黑客攻击,并且 由于涉及朝鲜参与,军队提高了警戒级别。
YTN、MBC和KBS电视广播公司,与三家主要银行新韩银行(Shinhan Bank)、农业协同银行(NongHyup Bank)和济州银行(Jeju Bank)服务器受到影响。
我们正在展现威胁的细节分析。我们能够确认恶意软件行为,如下表所示。
1.1 更新的状态
第一次更新 (2013/03/20 05:56 PM)
|
2013年3月20日13:29:28,大概在当地时间周三下午2:20开始。韩国KBS、MBC和YTN广播电视公司,与济州、农业协同和新韩银行,在PC机被删除数据的恶意软件感染之后,注意到计算机网络被攻击脱机。它大概于当地时间周三下午2:20开始。韩国KBS、MBC和YTN广播电视公司,与济州、农业协同和新韩银行,PC机被删除数据的恶意软件感染之后,注意到计算机网络被攻击脱机。这款恶意软件,被确信已从公司计算机系统的更新伺服器扩散。更新伺服器是一台在网络上,面向文件和免疫更新的PC机。
研究者指出,该病毒式代码编写用来毁坏一台受感染PC机的主引导记录,借此使得存储在PC机受影响区域的数据,发生不可引导和不可逆转的损坏。现在,我们从一些用户的PC机获得了一段样本,记录它的结论。
|
第二次更新 (2013/03/20 08:45 PM) |
NSHC对韩国攻击的研究(Red Alert),更加详细。 我们在已恢复的磁盘中收集了另外的恶意软件样本。我们更新了分析恶意代码的结论。我们正在程序中通过动态和静态方式进行分析。
|
第三次更新 2013/03/21 00:37 AM)
|
NSHC对韩国攻击的研究(Red Alert),更加详细。 我们已经向政府机关和金融机构提交了一份报告。恶意软件样本分析报告结论,主 引导记录区(MBR),包括卷引导区记录(VBR)损坏。 |
第四次更新 (2013/03/21 06:57 PM) | NSHC对韩国攻击的更加详细的研究(Red Alert)。
我们已经向政府机关和金融机构提交了一份报告。这份报告也包括了如何尽快恢复数据。我们为用户和安全策略公司提供分析报告。我们对一些媒体报道的推测信息担心。我们仅检查恶意代码的事实。我们关注损坏分析技术,被寄予厚望,并继续 努力复原。完成了从恢复开发支持,到防止已损坏的数据恢复系统造成进一步损坏 的自动化解决方案。 |
第五次更新 (2013/03/22 00:00 AM) |
NSHC对韩国攻击的研究(Red Alert),投放器的文件更加详细。被释放的恶意文件是“vit-rescan.exe”。它损坏Unix/Linux系统。
|
表 1:3月20日 网络攻击分析报告摘要
1.2 攻击列表
银行 | 农业协同银行
|
电视台 | KBS (电视台)
| 新韩银行
| MBC (电视台)
| 济州银行
| YTN (电视台)
| 农业协同银行
|
|
表 2:攻击目标
1.3 恶意软件的基本信息
| 文件名 | ApcRunCmd_DB4BBDC36A78A8807AD9B15A562515C4.exe
| | 大小 | 24.0 KB (24576字节) | MD5 | db4bbdc36a78a8807ad9b15a562515c4
| | 文件类型 | Win32 EXE | 收集 | 机密/用户请求
| | 创建 | 未经核对 (文件完整性被破坏)
| | 修改 | 未经核对 (文件完整性被破坏)
| | 运行 | 未经核对 (文件完整性被破坏)
|
表 3:ApcRunCmd.exe 信息
| 文件名 | OthDown.exe
| | 大小 | 24.0 KB (24576字节) | MD5 | 5fcd6e1dace6b0599429d913850f0364
| | 文件类型 | Win32 EXE | 收集 | 机密/用户请求
| | 创建 | 未经核对 (文件完整性被破坏)
| | 修改 | 未经核对 (文件完整性被破坏)
