關於3/20發生在南韓的網路癱瘓事件

資料來源:nakedsecurity.sophos.comlabs.alienvault.comwww.businessweek.com

南韓兩年來最嚴重的一次網路攻擊,造成三家大型電視台內部網路大當機、部分銀行ATM停止服務、並造成股市大跌0.97%,受害者都是網路業者LG UPlus的客戶。事件一暴發,南韓青瓦台發出聲明「不排除是來自北韓的攻擊」,刻意造成大眾產生某種對立氣氛。但今天BBC、sophoslab、newsweek有近一步的報導指出,這次事件是潛伏在受害電腦的中國製惡意程式,同時間發動攻擊造成的。

惡意程式並非新玩意
根據 sophos lab 報導,該惡意程式又名"DarkSeoul"早在一年前就被偵測出來,且惡意程式中內嵌指令並沒有混淆化。他們更發現 DarkSeoul 的作用是強制停用南韓兩大防毒軟體AhnLab 和 Hauri AV。
圖片來源:sophoslab
惡意程式 DarkSeoul 行為分析
根據alienvult lab 部落格,該惡意程式特碼如下:

ApcRunCmd.exe
db4bbdc36a78a8807ad9b15a562515c4

OthDown.exe
5fcd6e1dace6b0599429d913850f0364
0a8032cd6b4a710b1771a080fa09fb87
f0e045210e3258dad91d7b6b4d64e7f3

來源:vault lab
DarkSeoul 目的是破壞主要開機區塊(MBR),先寫入大量的"HASTATI"到MBR,然後下指令關閉電腦:

shutdown -r -t 0 (windows又中槍...)

因為MBR已經被破壞,受害電腦就再也不能開機,造成服務中斷。同時為了達成目的DarkSeoul 會想辦法打死受害者的防毒軟體(AhnLab Policy Agent - pasvc.exe、Hauri ViRobot - clisvc.exe)。指令如下:

taskkill /F /IM pasvc.exe
taskkill /F /IM clisvc.exe

最後 alienvault lab 發現DarkSeoul 含有三個強烈暗示性的關鍵字,PRINCPES、HASTATI、NCPES。

PRINCPES:譯自於拉丁語的「Princeps」——該字源自於「Princeps Senatus,元老院首席議員」,中文通常譯為第一公民。這原本是古羅馬共和時期的元老院的榮譽職銜,後經屋大維所創建的元首制度中,該職銜即是歷史俗稱羅馬皇帝的正式稱呼。

HASTATI:羅馬共和國早期兵種,最初為矛兵,後來改為劍兵。成為青年兵的都是窮人,他們只負擔得起最基本的裝備(一身輕甲和一面大盾)。後來,成為青年兵的役男,不只有窮人,還有年輕人 - 不過,年輕人一般也是窮人。青年兵在軍中擔當輕步兵的角色。

NCPES:哈,台灣國立體育學院??

結論
從動機來看,攻擊者並不擔心惡意程式碼被反解、分析,更可能希望一戰成名,所以留下清楚的足跡讓人追查、選擇與民眾息息相關的產業為目標讓人不能忽視、發動大規模攻擊讓人留下印象等等。從結果來看,除了服務中斷、股市下跌一些、媒體恐慌,似乎沒有造成嚴重實質傷害,多少證實了此次攻擊以恐嚇或警告為主。將整起事件簡化成北韓打擊南韓並不是完全正確。

留言

這個網誌中的熱門文章

資安JAVA(十一):X-XSS-Protection

資安JAVA(十):X-Content-Type-Options

以 SharpPcap 實作可收聽封包的 C# 程式