NSFOCUS【預警通告】新型KillDisk變種攻擊拉丁美洲金融機構
2018-01-18

NSFOCUS【預警通告】新型KillDisk變種攻擊拉丁美洲金融機構

       近日,一種新型的KillDisk變種攻擊被發現,該攻擊主要針對拉丁美洲地區的金融機構。經初步研究表明,該攻擊可能是另一個有效載荷的一部分,或者背後存在著更大規模的攻擊。

 

KillDisk背景

       KillDisk在2015年12月份發現被用於攻擊烏克蘭的能源系統,以及銀行、鐵路和採礦等行業。該惡意軟體逐漸轉變成為一種網路勒索威脅,危及Windows和Linux平臺。KillDisk生成的贖金資訊是用來欺騙使用者的,由於KillDisk會覆蓋或者刪除檔並且不會保存加密金鑰,因此用戶想要恢復檔是不可能的。

 

KillDisk攻擊行為

1: KillDisk攻擊感染流程

 

感染主機

       該KillDisk變種目前看來是由另一個進程或者惡意軟體釋放安裝的,並且檔路徑是硬編碼的(c:windowsdimens.exe),這表明它應該是和安裝包一起使用的,或者是攻擊框架的一部分。

       該變種還有一個自毀功能,但並不是真正的刪除自己,而是在運行時將檔重命名(c:windows123456789),這個字串也是硬編碼的。KillDisk的原始檔路徑為(c:windowsdimens.exe),因此在磁片取證過程中如果搜索了dimens.exe,找到的將會是一個大小為0位元組的新生成的檔。

 

刪除檔

       該變種從驅動器b:開始,遍歷所有的磁碟分割,如果其中包括系統目錄,則以下目錄/子目錄中的檔/資料夾不會被刪除:

  • WINNT

  • Users

  • Windows

  • Program Files

  • Program Files (x86)

  • ProgramData

  • Recovery(大小寫敏感檢查)

  • $Recycle.Bin

  • System Volume Information

  • Old

  • PerfLogs

       該變種在刪除檔之前會先隨機重命名檔,隨後會使用0x00覆蓋檔的前0x2800位元組。

2KillDisk先覆蓋再刪除檔

 

清除磁片

       該變種會枚舉磁片從.PhysicalDrive0 到 .PhysicalDrive4,讀取每一個成功打開的設備的主引導記錄(MBR)並且使用“0x00”覆蓋前0x20磁區。隨後,該變種會利用從MBR讀取的資訊繼續對其他分區進行攻擊。對於非擴展分區,它會覆蓋前0x10和最後一個分區。對於擴展分區,它會覆蓋擴展引導記錄(EBR)以及被關聯的另外2個額外分區。

3KillDisk讀取MBR,隨後覆蓋EBR

 

重啟主機

       該KillDisk變種中存在很多數字參數,這些參數決定著該變種在關閉受感染的主機前需要等待的時間(預設為15分鐘)。在嘗試重啟主機時,該變種會嘗試終止以下進程:

  • 用戶端/伺服器運行子系統 (exe)

  • Windows啟動應用程式(exe)

  • Windows登錄應用程式 (winlogon.exe)

  • 本地安全機構子系統服務 (exe)

       終止這些進程均可能導致強制重啟或者迫使用戶重啟(例如造成藍屏,死機等)。同時,KillDisk也會使用ExitWindowsEx函數來強制重啟機器。

4:重啟機器前的等待時間參數

 

KillDisk防護建議

       鑒於KillDisk的攻擊能力,以及它可能牽扯到更大規模攻擊的可能性,以下為一些防護建議:

  • 保持系統及其應用程式的更新/修補,防止攻擊者利用安全性漏洞。

  • 定期備份資料並確保其完整性。

  • 強化最小特權的原則(least privilege)。網路分段資料分類有助於防止橫向感染和進一步暴露。

  • 部署安全機制,如應用程式控制/白名單和行為監控,這些安全機制可以阻止可疑程式運行並阻止異常系統修改。

  • 主動監控系統和網路; 啟用和使用防火牆以及入侵防護和檢測系統。

  • 實施管理事件回應政策,推動積極的補救戰略。

  • 培養網路安全意識的工作場所,進一步加強組織的安全態勢。

參考連結

 

如有任何問題,查詢或意見請直接與我們聯繫:

電子郵件:pm@fairline.com.tw

電話號碼:02 2658 1818 Ext.221 聯絡人: 林 先生

辦公地址:台北市內湖區瑞光路583巷32號五樓