ニュース - [続報]韓国への大規模サイバー攻撃、攻撃内容はハードディスクの破壊:ITpro(情報元のブックマーク数)
ネ申のまとめきました!こっちを読んでね!
資産管理サーバ(セキュリティベンダーがやってる)のにマルウエアが埋め込まれたみたい。
冒頭紹介したまとめ記事でも説明ある通り、破壊被害を受けた端末にマルウェアを格納、実行させたのは各社が導入している資産管理サーバー(ウィルスの更新管理サーバー)であるとKCCが報告しています。この資産管理サーバーへどのように入り込んだのかについてはセキュリティベンダがメールやWebを通じた感染等様々な推測情報を出しているものの、3月22日時点で確定的な情報は出ていません。攻撃をだれが行ったかについても、一時農協システムへ接続していたIPアドレスから名指しでの推測が行われていましたが、このIPアドレス情報自体が誤報であったことが改めて報告され、現在攻撃元を確定させる情報は出ていません。
2013-03-23
韓国で3月20日に大規模なサイバー攻撃が出ていたらしい。
MBRとVBRにごみを書き込んで、論理ドライブをすべて削除らしい。
韓国で2013年3月20日に発生した大規模なサイバー攻撃について、韓国のセキュリティベンダーであるアンラボや米シマンテックといったセキュリティベンダーが相次いで情報を公開している(関連記事:韓国で大規模サイバー攻撃か、放送局や銀行のシステムがダウン)
[続報]韓国への大規模サイバー攻撃、攻撃内容はハードディスクの破壊 | 日経 xTECH(クロステック)
アンラボは現地時間3月20日午後6時に同社Webサイト上で専用のワクチンソフトの提供を開始して、検査、治療を実施できる体制を整えている。同社Webサイトによると、今回のサイバー攻撃はマルウエアを利用したもので、感染するとハードディスクが破壊される。
Windows XPおよび同 2003 Serverでは、物理ディスクのMBR(マスターブートレコード)とVBR(ボリュームブートレコード)にゴミデータを書き込んでハードディスクを破壊する。Windows Vistaと同 7では、論理ドライブのすべてのファイル内容を削除してハードディスクを破壊する。
シマンテックはマルウエアと推測される「Trojan Horse/Trojan.Jokra」と「WS.Reputation.1」を検知しているとブログで解説している。
リムーバブルディスクも削除しようとするのか・・・
When the Trojan is executed, it drops the following files:
%Temp%\alg.exe
%Temp%\conime.exe
%Temp%\AgentBase.exe
%Temp%\~v3.log
%Temp%\~pr1.tmp
The Trojan has a Windows component and a Linux component.
The Windows wiper component has the following functionality:
The Trojan runs %Temp%\AgentBase.exe as a process.
The Trojan kills the following security processes:
pasvc.exe
clisvc.exe
The Trojan creates a thread that enumerates physical drives and writes over them, until the end of the disk with the word, "PRINCIPES."Trojan.Jokra | SymantecThe Trojan also tries to write over all physical disks and removeable drives.
これも関係あるのかな???
このうち、KBSでは、これまでのところテレビの放送に影響はないものの、社内のネットワークにつながっているパソコン数千台が使えなくなり、ニュース原稿の作成や編集作業などに影響が出ています。 また、ほぼ同じ時間帯から、大手銀行のシンハン銀行でもATM=現金自動預け払い機が2時間近くにわたり使用できなくなったほか、農協系の金融機関の社内の一部のネットワークも使えない状態になりました。 これについて、調査に当たっている韓国の放送通信委員会は、20日夕方、「ハッキングにより不正プログラムが流されたことを確認した」と発表し、何者かによるサイバー攻撃があった可能性が高いとみて詳しい状況を調べています。
http://www3.nhk.or.jp/news/html/20130320/t10013333751000.html
MBRを使ったアクティベーション回避とかあるのか・・・
によると、Windows7にはアクティベーションの回避技にMBRを使った技があり、この技を使って正規のアクティベーションを回避した状態でSP1を当てるとシステムが起動しなくなるということがわかっている。そして、2013/3/19からSP1の強制アップデートが開始された(順次強制適用されるということ)。
韓国での「サイバー攻撃」の簡単なまとめ - Fat Old Sun
結局パッチ管理サーバなのか、ウイルス対策ソフトのパターンなのか、そのうち結果は出てくる感じですかね。
