MBR攻击韩国核电厂分析

最近几周，韩国一家主要核电厂KHNP遭到破坏性恶意软件的攻击。这一恶意软件旨在消除受影响系统的主引导记录（MBR）。据悉，MBR恶意软件部分是通过韩文字处理器（HWP，韩国常用的应用程序）的一个漏洞进入目标系统的，恶意软件通过多种社会工程引诱受害者打开这些文件。以下是通过感染链实施攻击的概览，这一切都始于一份发送至员工收件箱的钓鱼攻击邮件。

（MBR攻击感染链）

恶意软件行为

我们将发现的恶意软件命名为TROJ_WHAIM.A。它是一款相当明了的清除器，此外，它还会在受影响的系统上重写特定类型的文件。这款恶意软件在受影响设备上是作为一种服务进行安装的，以确保无论系统何时重启它都会运行。更狡猾的是，它使用的文件名称、服务名称以及描述都是真实合法的Windows服务。这确保了系统服务在粗略检查时并不会发现有任何恶意软件的存在从而逃避检测。

（TROJ_WHAIM.A使用的合法服务名称一览表）

与之前的MBR攻击的相似之处是什么？

这一特殊的MBR行为虽然不同寻常，但在之前也曾发现过。我们于2013年3月份发现了这种程序，当时多个韩国政府机构遭到了多起造成重大破坏的攻击。那次的恶意软件利用一系列PRINCPES、HASTAT或者PR!NCPES语句重写了MBR。最近索尼影视遭受的攻击也呈现出类似的MBR清除功能。

这与之前的MBR攻击也有相似之处。上述的三次攻击都通过某种重复字符串重写了MBR。这次攻击重复使用了“WhoAm I?”，而索尼影视攻击所使用的字符串是“0xAAAAAAAA”。

（启动受感染系统中可见的“Who Am I”信息截图）

破坏性恶意软件及其指令

有人指出索尼影视遭受攻击是因为制作了影片《访谈》。虽然我们不能验证这些说法的真实性，但索尼遭受的攻击与此次攻击有相似之处。我们发现一个Twitter用户向受感染的机器发送了指令。如果指令得不到满足，那么许多KHNP文档会被公布。指令包括关闭韩国的核电厂（为韩国提供29%的用电量）。

没有明确的归属

虽然这些攻击的行为有很多明确的相似之处，但并不足以得出幕后黑手相关联的结论。这三起攻击均已有据可查，并且一种可能情况是，每次攻击背后的主谋是受到其他攻击的“鼓励”而实施的。没有充分的证明我们不能做出任何结论。

这些攻击显示，MBR清除恶意软件是一种系统管理人员必须处理的威胁，而且并非所有的针对性攻击对策都是有效的。降低这些攻击的带来的危害应该成为防御纵深网络的一部分。

进一步分析之后，我们证实如果当前日期时间是2014年10月上午11：00往后，TROJ_WHAIM.A会检查系统时间。如果满足这个条件，恶意软件会将注册表HKEY_LOCAL_MACHINE\SOFTWARE\PcaSvcc\finish设置为1，这样便会引发MBR感染，否则会休眠1分钟随后再次检查系统时间。

这次攻击与2013年3月份攻击的相似之处除了MBR感染能力以及对某些字符串进行重写之外，另一相似之处在于它的“定时炸弹”程序。一旦被感染的系统实现了攻击者设定的日期/时间，某种行为便会启动。

最新进展

12月25日媒体最新报道称，韩国发现这起攻击是通过三个不同的VPN服务提供商实现的，分别位于美国、日本及韩国，且发动此次攻击的原始IP地址来自中国沈阳市。韩国因此寻求中国政府帮助。据悉，这次攻击并未对核电设施造成损害。

本文由测腾代码卫士编译，不代表测腾观点，转载请注明“转自测腾代码卫士www.codesafe.cn”。