朝鲜战争63周年之际针对韩国的DarkSeoul网络攻击仍在继续

朝鲜战争63周年之际针对韩国的DarkSeoul网络攻击仍在继续

非官方中文译文•安天技术公益翻译组 译注

文档信息
原文名称	朝鲜战争63周年之际针对韩国的DarkSeoul网络攻击仍在继续
原文作者	赛门铁克公司	原文发布日期	2013年6月26日
作者简介	赛门铁克公司是一家总部设于美国加利福尼亚州山景城的互联网安全技术厂商，创立于1982年3月1日，在全球有40个国家设有分公司。    http://en.wikipedia.org/wiki/Symantec
原文发布单位	赛门铁克公司
原文出处	http://www.symantec.com/connect/blogs/four-years-darkseoul-cyberattacks-against-south-korea-continue-anniversary-korean-war
译者	安天技术公益翻译组	校对者	安天技术公益翻译组
免责声明	•       本译文译者为安天实验室工程师，本文系出自个人兴趣在业余时间所译，本文原文来自互联网的公共方式，译者力图忠于所获得之电子版本进行翻译，但受翻译水平和技术水平所限，不能完全保证译文完全与原文含义一致，同时对所获得原文是否存在臆造、或者是否与其原始版本一致未进行可靠性验证和评价。 •       本译文对应原文所有观点亦不受本译文中任何打字、排版、印刷或翻译错误的影响。译者与安天实验室不对译文及原文中包含或引用的信息的真实性、准确性、可靠性、或完整性提供任何明示或暗示的保证。译者与安天实验室亦对原文和译文的任何内容不承担任何责任。翻译本文的行为不代表译者和安天实验室对原文立场持有任何立场和态度。 •       译者与安天实验室均与原作者与原始发布者没有联系，亦未获得相关的版权授权，鉴于译者及安天实验室出于学习参考之目的翻译本文，而无出版、发售译文等任何商业利益意图，因此亦不对任何可能因此导致的版权问题承担责任。 •       本文为安天内部参考文献，主要用于安天实验室内部进行外语和技术学习使用，亦向中国大陆境内的网络安全领域的研究人士进行有限分享。望尊重译者的劳动和意愿，不得以任何方式修改本译文。译者和安天实验室并未授权任何人士和第三方二次分享本译文，因此第三方对本译文的全部或者部分所做的分享、传播、报道、张贴行为，及所带来的后果与译者和安天实验室无关。本译文亦不得用于任何商业目的，基于上述问题产生的法律责任，译者与安天实验室一律不予承担。

朝鲜战争63周年之际
针对韩国的DarkSeoul网络攻击仍在继续

赛门铁克公司

2013年6月26日

        昨天，6月25日，朝鲜半岛出现了一系列与朝鲜战争63周年有巧合的网络攻击事件。虽然多起攻击事件都是由多个不同的网络犯罪分子所为，但是昨天查看的其中的一起针对韩国政府网站的DDoS攻击（分布式拒绝服务攻击）与DarkSeoul组织及Trojan.Castov有直接的关联。

        现在，我们能够将多起之前发生的高调攻击事件，除去昨天的攻击之间之外，归结为DarkSeoul组织在过去4年中针对韩国所为。这些攻击事件包括：2013年3月发生的毁灭性攻击Jokra——消除了韩国银行及电视台中不计其数的计算机硬盘驱动器，以及2013年5月针对韩国财务公司的攻击。

        对于DarkSeoul组织而言，执行DDoS攻击以及对关键历史日期进行硬盘清除并不是新鲜事。他们也曾在美国独立日那天对美国进行了DDoS攻击和清除攻击。

图1：DarkSeoul四年间的活动

        DarkSeoul组织的攻击倾向于使用相类似的运行方法。其攻击特征包括：

•        针对韩国高调目标的多阶段、协同攻击

•        破坏性负载，例如配置为触发历史显著日期的硬盘擦除和DDoS攻击

•        以政治主题字符串覆盖磁盘各分区

•        利用合法的第三方补丁机制在整个企业网络进行传播

•        特定加密方法和混淆方法

•        利用特定的第三方网页邮箱服务器来存储文件

•        利用相似的C&C架构

        这些由DarkSeoul 组织所执行的攻击要求具有智能化与协调性，在某些案例中也说明了技术的成熟性。而国家的归属是不同的，韩国某媒体报道指出一项调查，总结了攻击者已朝鲜名义执行工作。Symantec 认为DarkSeoul 攻击会持续下去， 且不考虑该组织是否以朝鲜名义进行，这些攻击具有政治动机，也拥有所需的经济支持以持续进行在韩国组织的网络破坏行动。这些全国范围内的网络破坏攻击已经罕见—Stuxnet 与Shamoon (W32.Disttrack)则是另外两个主要实例。然而DarkSeoul 组织以其所具有的能力，十分独特，从而进行如此引人瞩目的攻击事件和数年的破坏性攻击。

图2：Castov DDoS 攻击

        该Castov DDoS攻击采用以下方法：

•        被破坏的网站会导致下载SimDisk.exe (Trojan.Castov)，一个合法的应用Trojanized版本。

•        SimDisk.exe 将2个文件投放到被破坏的系统上：SimDisk.exe (Clean), 该合法的非Trojanized版本，和SimDiskup.exe（下载器Castov）。

•        下载器Castov连接到一个二次破坏的服务器，下载C.jpg文件（下载器Castov），一个以图片形式呈现的执行性文件。

•        威胁使用Tor 网络，从而下载Sermgr.exe (Trojan.Castov)。

•        Castov会在Windows系统文件夹中投放Ole[VARIABLE].dll 文件(Trojan.Castov)

•        Castov 会从网站服务器上下载此 CT.jpg文件，提供一个ICEWARP网页邮件， 由于ICEWARP公开的漏洞受到迫害。该CT.jpg文件包含一个由Castov使用的时戳，从而使得攻击同步进行。

•        一旦时间到，Castov会投放Wuauieop.exe (Trojan.Castdos)。

•        Castdos开始按照DNS的要求下载Gcc.go.kr DNS服务器， 有效的进行DDoS攻击，影响多个网站。

安天公益翻译（非官方中文译文）下载： 朝鲜战争63周年之际针对韩国的DarkSeoul网络攻击仍在继续[非官方中文译文•安.pdf (404.26 KB, 下载次数: 85)

2015-12-14 15:37 上传

点击文件名下载附件