12月21日，一名黑客通過(guò)Twitter向韓國(guó)水電與核電公司發(fā)出嚴(yán)重警告，要求官方立即停止運(yùn)行核電站。同時(shí)黑客還公開(kāi)了包括兩座核電站部分設(shè)計(jì)圖在內(nèi)的4份壓縮檔案。值得一提的是，這次事件中所用的木馬竟然又是“格盤(pán)病毒”——MBR Wiper。

為什么又用?因?yàn)榍安痪敏[得沸沸揚(yáng)揚(yáng)的針對(duì)索尼影視的攻擊中，黑客使用的正是“格盤(pán)病毒”。那么究竟這兩起事件之間有沒(méi)有關(guān)聯(lián)呢?

[[125230]]

格盤(pán)病毒是如何感染計(jì)算機(jī)的

在這次韓國(guó)核電站黑客攻擊事件中，攻擊者使用了一款病毒(惡意軟件)，該病毒會(huì)擦除感染機(jī)器的主引導(dǎo)記錄(MBR)，因此我們稱(chēng)它為“格盤(pán)病毒”。

“格盤(pán)病毒”是通過(guò)文杰文字處理軟件(Hangul Word Processor,HWP)感染電腦的。文杰Office是由韓軟公司(Hansoft)開(kāi)發(fā)的類(lèi)似微軟Office的一套軟件，在韓國(guó)的占有率很高。

為了讓受害者打開(kāi)這些文件，攻擊者使用了大量的社會(huì)工程學(xué)技巧。以下就是從受害者收到魚(yú)叉式釣魚(yú)郵件開(kāi)始的一連串攻擊過(guò)程。

病毒行為

趨勢(shì)科技將MBR wiper病毒識(shí)別為T(mén)ROJ_WHAIM.A。除了修改MBR，它還會(huì)覆蓋特定類(lèi)型的文件。它將自己偽裝成系統(tǒng)服務(wù)，確保每次重啟都能正常運(yùn)行。它使用真實(shí)存在的系統(tǒng)服務(wù)所使用的文件名、服務(wù)名和服務(wù)描述，不細(xì)看可能察覺(jué)不到異常，以此規(guī)避檢測(cè)。

圖1：病毒所使用的服務(wù)名稱(chēng)

多次攻擊間的異同

這次核電站遭到的“格盤(pán)病毒”MBR攻擊雖然罕見(jiàn)，但似曾相識(shí)。2013年3月的幾次針對(duì)多個(gè)韓國(guó)政府部門(mén)的攻擊中，我們也看到過(guò)MBR覆蓋。這次攻擊中所使用的惡意軟件同樣覆蓋MBR引導(dǎo)記錄，它會(huì)使用一系列“PRINCPES”,“HASTATI”或者“PR!NCPES”字符串覆蓋MBR。

這次的攻擊與之前的攻擊是有相似之處：三次的MBR攻擊中，惡意軟件使用了字符串不斷重復(fù)覆蓋MBR。在韓國(guó)核電站攻擊中，黑客重復(fù)了“Who Am I?”字符串，而在索尼攻擊事件中重復(fù)的是“0xAAAAAAAA”。

[[125231]]

圖2：感染的機(jī)器啟動(dòng)時(shí)看到的‘Who Am I’信息

與朝鮮有關(guān)?

針對(duì)索尼影業(yè)的黑客攻擊被指是因?yàn)橹S刺朝鮮的電影《刺殺金正恩》。雖然我們不能夠確定這種觀(guān)點(diǎn)的真實(shí)性，但在這次攻擊中我們發(fā)現(xiàn)了與之相似的地方。

我們注意到某個(gè)Twitter賬戶(hù)向韓國(guó)核電站傳達(dá)指令，如果不滿(mǎn)足他們的要求，就要發(fā)布竊取到的核電公司的文件。黑客其中的一個(gè)要求就是關(guān)閉核電站(韓國(guó)29%的電力是由核電站提供的)。

尚未有確切歸因

雖然最近這幾起攻擊中有非常明顯的相似之處，但我們還是不能肯定三次攻擊的幕后主使就一定有關(guān)聯(lián)。索尼安全事件被媒體廣泛報(bào)道，所以也有可能導(dǎo)致一個(gè)攻擊事件“引發(fā)”了新的攻擊，他們不一定是有關(guān)聯(lián)的。

這些攻擊中，MBR wiper病毒越來(lái)越顯眼，一個(gè)深度防御的網(wǎng)絡(luò)應(yīng)該要把這些威脅考慮進(jìn)去了。

12月23日更新

在隨后的調(diào)查分析中我們發(fā)現(xiàn)，“格盤(pán)病毒”中的惡意進(jìn)程TROJ_WHAIM.A會(huì)檢查系統(tǒng)時(shí)間是不是晚于2014年12月10日 11:00 AM，如果是，它就會(huì)把注冊(cè)表中的HKEY_LOCAL_MACHINE\SOFTWARE\PcaSvcc\finish值設(shè)為1，然后開(kāi)始覆蓋MBR;如果不是，它會(huì)等一分鐘，然后再檢查。

所以除了MBR這個(gè)相似點(diǎn)以外，另一個(gè)與2013年3月事件相似的地方在于程序的“定時(shí)炸彈”功能，即檢查系統(tǒng)時(shí)間，一旦到了某個(gè)時(shí)間，就開(kāi)始運(yùn)行。