2013年3月30日 星期六

南韓大顆首爾( DarkSeoul) 大規模APT攻擊事件


上禮拜資安界發生一個大事件 - 韓國被APT大規模攻擊,也被稱為 DarkSeoul 大顆首爾事件(目前還沒有中文對應的翻譯,所以統一用我翻的...嘿嘿)。規模之大也是前所未有,整個故事值得各界借鏡。各大媒體與廠商都出來嘴砲,不免俗地,我們也來給它湊一嘴 :)

先幫大家回憶一下 3/20 發生哪些事 ? (感謝GD/Chroot 整理)

農協銀行:30 分行 2000台電腦受害,櫃檯業務停止,半數 ATM 停機
新韓銀行:57 分行受害全資料庫停止,全服務停2小時,簽帳卡無法刷
濟州銀行:受害狀況不明行員電腦為主,全部 ATM 停止
KBS 電視:5000 電腦受害,廣播電台停播,釜山晚間停播,官方網站關閉
MBS 電視:800 電腦受害,半數員工停機,外部片源斷線一律筆電作業
YTN 電視:500 電腦受害,電視播送正常,新聞系統停機
LG UPlus ISP:內部電腦被破壞,網站被置換

這三間銀行幾乎是韓國前三大銀行,事件剛發生,甚至韓國國家軍方INFOCON由4提升到3。

Xecure Lab 針對這個事件的惡意程式樣本作了一些研究與探討...

首先先聲明,我們並無參與調查,所有資訊與樣本儘可能從網路上整理出來,再加上使用我們自己的分析產品 XecRay 對該次樣本進行分析。這次的資料我們也在HITCON(台灣駭客年會) 前天舉辦的韓國資安事件座談會中發表。

[廣告插播]
XecRay 是一套 Xecure Lab開發的針對APT攻擊的自動化鑑識與分析工具,以下報告都由XecRay 完成。


以下資訊大都由惡意程式樣本分析鑑識結果彙整而成,希望這些被release樣本多少可以告訴我們部份故事。

注意:部分論點是我就有限資訊所推論,不代表全部事實,僅供參考。

此次事件相關資訊與樣本被公佈的非常少,一來應該是韓國朋友都在 "忙" ,完整的報告都還沒出來。我們花了時間整理後,經過鑑識分析,確定相關的共有10支程式。


一開始被公布樣本是 K01~K04,後來Mila 還公布了 K05與K06。大顆首爾的惡意程式大至上有幾個特徵,是被我們認定跟此事件有直接關係:
  1. 特徵  Disk Wiper
    • MBR 寫入字串 HASTATI, PRINCPES, PR!NCPES
    • 透過 \\.\PhysicalDrive 存取MBR
  2. 建立Section, JO840112-CRAS8468-11150923-PCI8273V
  3. 攻擊設定於 2013-03-20 1400~1500 發作
  4. 幹掉防毒程式
    • AhnLab Policy Agent - pasvc.exe
    • Hauri ViRobot - clisvc.exe
  5. 攻擊與 "Whois Team" 有關連
APT攻擊活動中,掃毒軟體都是第一個倒下的 :(
甚至被拿來派送惡意程式,成為駭客最愛

在好幾個程式中可以看到,駭客以2013-03-20(14:00~15:00)作為攻擊發作時間,這個程式的特徵也被我們認定是與此事件有直接相關




K07樣本執行後會drop一個Html,程式碼中還有 "Hacked By Whois Team",因為在韓國3/20攻擊中,LG UPlus 這個ISP也是被攻擊而且還被換了網頁。


由XecRay自動分析結果可以看到K07有 "Hacked By Whois Team"特徵還疑似有Disk Wipe破壞功能。所以我們認定 K07與此事件有直接相關。


(Reference  http://www.f-secure.com/weblog/archives/00002531.html)

K08是在一些blog中被說是此事件與APT惡意信件有關係,我認為這樣的說法有點牽強,頂多是檔名用了"新韓銀行",目前並沒有直接證據說它是用在此次攻擊的檔案,而且根本不知道這RAR是駭客寄給民眾,還是寄給銀行內部的人。再者K08沒出現我們前面提到DarkSeoul所有的特徵,反而像是一般的Crimeware 或是 BankTrojan。當然是就目前被公開的資訊來分析,我們也期待更多證據能夠出現。