| | 运行 | 未经核对 (文件完整性被破坏)
|
表 4:OthDown.exe 信息
| 文件名 | AmAgent.exe
| | 大小 | 24.0 KB(24576字节) | MD5 | 5fcd6e1dace6b0599429d913850f0364
| | 文件类型 | Win32 EXE | 收集 | MBC
| | 创建 | 未经核对 (文件完整性被破坏)
| | 修改 | 未经核对 (文件完整性被破坏)
| | 运行 | 未经核对 (文件完整性被破坏)
|
表 5:AmAgent.exe 信息
| 文件名 | vti-rescan.exe
| | 大小 | 417.5KB(427520字节) | MD5 | 9263e40d9823aecf9388b64de34eae54
| | 文件类型 | Win32 EXE | 收集 | MBC
| | 创建 | 未经核对 (文件完整性被破坏)
| | 修改 | 未经核对 (文件完整性被破坏)
| | 运行 | 未经核对 (文件完整性被破坏)
|
表 6:vti-rescan.exe 信息
2. 恶意软件的行为
2.1攻击类型
APT 攻击
在韩国周三,对多家银行、保险公司和电视台发动的在线攻击使目标网络脱机。但据Red Alert组织反馈,这起攻击相对简单,发动应该需要很少基础或专业技术。
发现攻击中使用的恶意代码尝试停用两款在韩国流行的反病毒产品:安博士(AhnLab)和Hauri 反病毒软件。但是,恶意软件几乎不能限定为高级持续性威胁。
此恶意软件用重写它们的主引导记录(MBR)和任何存储在PC机数据的方式,擦除Windows计算,然后指示PC机关机。主引导记录(MBR)和驱动器内容已丢失,使得计算机无法使用。
图 1:自动提款机(ATM)错误
2.2 行为流
2.2.1投放器行为流
图 2:投放器行为流
2.2.2 恶意软件行为流
图 3:恶意软件(ApcRunCmd.exe, AmAgent.exe)行为流
2.3 损害结果
重写一部分主引导记录区(MBR),此系统不彻底引导。
(主引导区记录)数据调节:
图 4:PC的损坏
3. 投放器的详细分析 (vti-rescan.exe)
3.1对PC投放恶意软件
A:代码执行在Putty版本控制台和SCP版本控制台之下。 创建一个运行损坏系统的shell脚本。(目标: Unix, Linux)
图 5:恶意软件分析投放部分
B.在[表-7]下方的文件列表创建于 %USERPROFILE%\Local Settings\Temp
表 7:投放恶意代码信息
C.如下所见:文件被创建。
图 6:投放恶意代码
3.2 v3.log文件检查 (Windows系统毁坏)
如果恶意软件检查存在的文件(C:\windows\temp\~v3.log), 多于恶意软件代码不查找文件。 它执行AgentBase.exe或ApcRunCmd.exe。
图 7:v3.log部分分析文件检查
3.3检查远程管理工具(Linux/Unix系统毁坏)
检查用于远程访问的远程管理工具文件:
图 8:检查和分析配置文件
3.3.1服务器提取信息
提取用于远程访问的远程管理工具文件(Felix Deimel, mRemote, VanDyke, SecureCRT):
表 8:服务器提取信息
A.‘mRemote’案例,恶意软件提取帐号信息、密码、主机和端口等等……)
图 9:‘mRemote’信息提取部分的分析
B以下是表9,‘confCons.xml’文件的提取信息
表 9:‘confCons.xml’提取目标信息
C.恶意软件在‘VanDyke’提取有价值的信息,它也提取程序的账户信息、密码和主机名等等……
图 10:‘VanDyke’提取目标信息
D.检查“*.ini”文件并提取目标信息
表 10:‘*.ini’提取目标信息
3.3.2 命令完成前,核对服务器提取信息.
