内衣办公室1-3,xrk1_3_0ark幸福宝,А∨天堂在线一本大道

攻擊索尼的“格盤病毒”又重創了韓國核電站

責編：admin ｜2014-12-27 14:42:07

　　12月21日，一名黑客通過Twitter向韓國水電與核電公司發出嚴重警告，要求官方立即停止運行核電站。同時黑客還公開了包括兩座核電站部分設計圖在內的4份壓縮檔案。值得一提的是，這次事件中所用的木馬竟然又是“格盤病毒”——MBR Wiper。

　　為什么又用？因為前不久鬧得沸沸揚揚的針對索尼影視的攻擊中，黑客使用的正是“格盤病毒”。那么究竟這兩起事件之間有沒有關聯呢？

　　格盤病毒是如何感染計算機的

　　在這次韓國核電站黑客攻擊事件中，攻擊者使用了一款病毒(惡意軟件)，該病毒會擦除感染機器的主引導記錄(MBR)，因此我們稱它為“格盤病毒”。

　　“格盤病毒”是通過文杰文字處理軟件(Hangul Word Processor，HWP)感染電腦的。文杰Office是由韓軟公司(Hansoft)開發的類似微軟Office的一套軟件，在韓國的占有率很高。

　　為了讓受害者打開這些文件，攻擊者使用了大量的社會工程學技巧。以下就是從受害者收到魚叉式釣魚郵件開始的一連串攻擊過程。

　　攻擊索尼的“格盤病毒”又重創了韓國核電站

　　病毒行為

　　趨勢科技將MBR wiper病毒識別為TROJ_WHAIM.A。除了修改MBR，它還會覆蓋特定類型的文件。它將自己偽裝成系統服務，確保每次重啟都能正常運行。它使用真實存在的系統服務所使用的文件名、服務名和服務描述，不細看可能察覺不到異常，以此規避檢測。

　　多次攻擊間的異同

　　這次核電站遭到的“格盤病毒”MBR攻擊雖然罕見，但似曾相識。2013年3月的幾次針對多個韓國政府部門的攻擊中，我們也看到過MBR覆蓋。這次攻擊中所使用的惡意軟件同樣覆蓋MBR引導記錄，它會使用一系列“PRINCPES”，“HASTATI”或者“PR！NCPES”字符串覆蓋MBR。

　　這次的攻擊與之前的攻擊是有相似之處：三次的MBR攻擊中，惡意軟件使用了字符串不斷重復覆蓋MBR。在韓國核電站攻擊中，黑客重復了“Who Am I？”字符串，而在索尼攻擊事件中重復的是“0xAAAAAAAA”。

　　與朝鮮有關？

　　針對索尼影業的黑客攻擊被指是因為諷刺朝鮮的電影《刺殺金正恩》。雖然我們不能夠確定這種觀點的真實性，但在這次攻擊中我們發現了與之相似的地方。

　　我們注意到某個Twitter賬戶向韓國核電站傳達指令，如果不滿足他們的要求，就要發布竊取到的核電公司的文件。黑客其中的一個要求就是關閉核電站(韓國29%的電力是由核電站提供的)。

　　尚未有確切歸因

　　雖然最近這幾起攻擊中有非常明顯的相似之處，但我們還是不能肯定三次攻擊的幕后主使就一定有關聯。索尼安全事件被媒體廣泛報道，所以也有可能導致一個攻擊事件“引發”了新的攻擊，他們不一定是有關聯的。

　　這些攻擊中，MBR wiper病毒越來越顯眼，一個深度防御的網絡應該要把這些威脅考慮進去了。