(老實說我們也在賣APT惡意郵件檢測系統,我也很想說這次事件跟 APT Email有關係,不過目前實在證據不夠)


K10是最被討論的樣本,它像是K01樣本的加強版,除了Disk Wiper程式支外,它具備了Unix主機資料破壞的能力,它會在temp下drop
  1. Alg.exe (它是putty)
  2. Conime.exe (它是scp)
  3. AgentBase.exe (它跟K01~04一樣,破壞硬碟的工具)
  4. ~pr1.tmp 這是一個shell script用來清除 SunOS, AIX, HP-UX 與 Linux 資料的惡意script。

透過自帶的putty與scp把script放到unix/linux主機下執行
...這實在好狠 XD

K10裡面被發現一些資訊可能跟至作者有關係,E:\_O_\_N_\work\AutoServerCrasher\Release\AutoServerCrasher.pdb 它暗示程式碼在作者電腦的file path,這目錄 _O_ 有可能是double byte (非英語語系國家),引人遐想 :)


接著 Xecure Lab 整理了這些樣本,如果以Malware的 PE TimeStamp 來劃時間軸的話,可以觀察到幾個很有趣的事實:


K01~K04 是這次事件中最常被各大網站討論的樣本,它的PE Build Time 是 2013:01:31 。

K06與K05樣本雖然跟 DarkSeoul 沒有直接相關,但是因為程式binary結構跟K01~K04極為相似,也許是外殼相同,但是卻不同的payload,K06與K05並不是Disk Wiper,而是Downloader。值得一提的是,K06的被發現時間是在去年 2012-08-30,當時的檔名是 jar_cachexxxxx.tmp,時間與檔名給點提示,會不會早去年的Java Exploit大流行的時候,這malware就已經佈署了!? (這是我臆測)

研究完大顆首爾(DarkSeoul)事件的樣本之後,小弟有幾個心得

  1. 居然沒看到 Backdoor 或是 Trojan樣本,只有攻擊程式,我太失望了。也許是事件才剛發生,資安專家都還在忙著調查,或者主要資訊目前都是被封鎖的,流出來的相信只是一小部份故事。
  2. 攻擊可能開始的時間,駭客的計畫不是在2012-08-30之後就是在2013-01-31之後。肯定的是駭客攻擊佈署一定有數個月之久,不是隨興的攻擊,這就是典型的APT攻擊活動
  3. 是誰幹的??
    每個人都在問。但是就目前線索來看,都沒有IP/Domain資訊可以推論,因為這些樣本都不是具有網路活動的後門。最早的一篇alienvault文章 提到一個IP 103.14.114.156, 引發很多新聞媒體的連想,都在猜攻擊來源。但是我們研判這文章提及的惡意程式並不是 DarkSeoul 事件的樣本,反而像是一般的 Bank Trojan,只是剛好出現的時間巧合,再加上它跟 Bank 有關,所以被誤認了。如同 K08一樣,也被硬說這是 APT Email有關一樣。
我們期待韓國方面會有更多的調查報告出來,讓我們可以好好研究一個真實的國家級APT攻擊的全貌。

新世代戰爭已經開打了!

不過重點是,已經有人被打了... XD 

Birdman, Benson
Xecure Lab


-----
長官 : 如果這樣的APT規模攻擊發生在台灣,我們會怎樣 ?
阿鳥 : 不是發過很多次了嗎? 其實也沒怎麼樣。請長官放心 T_T

----
HITCON 2013, 7/19~20, 歡迎來嘴砲 !
http://hitcon.org/2013/


3 則留言:

  1. 請問,這篇文章可以轉載使用嗎?

    回覆刪除
    回覆
    1. Hi my friend, 歡迎廣推, 註明出處讓我們賣賣菜... THANK YOU

      刪除
  2. 韓辛茹苦,給全世界的關鍵基礎建設一個警惕... orz

    回覆刪除