我們在一月看到了磁碟清除病毒KillDisk攻擊在拉丁美洲的幾家金融機構。其中一次攻擊的目標是組織內連接SWIFT網路的系統。
而在五月,我們在同一個區域發現會清除開機磁區的惡意軟體。其中一個受害組織是一家銀行,讓其系統好幾天無法使用,也讓營運中斷了將近一個禮拜而無法提供客戶服務。我們的分析發現這起攻擊僅是用來分散注意力,最終的目的是進入能夠連接銀行SWIFT網路的系統。
一開始發現是電腦開機磁區出現問題。根據我們的測試所看到的錯誤訊息,可以確認這是另一個(可能是新的)KillDisk變種。這訊息在感染MBR病毒的系統很常見,但在其他類型的惡意軟體(如勒索病毒)並不常見,有些人一開始認為這就是罪魁禍首。趨勢科技將此威脅偵測為TROJ_KILLMBR.EE和TROJ_KILLDISK.IUE(病毒碼;14.281.00)。
光看這行為很難判斷這起攻擊是隨機性的網路犯罪活動或是像我們之前一月所看到,是組合式攻擊的一部分。
圖1、開機磁區被覆寫後的錯誤訊息
初步分析
我們找到了可能是2018年五月攻擊所用的病毒樣本。執行之後也如預期的破壞了開機磁區(見圖1)。初步分析這個檔案後顯示它是用Nullsoft腳本安裝系統(NSIS)所製作,這是用來製作安裝程式的開放原始碼工具。駭客利用此工具並故意地將其命名為“MBR Killer”。儘管這樣本利用VMProtect(防止被逆向工程的虛擬化保護工具)加以保護,但我們仍然能夠確認它能夠清除實體硬碟的第一個磁區,如圖2所示。
我們在這樣本中沒有發現其他新或值得注意的行為。程式碼中看不出命令和控制(C&C)基礎設施或通訊相關訊息,或是類似勒索病毒的行為。這惡意軟體中沒有與網路有關的行為跡象。
圖2、惡意軟體命名為“MBR Killer”(上)。程式碼片段顯示其會清除硬碟的第一個磁區(下)
圖3、惡意軟體進行MBR清除動作
惡意軟體如何破壞中毒電腦硬碟
這個惡意軟體會清除中毒系統內找到的所有實體硬碟。以下是它如何進行MBR清除的動作:
- 它使用API CreateFileA到\\.\PHYSICALDRIVE0找出硬碟。
- 利用“0x00”覆寫磁碟的第一個磁區(512字元)。第一個磁區是磁碟的開機區(MBR)。
- 它會持續上述兩個步驟到\\.\PHYSICALDRIVE1,\\.\PHYSICALDRIVE2,\\.\PHYSICALDRIVE3等,只要找得到硬碟就會一直進行下去。
- 然後會用API ExitWindows來強制關閉電腦。
在呼叫API時,主執行檔會植入組件檔%User Temp%/ns{5 random characters}.tmp/System.dll。然後主執行檔會載入DLL檔案,它提供呼叫API所需的匯出函式“Call”。
防護措施和最佳實作
這隻惡意軟體的破壞力會讓中毒電腦無法運行,也更加強調了縱深防禦的重要性:建立安全防護陣列來涵蓋組織IT基礎架構的各個層面,從閘道和端點,到網路和伺服器。以下是一些組織可以用來抵禦這類威脅的最佳實作:
- 確認並解決安全間隙。定期修補和更新網路、系統和軟體/應用程式來避免遭受已知的漏洞攻擊。建立嚴格的修補管理策略並考慮虛擬修補技術,特別是在舊的系統上。定期備份資料並確保其完整性。
- 防護關鍵的基礎設施。保護儲存和管理個人及企業資料的基礎設施。SWIFT有一個客戶安全計劃(CSP)為金融機構的SWIFT系統提供強制性和建議性的防護措施。其中包括了虛擬修補、漏洞掃描、應用程式控制和SWIFT相關應用程式的完整性監控。
- 落實最低權限原則。限制對關鍵資料的存取。網路分段以限制使用者或程式對網路的存取;資料分類按重要性來組織資料,這樣可以盡量減少暴露於惡意攻擊或遭受資料外洩的可能性。限制存取或使用系統管理工具(如PowerShell,命令行工具)以防止它們受到濫用。停用過時和不需要的系統或應用程式組件。
- 主動監控內部網路。部署多一層的安全防護機制可更進一步地阻止攻擊者。防火牆與入侵偵測和防禦系統有助於抵禦網路攻擊,應用程式控制和行為監控可以防止可疑和不需要的檔案或惡意程式執行。網址分類也有助於防止惡意軟體下載。
- 培養網路安全文化。許多惡意威脅都利用社交工程攻擊成功。例如能夠察覺垃圾郵件和網路釣魚郵件就可以大大地幫助阻止郵件威脅。
- 建立主動的事件處裡策略。建立事件處裡策略來補足防禦措施,提供可操作的威脅情報和洞察力來協助IT和資訊安全團隊主動找出、檢測、分析、關聯和反應威脅。
趨勢科技解決方案
- 趨勢科技的XGen安全防護提供跨世代的混合威脅防禦技術,可抵禦資料中心、雲端環境、網路和端點所面臨的各類威脅。它具備高保真機器學習功能來保護閘道和端點資料及應用程式,並保護實體、虛擬和雲端的工作機。透過網頁/網址過濾、行為分析和客製化沙盒等功能讓XGen能夠抵禦今日特製用以繞過傳統安全防護的惡意威脅,針對已知、未知或未披露的漏洞攻擊,或是竊取/加密個人的身份資料。智慧化、最佳化以及互相連結,XGen技術驅動趨勢科技一系列的安全解決方案:Hybrid Cloud Security,User Protection和Network Defense。
入侵指標(IoCs):
相關雜湊值:
SHA256: a3f2c60aa5af9d903a31ec3c1d02eeeb895c02fcf3094a049a3bdf3aa3d714c8
SHA1: 2aa3803869edee7fa1ab7cf96d992ccfecc89e7b
MD5: 9e33143916f648ec338f209eb0bd4789SHA256:1a09b182c63207aa6988b064ec0ee811c173724c33cf6dfe36437427a5c23446
SHA1: 2766d7eaf2003f435f1a868b3687355823d34470
MD5: c1831baa5505f5a557380e0ab3f60f48今年一月也曾出現KillDisk的變種病毒攻擊拉丁美洲的金融機構,相關文章以及雜湊值如下:
SHA256:8a81a1d0fae933862b51f63064069aa5af3854763f5edc29c997964de5e284e5
SHA1: 5c2ef418a36799541cec673dd7d9f87371a9e3bd
MD5: 571de903333a6951b8875a73f6cf99c5 - 相關文章: New KillDisk Variant Hits Financial Organizations in Latin America
@原文出處:New KillDisk Variant Hits Latin American Financial Organizations Again 作者:Fernando Mercês(資深威脅研究員)