卷土重来!攻击索尼影业的MBR Wiper病毒再次攻击韩国核电站

时间：2014-12-25 14:56 来源：360安全播报作者：秩名点击：

最近几周，韩国一家重要核电厂KHNP遭到破坏性恶意软件的攻击。这一恶意软件会消除受影响系统的主引导记录(MBR)。据悉，MBR恶意软件部分是通过韩文字处理器(HWP，韩国常用的应用程序)的一个漏洞进入目标系统的，恶意软件通过多种社会工程引诱受害者打开这些文件。以下是通过感染链实施攻击的概览，这一切都始于一份发送至员工收件箱的钓鱼攻击邮件。

恶意软件行为

趋势科技将MBR wiper病毒命名为TROJ_WHAIM.A，它会在受影响的系统上重写特定类型的文件。这款恶意软件会把自己伪装成系统服务，遭受攻击的系统即使重启病毒也会正常运行。更狡猾的是，它使用的文件名称、服务名称以及描述都是真实合法的Windows服务。这确保了系统服务在粗略检查时并不会发现有任何恶意软件的存在从而逃避检测。

与之前攻击的相似之处是什么?

这一特殊的MBR行为虽然不同寻常，但在之前也曾发现过。我们于2013年3月份发现了这种程序，当时多个韩国政府机构遭到了多起攻击，造成重大破坏。那次的恶意软件利用一系列PRINCPES、HASTAT或者PR!NCPES语句重写了MBR。最近索尼影视遭受的攻击也呈现出类似的MBR清除功能。

这与之前的MBR攻击也有相似之处。上述的三次攻击都通过某种重复字符串重写了MBR。这次攻击重复使用了“Who Am I?”，而索尼影视攻击所使用的字符串是“0xAAAAAAAA”。

破坏性恶意软件及其指令

有人指出索尼影视遭受攻击是因为制作了影片《访谈》。虽然我们不能验证这些说法的真实性，但索尼遭受的攻击与此次攻击有类似指出。我们发现一个Twitter用户向受感染的机器发送了指令。如果指令得不到满足，那么许多KHNP文档会被公布。指令包括关闭韩国的核电厂(为韩国提供29%的用电量)。

暂不能确定攻击者

虽然最近这几起攻击中有非常明显的相似之处，但我们还是不能肯定三次攻击的幕后主使就一定有关联。索尼安全事件被媒体广泛报道，所以也有可能导致一个攻击事件“引发”了新的攻击，他们不一定是有关联的。

进一步分析之后，我们证实如果当前日期时间是2014年10月11：00am往后，TROJ_WHAIM.A会检查系统时间。如果满足这个条件，恶意软件会将注册表HKEY_LOCAL_MACHINE\SOFTWARE\PcaSvcc\finish设置为1，这样便会引发MBR感染，否则会休眠1分钟随后再次检查系统时间。

这次攻击与2013年3月份攻击的相似之处除了MBR感染能力以及对某些字符串进行重写之外，另一相似之处在于它的“定时炸弹”程序。一旦被感染的系统实现了攻击者设定的日期/时间，某种行为便会启动。