|
|
馬上注冊���,結交更多好友����,享用更多功能��。
您需要 登錄 才可以下載或查看���,沒(méi)有帳號�?注冊
x
樣本MD5: 7361b64ddca90a1a1de43185bd509b64
病毒家族:Trojan.KillDisk-ICS#APT!1.A38B
木馬目的:破壞計算機系統導致無(wú)法啟動(dòng)
傳播途徑:針對性攻擊(APT),魚(yú)叉攻擊
影響平臺:Win 2000�、Win XP��、Win2003��、Vista�����、Win7 �、Server 2003等
一�、事件背景:
2015年12月23日�,烏克蘭電力公司網(wǎng)絡(luò )系統遭到黑客攻擊����,導致西部地區大規模停電�。根據相關(guān)組織確認���,本次停電是一次蓄謀已久的APT攻擊��,同時(shí)遭到攻擊的還有烏克蘭一些礦業(yè)公司的系統���。本次攻擊是由于電力系統感染了攜帶KillDisk組件的BalckEnergy木馬所致���。
以往監測到的APT事件����,黑客通常使用超級病毒(如:超級工廠(chǎng)���、超級火焰等)對系統進(jìn)行監控���,多數都在潛伏期被捕獲���,未造成較大范圍的影響�����。本次烏克蘭大斷電事件是目前已知的第一起使國家電力供應中斷的黑客攻擊�����,瑞星安全研究院對本次事件出現的KillDisk組件樣本進(jìn)行了詳細分析�。
二��、技術(shù)分析:
該木馬為BalckEnergy的KillDsik組件��,主要功能:修改刪除大量程序����、文檔資料����,使計算機或計算機上的關(guān)鍵系統無(wú)法正常啟動(dòng)��,進(jìn)而影響該計算機關(guān)聯(lián)的相關(guān)業(yè)務(wù)���。主要行為如下:
1. 接受一個(gè)命令行參數設定時(shí)間延遲激活�。
2. 刪除Windows事件日志����,應用程序�����、安全設置����、啟動(dòng)項��、系統���。
3. 破壞計算機的主引導記錄(MBR)��。
4. 結束指定列表系統進(jìn)程��,并修改破壞這些文件��。
5. 結束komut.exe(command)�、sec_service.exe(工業(yè)控制軟件)進(jìn)程��。
6. 破壞或刪除多種指定的文件�����,包括sec_service.exe��。
7. 強制重啟計算機�。
主要行為詳細信息:
1����、結束指定進(jìn)程���,破壞系統運作��。
查找并以下列表中的進(jìn)程�����,使Windows操作系統或業(yè)務(wù)系統不能正常工作�����。
audiodg.exe conhost.exe csrss.exe dwm.exe explorer.exe komut.exe lsass.exe lsm.exe services.exe shutdown.exe smss.exe spoolss.exe spoolsv.exe svchost.exe taskhost.exe wininit.exe winlogon.exe wuauclt.exe sec_service.exe
以下是部分相關(guān)的反編譯代碼展示:
2��、破壞指定文件�����,徹底破壞系統運作�。
針對性破壞sec_service.exe
該木馬不僅會(huì )結束sec_service.exe進(jìn)程���,還會(huì )破壞或刪除sec_service.exe文件���。
根據Eset的報告顯示���,sec_service.exe 很可能為某種工控系統(ICS)程序�����,也可能是Eltima的串口到以太網(wǎng)連接器�。下圖是Eltima公司的sec_service.exe的相關(guān)信息:
破壞指定擴展名的文件��,包括:文檔�����、多媒體資料����、安裝包��、程序等����。
在本地及遠程驅動(dòng)器中查找擴展名在以下列表中且文件大小小于1,048,576的文件�����,覆蓋這些文件的文件內容(文件頭部)
.accdb .bin .bmp .boot .cfg .crt .db .dbf .djvu .doc .docx .exe .ini .iso .jar .jpeg .jpg .lib .mdb .mdf .msi .pdf .ppt .pptx .rar .rtf .sql .tib .tiff .txt .vhd .xls .xlsx .xml .zip
同時(shí)��,還會(huì )在windows目錄下查找以下擴展名的文件���,也同樣覆蓋它們:
.dll .exe .xml .ttf .nfo .fon .ini .cfg .boot .jar
3���、刪除Windows事件日志:應用程序日志�����、安全日志�����、設置日志��、系統日志��。
通過(guò)執行wevtutil.exe來(lái)清除Windows事件日志��,阻止事后審計Windows日志��,切斷此處線(xiàn)索���,以下展示了相關(guān)的反編譯代碼����。
4�、刪除主引導記錄(MBR)
枚舉所有驅動(dòng)器�����,執行刪除前十驅動(dòng)器數據���。每個(gè)驅動(dòng)器從MBR扇區開(kāi)始���,循環(huán)執行256次��,清除256個(gè)扇區的數據�。
5�����、直接重啟計算機�����。
經(jīng)過(guò)之前的破壞行為之后���,直接重啟計算機����,很可能的導致計算機無(wú)法再啟動(dòng)���,進(jìn)而影響該計算機控制的業(yè)務(wù)�����。
三���、KillDisk總結
通過(guò)上述分析報告可以看出���,KillDisk組件有著(zhù)明確的破壞目標和粗暴的破壞手段��,破壞目標包含了用于計算機啟動(dòng)的MBR���,也包含Windows操作系統����,還包含了數據采集與監控系統等工業(yè)控制系統軟件等�����,其最終目的就是破壞攻擊目標的正常業(yè)務(wù)系統�,使相關(guān)業(yè)務(wù)進(jìn)入癱瘓狀態(tài)�����。
從BlackEnergy的歷史來(lái)看��,BlackEnergy主要的攻擊目標應該是烏克蘭��,繼烏克蘭電網(wǎng)被攻擊后����,還陸續爆出烏克蘭的礦業(yè)����、鐵路等系統�,也同樣遭受到了BlackEnergy/KillDisk的威脅���。
四���、瑞星針對BlackEnergy和KillDisk的處理情況
目前為止���,瑞星供截獲BlackEnergy相關(guān)樣本近40個(gè)�����,包含了BlackEnergy的多個(gè)組件����,有釋放器�、Rootkit���、KillDisk組件��、修改過(guò)的DropbearSSH后門(mén)(包含啟動(dòng)器)以及魚(yú)叉攻擊使用的XLS文檔�。這些樣本��,瑞星均可檢測��,相關(guān)病毒名如下:
目前�,所有具備完整反病毒功能的瑞星安全產(chǎn)品�����,均可以檢測BlackEnergy系列木馬��,例如:ESM�、網(wǎng)絡(luò )版����、防毒墻����。
作者:DLer
|
|
IP卡
狗仔卡
收藏
支持
反對
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡
