韓国の銀行と放送局が受けたサイバー攻撃については、第一報を本日すでにお伝えしました。その後、Linux コンピュータを消去する機能を持つ追加のコンポーネントもこの攻撃に使われていることが確認されました。
図 1. リモートの Linux コンピュータを標的にする bash wiper スクリプト
Trojan.Jokra のドロッパーには、リモートの Linux コンピュータを消去するモジュールが含まれています。複数のオペレーティングシステムで動作するコンポーネントが確認されることは珍しく、今回のように Linux コンピュータを消去するコンポーネントが Windows マルウェアの内部に仕掛けられているのは異例のことです。このモジュールは Windows 7 と Windows XP のコンピュータで mRemote というアプリケーションを探します。mRemote は、複数のプロトコルに対応したオープンソースのリモート接続マネージャです。mRemote アプリケーションは、接続を保存する設定ファイルを以下のパスで管理しています。
%UserProfile%\Local Settings\Application Data\Felix_Deimel\mRemote\confCons.xml
図 2. mRemote のパス情報の解析
Trojan.Jokra のドロッパーはこの XML ファイルを解析し、ルート権限で SSH プロトコルを使う接続を探します。そして、その接続で使われているパラメータを抽出します。
図 3. mRemote 設定ファイルの接続情報の解析
続いてドロッパーは新しいスレッドを生成し、bash スクリプトを %Temp%\~pr1.tmp に投下します。そのうえで、mRemote の設定ファイルから解析した接続情報を利用して、リモートの Linux コンピュータ上で /tmp/cups として、この一時ファイルをアップロードし、実行します。
図 4. リモートコマンドの実行
この bash スクリプトは、任意の Linux ディストリビューションで動作するように設計された wiper の一種です。SunOS、AIX、HP-UX の各ディストリビューションで特定のコマンドを使って実行されます。消去されるのは、/kernel、/usr、/etc、/home の各ディレクトリです。
シマンテックはこの攻撃の調査を続けており、詳しいことが判明し次第、更新情報をお届けする予定です。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
韓国でいくつかの銀行と放送局がサイバー攻撃を受けたことが、メディアで報じられています。
同国の ISP/電気通信プロバイダのサイトが改ざんされたほか、多くの組織のサーバーが停止しました。
改ざんされたサイトには、手の込んだアニメーション付きの Web ページが表示されます。効果音が流れて 3 つのどくろが現れ、「Whois」集団を名乗る攻撃者の手によると称するメッセージも表示されます。
この攻撃はまず、多数の Web サイトで障害が出始めるという形で明るみに出ました。銀行の利用者がオンライン口座にアクセスできなくなり、他のサイトからも停止しているという報告が相次ぎました。現時点で具体的な詳細はわかっていませんが、攻撃を受けたサイトの多くはハードディスクを消去され、該当するコンピュータは機能不全に陥りました。
シマンテックは、疑わしいマルウェアを Trojan Horse/Trojan.Jokra、WS.Reputation.1 として検出します。
現在、詳しい解析を実行しているところですが、今の段階で、このマルウェアは以下の処理を実行することが確認されています。
- ファイルマッピングオブジェクトを作成し、JO840112-CRAS8468-11150923-PCI8273V という名前で自身を参照する。
- 韓国のウイルス対策/セキュリティ製品ベンダーに関連する次の 2 つのプロセスを停止する。
- ドライブをすべて列挙し、MBR とそこに保存されているデータを “PRINCPES” または “HASTATI.”(末尾にピリオドが付きます)という文字列で上書きする。これによって、ハードディスクの内容がすべて消去されます。
- 攻撃を受けたコンピュータに接続されている、またはマップされているドライブがあれば、そのドライブでも同様の消去処理を実行しようとする場合がある。
- “shutdown -r -t 0” を実行して、コンピュータを強制的に再起動する。MBR とドライブの内容がなくなっているため、システムは使用不可になります。
ディスク消去処理の結果は、現地で報告されたどの主要なシステム停止も変わりません。ディスク消去は目新しい手口ではなく、2012 年 8 月のインシデントでも、中東の多くの組織が W32.Disttrack(Shamoon)という脅威に攻撃され、ハードディスク消去によって同種の被害を受けています。
現在、この攻撃の発信源や、攻撃者が感染先に侵入した方法についての手がかりはありません。攻撃者の真の動機も不明ですが、最近は朝鮮半島で政治的緊張が高まりつつあることから、今回の攻撃は不法な攻撃の一環であるか、民族主義的なハックティビストが悪用した結果と考えられます。
シマンテックは、手に入りしだい、さらに詳しい情報をお届けする予定です。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Earlier today we published our initial findings about the attacks on South Korean banks and local broadcasting organizations. We have now discovered an additional component used in this attack that is capable of wiping Linux machines.
Figure …
It has been reported in the media that several South Korean banks and local broadcasting organizations have been impacted by a cyber attack.
The attack included the defacement of a Korean ISP/telecoms provider and also the crippling of servers belonging to a number of organizations.
The defacement displays an elaborate animated Web page with sound effects, showing three skulls and included a message by the claimed attackers calling themselves the “Whois” team.
The attack was first noticed when a number of websites began to experience problems. Customers of banks could not access their online accounts and reports of other sites being down began to surface. While specific details are not known at this time, it has been reported that a number of sites affected had their hard drives wiped leaving the affected computers in a crippled state.
Symantec detects the suspected malware as Trojan Horse/Trojan.Jokra and WS.Reputation.1.
We are currently performing detailed analysis of it. At this time, we can confirm that the malware performs the following actions:
- Creates a file mapping object to reference itself using the name: JO840112-CRAS8468-11150923-PCI8273V
- Kills two processes relating to local antivirus/security product vendors:
- Enumerates all drives and begins to overwrite MBR and any data stored on it by writing the either the string “PRINCPES” or “HASTATI”. This will wipe all contents of the hard disk.
- The threat may also attempt to perform the same wiping actions on any drives attached or mapped to the compromised computer.
- Forces the computer to reboot by executing “shutdown -r -t 0” which renders the system unusable as MBR and contents of the drive is now missing.
The results of the disk wiping actions are consistent with the major outages reported in that region. Disk wiping is not a new activity, in a separate incident in August 2012, a number of middle eastern organizations were hit by the W32.Disttrack (Shamoon) threat which caused a similar type of damage by wiping hard disks.
There are currently no indications of the source of this attack or how the attackers infiltrated the affected parties. The real motives of the attack are also unclear but in recent times there has been a ramping up of political tensions in the Korean peninsula and these attacks may be part of either a clandestine attack or the work of nationalistic hacktivists taking issues into their own hands.
Symantec will publish further information as it becomes available.