日前，美國安全公司fireeye針對最近韓國遭受的網(wǎng)絡(luò)攻擊做出了一系列分析，在此次網(wǎng)絡(luò)攻擊行為中，使用的惡意軟件通過直接訪問\\.\PhysicalDrive來破壞硬盤的引導(dǎo)記錄（MBR），而且可以刪除硬盤上的文件。

另一方面，該惡意軟件是基于時間觸發(fā)的，在特定的時間2013年3月20日下午14:00開始檢查系統(tǒng)的Windows版本，啟動一個線程來直接寫入惡意軟件到硬盤中，破壞MBR，該惡意軟件還自動檢查韓國的防病毒軟件AhnLabs，并且發(fā)現(xiàn)之后立即禁用。

詳細分析：

據(jù)fireeye從樣本分析得出結(jié)論，在樣本中發(fā)現(xiàn)了HASTATI和PRINCPES兩個字符串，該字符出出自羅馬軍隊，“HASTATI”是指羅馬軍隊步兵部隊三大隊列中最前面的先鋒部隊。這個詞的意思是第一列失敗后，第二、第三列繼續(xù)戰(zhàn)斗，所以可能是在暗示會發(fā)動第二、第三輪黑客攻擊。而PRINCPES可能是一個拼寫錯誤，正確的應(yīng)該是Principes，Principes是指早期羅馬共和國軍隊中的長槍兵，后劍士，他們通常位列在第二戰(zhàn)線。如下圖：

該惡意軟件中存在一個計時器，在2013年3月20日下午14:00開始激活，該功能通過GetLocalTime API實現(xiàn)，激活之后執(zhí)行如下操作：

1)  taskkill /F /IM pasvc.exe [AhnLab client]

2)  taskkill /F /IM Clisvc.exepasvc.exe是AhnLab（注1）的客戶端進程，通過taskkill結(jié)束pasvc.exe進程，如下圖：

惡意軟件會自動識別受感染機器的操作系統(tǒng)版本，如果是Windows Vista或以上，那該軟件會枚舉操作系統(tǒng)上的所有文件，并且使用關(guān)鍵字“HASTATI”或“PRINCPES”來覆蓋文件，然后刪除所有被覆蓋的文件，讓硬盤數(shù)據(jù)無法恢復(fù)。如果發(fā)現(xiàn)操作系統(tǒng)是Vista之前的版本，則覆蓋硬盤的邏輯驅(qū)動器，如下圖：

下圖顯示惡意軟件枚舉所有物理驅(qū)動器并改寫MBR

使用HASTATI關(guān)鍵字破壞MBR，如下圖：

最后，通過調(diào)用Winexec API執(zhí)行shutdown -r -t 0，關(guān)閉并重啟操作系統(tǒng)，如下圖：

根據(jù)fireeye公司分析，此次攻擊韓國的算不上一個復(fù)雜的惡意軟件，主要是行為主要是破壞硬盤，fireeye公司提供了一個YARA規(guī)則，來幫助研究人員分析該惡意軟件樣本，如下：

rule Trojan_Hastati{

meta:version = “1″

description = “Korean campaign

strings:

$str11 = “taskkill /F /IM clisvc.exe” ”

$str2 = “taskkill /F /IM pasvc.exe”

$str3 = ” shutdown -r -t 0″

condition

all of them

}

注1：AhnLab，中文名稱為：安博士。1995年成立的安博士有限公司是韓國首家從事開發(fā)殺毒軟件的企業(yè)，其總部設(shè)在首爾，是全球首批開展信息安全技術(shù)研發(fā)的企業(yè)之一。2000年10月在北京成立了中國代表處，宣布正式進入中國安全市場，并于2003年成立了北京安博士公司。