趨勢科技研究部門發現,南韓同時遭到多種攻擊肆虐,而惡意軟體攻擊正是其中之一。攻擊者鎖定執行 Microsoft Windows、IBM AIX、Oracle Solaris 和 Hewlett-Packard HP-UX 版 UNIX 的系統,展開攻擊。
*本事件也有一說為南韓 DarkSeoul 大規模APT攻擊事件)這些攻擊一開始先寄送魚叉式網路釣魚電子郵件,偽裝成三月份的信用卡帳單明細,電子郵件包含兩個附件,而攻擊便是透過這些附件啟動。Deep Discovery 網路偵測和自訂沙盒分析會對電子郵件進行偵測,識別出惡意軟體,找出攻擊者所使用的外部指令和控制站點。
我們稍早看到了針對南韓的破壞 MBR 之APT攻擊。目前已經對這整起攻擊有了全盤的認識,如何用兩個不同的情境了解整起攻擊,以及為何會造成如此大的損害。最後是我們如何利用趨勢科技 Deep Discover Inspector(DDI)和其他解決方案來保護使用者。
偽造的銀行通知帶來惡意下載程式
在三月十九日,我們看到這起攻擊的第一個跡象,南韓許多單位收到帶有惡意附件檔的垃圾郵件(SPAM),加上聲稱是每月信用卡帳單的資訊。這封郵件偽裝成來自銀行。附件檔其實是個惡意下載程式,會從多個不同網址下載檔案。為了要引隱藏惡意行為,會顯示出一個假網站。
就在這個階段, Deep Discover Inspector(DDI) 透過ATSE(進階威脅掃描引擎)來智慧化的偵測惡意附件檔以保護我們的客戶。接著 Deep Discover Inspector(DDI)會利用沙箱技術來執行附件檔,用以生成網址列表,好立即封鎖這些攻擊。在這個階段所發現的網址會被封鎖。 Deep Discover Inspector(DDI)所提供的資訊加上IT管理者快速的反應就可以確保我們的客戶能夠受到及時的防護。
下面截圖顯示警告訊息:
木馬 MBR 抹除事件
不過大多數報導都專注在MBR抹除程式。它讓許多屬於南韓各單位的電腦進入癱瘓狀態。這MBR抹除程式最先被植入到Windows系統內。被設定到三月廿日下午二點之前都是休眠狀態。一旦到了上述時間,這惡意軟體就會被啟動。它會終止某些進程,搜索以下應用程式所儲存的遠端連線:mRemote和SecureCRT,利用所儲存的憑證來登錄到遠端Unix伺服器:對於AIX,HP-UX和Solaris伺服器,它會抹除其MBR。如果無法抹除MBR,就會刪除/kernel/、/usr/、/etc/、/home/等目錄下的檔案。
接著會用「PRINCPES」、「HASTATI」和「PR!NCIPES」等字串來覆蓋本地磁碟。這惡意軟體接著會自動重新啟動系統。當系統被重新啟動,因為MBR已經損毀,所以系統就無法啟動。
讀者馬上就可以看出這種攻擊會造成重大損害。它會造成Windows、Linux和Unix系統無法啟動,系統管理者也無法快速地修復所造成的損害。而且,就如同我們在之前文章所提到的,想要全面回復原狀可能要耗費許多時間。
這凸顯出好的客製化防禦解決方案對於發現威脅並採取行動的重要性。 Deep Discover Inspector(DDI)可以去識別並提供被證明是有用的資訊給IT管理者,以幫助保護使用者。
@原文出處:How Deep Discovery Protected Against The Korean Cyber Attack
◎延伸閱讀
什麼是 APT進階持續性威脅 (Advanced Persistent Threat, APT)?
《APT 攻擊》南韓爆發史上最大駭客攻擊 企業及個人用戶電腦皆停擺
《APT攻擊/威脅 》 水坑攻擊: 不是去攻擊目標,而是去埋伏在目標必經之路
Mandiant 提出的美國企業被 APT攻擊報告被當作社交工程信件誘餌
想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚
