< 索尼影業被駭事件 > GOP 駭客組織給Sony Pictures員工的警告與 WIPALL 惡意軟體變種分析

在此篇文章中，我們將進一步討論其他 WIPALL惡意軟體變種和它們與索尼影視（Sony Pictures）員工受感染電腦內所見#GOP警告相關的主要行為。下面是對此文章所要討論感染鏈的概述：

BKDR64_WIPALL.F停用McAfee服務

WIPALL變種BKDR_WIPALL.C和之前所討論的變種BKDR_WIPALL.B共用程式碼。在BKDR_WIPALL.C案例中、植入的複本命名為igfxtrays{2隨機字元}.exe和用指定參數（-a、-m、-d、-s）執行數個自身複本，其中包含其主要行為。

圖1、BKDR_WIPALL.C的主要惡意軟體行為

值得注意的是BKDR_WIPALL.C會檢查受感染系統是否為64位元。如果發現是在64位元系統上執行，該惡意軟體會植入kph.sys（KProcessHacker驅動程式）和其元件ams.exe（偵測為BKDR64_WIPALL.F）。

我們注意到BKDR64_WIPALL.F用另一個位在其目前目錄的檔案來置換McAfee的即時掃描程式mcshield.exe，原本的mcshield.exe被放到system32目錄。接著，當McAfee服務執行，被置換的執行檔將被執行，而非正常的即時掃描元件，有效地停用防毒軟體運作。

圖2、BKDR64_WIPALL.F從註冊表服務列表中取得McShield.exe路徑：HKLM\CurrentControlSet\services\McShield

圖3、BKDR64_WIPALL.F將正常mcshield.exe移動到System32目錄，並用位在惡意軟體目前目錄內的另一個mcshield.exe替換

BKDR64_WIPALL.F將KprocessHacker安裝為驅動程式服務，並用它來終止下列和McAfee防毒應用程式相關的程序（也列在上面的感染鏈中）。這是額外措施來確保惡意軟體順利執行。

根據我們的分析，惡意軟體BKDR64_WIPALL.F可能使用驅動程式服務，因為它擁有比一般使用者模式應用程式具備更高的權限。這是為了確保程序會被終止。

圖4、BKDR64_WIPALL.F安裝KProcessHacker元件（kph.sys）為服務驅動程式

圖5、BKDR64_WIPALL.F用內建的McAfee防毒軟體相關程序列表來檢查所有正在運行的程序

圖6、它使用KprocessHacker服務驅動程式作為裝置元件來終止程序

追溯#GOP

這起攻擊和我們之前文章所討論到的都可以追溯到名為#GOP或「Guardians of Peace」的駭客團體。

BKDR_WIPALL.A感染鏈（透過其元件BKDR_WIPALL.E）會帶來利用檔案back.jpg和index.wav展示訊息的HTML檔案。這些都被加密並嵌入於元件iissvr.exe（偵測為BKDR_WIPALL.E）。

同樣地，BKDR_WIPALL.D的感染鍊（透過其元件BKDR_WIPALL.C）用植入的圖片檔walls.bmp展示#GOP訊息。

圖7：上圖：BKDR_WIPALL.C植入walls.bmp；

下圖：BKDR_WIPALL.E所載入HTML檔的捲動訊息

有報告認為北韓為這些攻擊的罪魁禍首，而有些人聲稱索尼被駭事件可能是內賊所為。雖然目前都還沒有獲得證實，我們建議使用者在線上保持小心謹慎，確保隱私資料安全。

相關檔案雜湊值：

我們對索尼被攻擊事件的報導隨著我們看到更多發展而繼續下去。這裡是跟此事件有關的文章列表：