日前，美國(guó)安全公司fireeye針對(duì)最近韓國(guó)遭受的網(wǎng)絡(luò)攻擊做出了一系列分析，在此次網(wǎng)絡(luò)攻擊行為中，使用的惡意軟件通過直接訪問\\.\PhysicalDrive來破壞硬盤的引導(dǎo)記錄（MBR），而且可以刪除硬盤上的文件。

另一方面，該惡意軟件是基于時(shí)間觸發(fā)的，在特定的時(shí)間2013年3月20日下午14:00開始檢查系統(tǒng)的Windows版本，啟動(dòng)一個(gè)線程來直接寫入惡意軟件到硬盤中，破壞MBR，該惡意軟件還自動(dòng)檢查韓國(guó)的防病毒軟件AhnLabs，并且發(fā)現(xiàn)之后立即禁用。

詳細(xì)分析：

據(jù)fireeye從樣本分析得出結(jié)論，在樣本中發(fā)現(xiàn)了HASTATI和PRINCPES兩個(gè)字符串，該字符出出自羅馬軍隊(duì)，“HASTATI”是指羅馬軍隊(duì)步兵部隊(duì)三大隊(duì)列中最前面的先鋒部隊(duì)。這個(gè)詞的意思是第一列失敗后，第二、第三列繼續(xù)戰(zhàn)斗，所以可能是在暗示會(huì)發(fā)動(dòng)第二、第三輪黑客攻擊。而PRINCPES可能是一個(gè)拼寫錯(cuò)誤，正確的應(yīng)該是Principes，Principes是指早期羅馬共和國(guó)軍隊(duì)中的長(zhǎng)槍兵，后劍士，他們通常位列在第二戰(zhàn)線。如下圖：

該惡意軟件中存在一個(gè)計(jì)時(shí)器，在2013年3月20日下午14:00開始激活，該功能通過GetLocalTime API實(shí)現(xiàn)，激活之后執(zhí)行如下操作：

1)  taskkill /F /IM pasvc.exe [AhnLab client]

2)  taskkill /F /IM Clisvc.exepasvc.exe是AhnLab（注1）的客戶端進(jìn)程，通過taskkill結(jié)束pasvc.exe進(jìn)程，如下圖：

惡意軟件會(huì)自動(dòng)識(shí)別受感染機(jī)器的操作系統(tǒng)版本，如果是Windows Vista或以上，那該軟件會(huì)枚舉操作系統(tǒng)上的所有文件，并且使用關(guān)鍵字“HASTATI”或“PRINCPES”來覆蓋文件，然后刪除所有被覆蓋的文件，讓硬盤數(shù)據(jù)無法恢復(fù)。如果發(fā)現(xiàn)操作系統(tǒng)是Vista之前的版本，則覆蓋硬盤的邏輯驅(qū)動(dòng)器，如下圖：

下圖顯示惡意軟件枚舉所有物理驅(qū)動(dòng)器并改寫MBR

使用HASTATI關(guān)鍵字破壞MBR，如下圖：

最后，通過調(diào)用Winexec API執(zhí)行shutdown -r -t 0，關(guān)閉并重啟操作系統(tǒng)，如下圖：

根據(jù)fireeye公司分析，此次攻擊韓國(guó)的算不上一個(gè)復(fù)雜的惡意軟件，主要是行為主要是破壞硬盤，fireeye公司提供了一個(gè)YARA規(guī)則，來幫助研究人員分析該惡意軟件樣本，如下：

rule Trojan_Hastati{

meta:version = “1″

description = “Korean campaign

strings:

$str11 = “taskkill /F /IM clisvc.exe” ”

$str2 = “taskkill /F /IM pasvc.exe”

$str3 = ” shutdown -r -t 0″

condition

all of them

}

注1：AhnLab，中文名稱為：安博士。1995年成立的安博士有限公司是韓國(guó)首家從事開發(fā)殺毒軟件的企業(yè)，其總部設(shè)在首爾，是全球首批開展信息安全技術(shù)研發(fā)的企業(yè)之一。2000年10月在北京成立了中國(guó)代表處，宣布正式進(jìn)入中國(guó)安全市場(chǎng)，并于2003年成立了北京安博士公司。