回归最本质的信息安全

;

新型银行恶意软件变种KillDisk来袭,专攻拉美金融机构

2018年1月17日发布

41,840
0
5

导语:最近,我们捕获到了针对拉美金融机构的磁盘擦除KillDisk的新变种,趋势科技将其检测为TROJ_KILLDISK.IUB

一、背景

最近,我们捕获到了针对拉美金融机构的磁盘擦除KillDisk新变种,趋势科技将其检测为TROJ_KILLDISK.IUB。趋势科技“深度威胁发现”主动阻止与此威胁相关的任何入侵或攻击。初始分析(仍在进行中)显示它可能是另一个payload的组成部分,或是大型攻击的一部分。我们仍在分析这个新的KillDisk变种,并将更新本文因为我们发现了更多细节。

2015年12月下旬,KillDisk以及与网络间谍活动相关的多功能软件BlackEnergy都被用于网络攻击,攻击乌克兰的能源部门以及银行、铁路和采矿业。此恶意软件已演变为数字勒索,影响 Windows和 Linux 平台。与 Petya一样,赎金只是一个诡计而已:KillDisk覆盖和删除文件(并且不将加密密钥存储在磁盘或网络上),因此恢复加密文件是不可能的。

图1: KillDisk感染链

二、投放

这个KillDisk变种看起来像是被另一个进程/攻击者故意投放的。其文件路径(c: windows  dimens.exe)在恶意软件中进行了硬编码,这意味着它与其安装程序紧密结合,或是一个大型程序包的一部分。

图2: 新 KillDisk 变种关闭被感染机器的参数 

KillDisk有一个自毁过程,虽然它并没有真正自删除。它在运行时将其文件重命名为c: windows  0123456789,该字符串在我们分析的样本中是硬编码的。它预期中的文件路径是c: windows  dimens.exe(也是硬编码)。因此,如果执行磁盘取证并搜索dimens.exe,那么搜索

结果将是内容为0x00的新建文件。

三、文件删除

新KillDisk变种从驱动器b:开始遍历所有逻辑驱动器(固定和可移动)。如果逻辑驱动器包含系统目录,则不删除以下目录及子目录中的文件和文件夹:

WINNT
Users
Windows
Program Files
Program Files (x86)
ProgramData
Recovery (case-sensitive check)
$Recycle.Bin
System Volume Information
old
PerfLogs

文件被删除之前,首先被随机重命名。KillDisk将覆盖该文件的第一个0x2800字节,而另一个0x2800字节块则是0x00。

图3: KillDisk覆盖、删除文件

四、磁盘擦除

恶意软件试图将. PhysicalDrive0擦除为. PhysicalDrive4。读取它能够成功打开的每个设备的主引导记录(MBR),用0x00覆盖其第一个0x20扇区,并且使用来自MBR的信息对列出的分区进行进一步的破坏。如果找到的分区不是扩展分区,则会覆盖该磁盘卷的第一个0x10和最后一个扇区。如果找到扩展分区,它将覆盖扩展引导记录(EBR)以及它指向的两个额外分区。

 

图4: 读取扫描 MBR(前两个) 、重写 EBR(最后1个) 

五、进一步的行为

KillDisk有一个数字参数,表示在关闭受感染机器之前等待的分钟数(默认值15)。为重启机器,它将终止这些进程:csrss.exe,wininit.exe,winlogon.exe,lsass.exe。

这样做很可能会强制重启或迫使用户重启机器。例如,终止csrss.exe和wininit.exe会导致蓝屏(BSOD),终止winlogon.exe将提示用户再次登录,而终止lsass.exe将导致重启。KillDisk也使用ExitWindowsEx函数强制重启机器。

图 5:  KillDisk强制重启机器

六、安全措施

KillDisk的破坏能力以及它可能只是大型攻击的一部分,凸显了纵深防御的重要性:从网关、终端、网络到服务器,以进一步减少攻击面。以下是机构应采取的的最佳安全实践:

1、保持系统及其应用程序的更新和修补,防止攻击者利用安全漏洞; 考虑虚拟系统的补丁。

2、定期备份数据并确保其完整性。

3、强化最小特权原则。网络分段和数据分类有助于防止横向移动和进一步暴露。

4、部署安全机制,如应用程序控制/白名单和行为监控,这些机制可以阻止可疑程序运行及异常系统修改。

5、主动监控系统和网络; 启用和使用防火墙、入侵防护和检测系统。

6、实施有效的应急事件响应机制,推动积极的补救措施; 培养安全意识,加强安全态势。

关联Hash (SHA-256):

8a81a1d0fae933862b51f63064069aa5af3854763f5edc29c997964de5e284e5 — TROJ_KILLDISK.IUB

本文翻译自:https://blog.trendmicro.com/trendlabs-security-intelligence/new-killdisk-variant-hits-financial-organizations-in-latin-america/,如若转载,请注明原文地址: http://www.4hou.com/info/news/9952.html

点赞 5
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

TRex

这个人很懒,什么也没留下

发私信

发表评论