韓国では3月20日、複数の銀行や放送局がサイバー攻撃を受け、大規模なコンピュータ障害が発生した。セキュリティ関連企業がそれぞれ攻撃に関する分析結果をブログで報告している。いくつかを紹介しよう。
マカフィーがブログで公開した情報によると、攻撃にはマスターブートレコード(MBR)を破壊するマルウエアが使われた。マルウエアは感染したコンピュータのハードディスクにあるMBRを「PRINCPES」「PR!NCPES」「HASTATI.」のいずれかの文字列で上書きする。
上書きされたMBR
またマルウエアはファイルシステムの一部をランダムにこれら文字列で上書きし、複数のファイルを再現不可能な状態にする。そのため、たとえMBRが復活してもディスク上のファイルは再現できない。
その後、システムは「shutdown -r -t 0」コマンドによって強制的に再起動される。このアクションはコンピュータを起動不能状態にする。なぜならMBRが破壊されているためだ。
再起動後のエラー表示
さらに、マルウエアはMBRを上書きする前に、「taskkill /F /IM pasvc.exe」および「taskkill /F /IM Clisvc.exe」コマンドを使って、韓国製のウイルス対策製品「Ahnlab」と「Hauri」のメインプロセスを停止させようとする。
マカフィーによれば、このマルウエアのコードには通信機能は含まれておらず、リモートホストとやり取りする能力は確認されなかった。システムへのファイル投下や、レジストリーキーの変更なども行わない。このマルウエアの目的は狙ったコンピュータを使用不可能にすることだけと考えられる。
ドロッパー(ハッシュ値は9263E40D9823AECF9388B64DE34EAE54)が1個見つかっており、この攻撃独自のものと思われる。ファイルサイズは418KバイトでUPX圧縮されており、MBR破壊モジュールを「AgentBase.exe」という名前で「%TEMP%」フォルダー内に作成して起動する。また、クリーンな「Putty SSH」クライアントと「Putty SCP」クライアントを%TEMP%内に作成し、ファイルシステムをスキャンして、2つのSSHクライアントの設定ファイルを探す。
マルウエアが設定ファイルを見つけると、リモートシステムにおけるルート権限ユーザーのエントリーを探して接続情報を取得し、Puttyクライアントを使ってシステムへのアクセスが可能かチェックする。
次いでマルウエアは%TEMP%フォルダーに「pr1.tmp」という名前のファイル(ハッシュ値はDC789DEE20087C5E1552804492B042CD)を作成する。このファイルはLinux、HP-UX、SunOS(Solaris)でパーティションに障害を引き起こすBASHシェルスクリプトを含んでいる。
BASHシェルスクリプトの一部
BASHシェルスクリプトはシステムをチェックし、各OSに対応する関数をコールして、ディスクパーティションを上書きしようとする。上書きできない場合は「/kernel/」「/usr/」「/etc/」「/home/」フォルダーの削除を試みる。
マカフィーは同社のデータベースから、同じ基本構造を持つ古いサンプルを見つけた。しかしそれらにMBR破壊機能は無かった。
・E4F66C3CD27B97649976F6F0DAAD9032 E4F66C3CD27B97649976F6F0DAAD9032.bin
・50E03200C3A0BECBF33B3788DAC8CD46 jar_cache1221312510715123682.tmp
これらは2012年8月と10月にユーザー環境で検出された。今回のMBR破壊マルウエアと同じベーシックスタブを持っているが、単純なダウンローダーであり、ウイルス対策プログラムを停止する機能はない。マカフィーの分析では今回の攻撃とは関係なさそうだが、攻撃者が同じマルウエアスタブを使ってMBR破壊コードを作成した可能性はある。
古いサンプルのペイロード
新しいサンプルのペイロード