A.在配置文件中的个别账户信息、密码和端口,服务器IP,用特殊的提取命令生成如下:
图 11:命令生成之后服务器信息提取
表 11:生成的命令
B.通过命令生成传输文件,它通过Putty访问下一个威胁系统
图 12:命令生成
C.恶意代码运行以下命令过程
表 12:可执行命令行
通过以上行为,获得的结果如下所述。
表 13:‘vti-rescan.exe’执行结果
4. 攻击代码详细分析(系统破坏)
4.1. 主引导记录区重写
在部分主引导记录区(MBR)重写值和重写数据,恶意代码在主引导记录区(MBR)之内。重写目标是 物理驱动器。最后"shutdown-r-t 0"命令诱导重启。
图 13:调节数据的主引导记录区(MBR)
图 14:物理驱动器(要复制的值和重启命令)
图 15:pasvc.exe 和 clisvc.exe终止进程
4.2检查恶意代码字符串
在部分主引导记录区(MBR)重写'HASTATI',ApcRunCmd.exe恶意代码字符串所在区,'pasvc.ex 通过终止指令去重启' clisvc.exe进程存在的语法检查并诱导可见。
图 16:恶意代码字符串
4.3恶意代码主要部分的分析
目前结论的主要部分,恶意代码ApcRunCmd.exe确认抵制v3日志文件检查,安全产品和主引导 记录区(MBR)已损坏。
图 17:ApcRunCmd.exe
4.4 加载库
必须加载一个恶意代码需要的库。
图 18:库调用
加载的库如下所示。
图 19:调用的库
4.5. ’v3.log’文件检查
部分“ApcRunCmd.exe”, 检查文件“C:\Windows\temp\~v3.log”:
图 20:‘v3.log’文件检查
4.6程序强制终止
由结束任务进程指令'pasvc.exe','clisvc.exe'结束进程。
图 21:进程强行终止
表 14:终止进程的信息
4.7加载物理驱动器信息
为了重写引导区,加载物理驱动器信息。
图 22:加载物理驱动器
4.8保留字符串以重写引导区
将引导区值重写,暂时存储在缓冲区。
图 23:暂时存储在缓冲区
4.9 重写引导区
在分区表(56个扇区)中的特定字符串(PRINCPES)重写(512个字节) 。
图 24:引导区重写-1
回退添加20个扇区,防止重写的分区表(56个扇区)还原。
图 25:引导区重写-2
4.10系统关闭
损坏引导区并重启系统:
图 26:重启中
图 27:系统重启中
5. 应对措施
5.1. 阻止访问
添加安全解决方案策略(附录1)
5.2. 专杀工具
-http://www.ahnlab.com/kr/site/do ... =v3_agent_24576.exe
-http://cdndown.hauri.co.kr/Kor/vaccine/PrivateVaccine_20130320_02(FG).exe
-http://www.boho.or.kr/kor/download/download_03_1.jsp
5.3. 恢复主引导记录
请参考附录2。
主引导记录(MBR)是什么?
位于大部分硬盘和系统操作区之前的区域,当计算机执行时,数据加载到主引导记录区(MBR),然后操作系统执行。
卷引导记录(VBR)是什么?
位于大部分NTF结构之前的区域,其引导扇区和其他引导代码存储类似于FAT。
图 28:主引导记录(MBR)、卷引导区(VBR)区
6. 参考文献
[1] oymynews “broadcaster and shinhan bank, nonghyup computer network is paralyzed”
http://www.ohmynews.com/NWS_Web/ ... CNTN_CD=A0001845936
[2] naver news - “Advanced Persistent Threat (APT) attack possibility” http://news.naver.com/main/read. ... =003&aid=0005040322
[3] newdaily - “DDOS Attack No”
http://www.newdaily.co.kr/news/article.html?no=147550
[4] OhmyStar - 'computer network paralysis' KBS "we work hard for the Broadcast problem does not occur"
http://star.ohmynews.com/NWS_Web ... CNTN_CD=A0001846061
[5] chosun newspaper - KBS "limited recovery limited press information” http://news.chosun.com/site/data ... 2616.html?news_topR
[6] Kyunghyang newspaper – KBS stance “computer network is down into the today events that occurred” http://news.khan.co.kr/kh_news/k ... 1810111&code=960801
[7] Ohmynews - KBS computer network paralysis ... articles, transcript direct output http://www.ohmynews.com/NWS_Web/ ... CNTN_CD=A0001845936
[8] ZDNet Korea KISA - “This is peddled by Ahnlab and Hauri’s module, The worry...”
http://www.zdnet.co.kr/news/news ... e_id=20130320223523
英文原文报告下载:
Red Alert Research Report - 3.20 South Korea Cyber Attack.pdf
(1.13 MB, 下载次数: 56)
安天公益翻译(非官方中文译文)下载:
Red Alert 研究报告:3月20日韩国网络攻击[非官方中文译本 • 安天实验室译].pdf
(3.22 MB, 下载次数: 60)
| 
发表于 2015-7-16 15:26
