2015年的平安夜注定让乌克兰伊万诺弗兰科夫斯克地区电力部门官员不“平安”,节日前夕当地时间12.23当地城市电力设施突然不能正常工作,成百上千用户居民家中停电,城市陷入恐慌当中损失惨重。据悉相关研究人员证实此时事件是典型的有黑客组织利用技术制造的APT攻击事件。本次乌克兰多家电厂是被Killdisk恶意软件感染,该组件可以破坏计算机硬盘的某些零件、破坏工业控制 系统的功能。 电力系统作为国家重要基础设施单位,关乎民生更关乎国家安全与稳定。为了避免此类事件在我国出现,东巽科技技术团队在拿到Trojan.Killdisk样本后迅速响应,连夜进行了深度分析。详细结果如下:
Trojan.Killdisk样本分析
一、 样本信息
二、 概述此恶意软件为破坏型木马,一旦运行该木马,系统MBR数据被清空,导致无法开机。相比传统的感染型病毒,此木马更加具有毁灭性,系统大部分文件的数据都被置0,无法恢复。
三、 详细分析木马采用VC++编写,大致执行流程如下图所示:
图1 执行流程示意图
3.1 扫描磁盘扇区破坏启动程序木马试图扫描PhysicalDrive0至PhysicalDrive9共10个物理磁盘扇区,以及网络映射的磁盘,并将扇区数据全部填充为0。
图2 遍历物理磁盘部分反汇编
图3 填充数据部分反汇编
图4 无法开机
3.2 查找制定格式文件并破坏木马通过遍历所有为目录查找指定的文件,文件后缀名如下:
.exe .sys .drv .doc .docx .xls .xlsx .mdb .ppt .pptx .xml .jpg .jpeg .ini .inf .ttf 木马只遍历C盘,找到指定格式文件后将文件路径保存,提供给后续文件损毁使用。
图5 查找制定格式文件IDA F5截图
3.3 强行将文件数据置0 找到指定格式的文件之后,木马先获取文件的大小,然后强行将文件数据全部置为0,对没有权限的文件会进行提权操作。文件中还存在一些没有执行到的破坏性代码,比如:/c format %c: /Y /Q,/c format %c: /Y /X /FS:NTFS,/c format %c: /Y /X /FS:NTFS。
图6 文件数据置0
图7 将所有数据置0
3.4 强行关机完成以上操作之后,木马使用一条系统命令强制让电脑10秒内关机。
图8 强行关机命令
图9 强行关机 四、 检测企业部署铁穹高级持续威胁预警系统之后,能够直接检测发现该恶意程序的行为,不需要进行人工的升级或者干预。如下图所示:图10 样本检测结果
图11 样本测试总结
图12 文件基本信息
图13行为分析结果 – 文件行为
图14行为分析结果 – 进程行为
图15 行为分析结果 – API调用
图16行为分析结果 – 综合行为
五、 安全建议综上分析,此木马造成的损失是毁灭性的,一旦企业的重要服务器被植入这类木马后果不堪设想,配合其他控守类木马,可以达到直接或定时摧毁目标的作用。就此次乌克兰电力门事件,东巽科技网络安全团队总结了以下建议: 1.建议部署东巽科技铁穹系列化产品,建立立体防御体系来监测预警未知的或变种攻击; 2.建议升级病毒库对磁盘进行全面查杀; 3.严格控制系统终端U盘接入和网络磁盘影射等易感染传播操作。 |
|