趨勢科技 T rendLabs 最近取得美國聯邦調查局(FBI)在12月2日警告美國公司之報告中所述的「破壞性」惡意軟體樣本。根據路透社報導,在最近的索尼影視(Sony Pictures)攻擊事件後,美國聯邦調查局發出警訊通知企業對這新的「破壞性」惡意軟體保持警覺。在本文撰寫時,索尼影視(Sony Pictures)入侵外洩事件和美國聯邦調查局所提惡意軟體間的關聯尚未得到確認。
美國聯邦調查局的備忘「#A-000044-mw」描述了惡意軟體的行為,據報其有能力去覆蓋電腦硬碟的所有資料(包括開機磁區),這會讓電腦無法開機。
下面是趨勢科技的調查分析結果:
BKDR_WIPALL惡意軟體分析
我們將美國聯邦調查局報告中介紹的惡意軟體偵測為BKDR_WIPALL。下面是這攻擊感染鏈的快速概覽。
這裡的主要程式為diskpartmg16.exe(檢測為BKDR_WIPALL.A)。BKDR_WIPALL.A的overlap有一組加密的使用者名稱和密碼,如下圖所示:
圖1、BKDR_WIPALL.A的overlap包含加密的使用者名稱和密碼
這些使用者名稱和密碼被發現在惡意軟體樣本的overlap內用XOR 0x67加密,然後用來登入共享網路。一旦登入,惡意軟體會嘗試授予所有人完全的存取權限來存取系統根目錄。
圖2、惡意軟體登入到網路的程式碼片段
植入的net_var.dat包含目標主機名稱列表:
圖3、目標主機名稱
下一個相關的惡意軟體是igfxtrayex.exe(偵測為BKDR_WIPALL.B),由BKDR_WIPALL.A所植入。在它進行真正的惡意行為前會先休眠10分鐘(或如下所示的600,000毫秒):
圖4、BKDR_WIPALL.B(igfxtrayex.exe)休眠10分鐘
圖5、加密的使用者名稱和密碼列表也出現在BKDR_WIPALL.B
圖6、Igfxtrayex.exe主要行為的程式碼片段(BKDR_WIPALL.B)
這個惡意軟體的行為除了會刪除使用者檔案外,還包括停止Microsoft Exchange Information Store服務。當它做完後,惡意軟體會再休眠兩個小時。接著強制系統重開機。
圖七、強制重開機的程式碼片段
它還會以下列參數執行數個名為taskhost{隨機2字元}.exe的自身複本:
- taskhost{隨機2字元}.exe -w – 植入並執行元件Windows\iissvr.exe
- taskhost{隨機2字元}.exe -m – 植入並執行Windows\Temp\usbdrv32.sys
- taskhost{隨機2字元}.exe -d – 刪除所有固定式或遠端(網路)硬碟內的檔案
圖8、惡意軟體刪除在固定式和網路磁碟機內的所有檔案(格式 *.*)
惡意軟體元件被加密和儲存在以下資源:
圖9、BKDR_WIPALL.B惡意軟體元件
此外,BKDR_WIPALL.B存取它試圖覆寫的實體磁碟機:
圖10、BKDR_WIPALL.B覆寫實體磁碟機
同的WIPALL惡意軟體家族,其變種BKDR_WIPALL.D植入BKDR_WIPALL.C,它接著會在Windows目錄中植入檔案walls.bmp。BMP檔如下圖所示:
圖11、植入的桌布
這似乎跟最近11月24日的索尼被駭相關報導內描述的桌布相同,出現「Hacked by #GOP」。所以我們有理由相信這是和最近用於索尼影視(Sony Pictures)攻擊內相同的惡意軟體。
注意,BKDR_WIPALL.C也是植入和BKDR_WIPALL.D相同目錄的igfxtrayex.exe。
我們對索尼被攻擊事件的報導隨著我們看到更多發展而繼續下去。這裡是跟此事件有關的文章列表:
- 分析美國聯邦調查局警訊背後的破壞性惡意軟體 – 分析美國聯邦調查局(FBI)關於警告美國企業的報告中所提到的「破壞性」惡意軟體
- WIPALL惡意軟體帶來索尼被駭事件的#GOP警告 – 此文章討論其他WIPALL惡意軟體變種和它們的主要行為連結到索尼影視(Sony Pictures)員工受感染電腦的#GOP警告
- 索尼影視(Sony Pictures)被駭:我們知道什麼和你該知道什麼 –索尼影視(Sony Pictures)受駭時間表
- 索尼影視(Sony Pictures)企業網路遭受重大攻擊:為何你需要領先針對性攻擊一步 – 談論回應針對性攻擊
@原文出處:An Analysis of the “Destructive” Malware Behind FBI Warnings