マルウエア対策を実施しているはずの大手企業が被害を受けたのは、企業内でセキュリティパッチを一括管理する更新管理サーバーがハッキングされたのが原因と発表した。これにより、マルウエアの企業内への侵入を許してしまったとしている。
農協銀行のシステムを分析したところ、中国のIPアドレス(101.106.25.105)がパッチ更新管理サーバーに接続して、悪意あるファイルを作成していたことが確認されたという。
韓国のセキュリティベンダーであるアンラボ、ハウリと協力して、緊急の専用ワクチンソフトの無料配布を開始している(写真)。
マルウエアまん延の原因はパッチ更新管理サーバーのハッキング、韓国政府機関が発表 | 日経 xTECH(クロステック)
色々突っ込みどころはありそうですね・・・
被害拡大を防ぐため、政府、公共機関、交通・電力などのインフラ企業、病院などは、コンピュータのBIOSの時間設定を一時的に2013年3月20日午後2時以前に変更している。今回のサイバー攻撃ではWindowsの自動更新のタイミングで一斉に被害が発生したため、当面は自動更新を回避するという手当てだ。
マルウエアまん延の原因はパッチ更新管理サーバーのハッキング、韓国政府機関が発表 | 日経 xTECH(クロステック)
Trojan | 危険度: 低 | トレンドマイクロ:セキュリティデータベースらしい。
弊社では、今回の攻撃に関連する複数の検体(「TROJ_INJECTO.BDE」として検出)を入手。この「TROJ_INJECTO.BDE」が、今回の攻撃において、主要な不正活動を実行する役割を担っています。この不正プログラムは、「マスター・ブート・レコード(MBR)」を「HASTATI」や「PRINCPES」という文字列で上書きします。MBRは、通常、オペレーティングシステム(OS)を正常に起動させる際に必要な情報を保有しています。そしてこの不正プログラムは、自動的に感染コンピュータを再起動させ、コンピュータが再起動されると、破壊されたMBRが原因となり、感染コンピュータは起動できなくなります。 MBRを狙う不正活動自体は目新しいものではなく、これは、感染ユーザがサイバー犯罪者に金銭を支払うまで感染端末をロックさせる「身代金要求型不正プログラム(ランサムウェア)」という不正プログラムにはよく見られる不正活動となります。こうしたMBRへの攻撃は、感染コンピュータの復旧を困難かつ長期化させることになります。 なお、同時期に、他の攻撃も韓国を襲いました。主要な電子機器企業のWebサイトが書き換えられる被害に遭いました。また、複数の銀行のWebサイトも改ざんされ、閲覧者の端末にバックドア型不正プログラムを侵入させるエクスプロイトコードが挿入されていました。これら一連の攻撃の関連性を示す証拠は、現時点ではなく、同時期に発生したのは単なる偶然の可能性もあります。
韓国への大規模サイバー攻撃、マスターブートレコードを復旧困難にさせる攻撃などを確認 | トレンドマイクロ セキュリティブログ
さすが西本さんよくまとまっている
いったい何が起きたのだろうか。現段階での報道内容や現地のセキュリティ関係者への聞き込みを元に鳥瞰してみる。まずは、報道などから、今回の事件で発生したと推測される事象を列挙してみよう。
韓国で発生した大規模サイバー攻撃、日本は大丈夫か? | 日経 xTECH(クロステック)
ディスクに異常な書き込みか、、、
株式会社フォティーンフォティ技術研究所(FFRI)は3月22日、韓国で3月20日に発生した大規模なサイバー攻撃によって企業が被害を受けただけでなく、一般人までも影響を受けたことから、今回のサイバー攻撃が日本で発生していた場合、未知のマルウェアからシステムを保護できるかどうかを検証している。同社では、今回のサイバー攻撃に関連するマルウェア検体を入手し、同社製品の「FFR yarai 」で検証した結果、yaraiが搭載する4つのヒューリスティックエンジンのうちのひとつである「Sandboxエンジン」がマルウェアを検出、システムを保護することができたという。
韓国へのサイバー攻撃、日本で発生していたら止められるか検証 | RBB TODAY
また、マルウェア自動解析システム「FFR yarai analyzer 」にて同検体を検査したところ、マルウェアとして認識され、解析レポートが出力された。この解析レポートからは、C:ドライブに対して異常な回数(7万回以上)の書き込み処理が行われていること、taskkillコマンドを利用してpasvc.exe およびclisvc.exe を終了させようとしていることがわかる。この2つの実行ファイルは、韓国トップシェアのウイルス対策ソフトベンダであるAhnlab社のセキュリティソフトのプロセスであり、このマルウェア作成者が韓国のシステムを標的としていることを読み取ることができるとしている。
守屋さん(IBM SOC)のまとめ
Cyber attack on south korean 2013323 02
http://www.slideshare.net/moriyachi/cyber-attack-on-south-korean-2013323-02
関連URL
- 痛いニュース(ノ∀`) : 韓国狙った大規模サイバーテロ、銀行、官庁ほか PCの起動すら不可能に! - ライブドアブログ
- ニュース - 韓国で大規模サイバー攻撃か、放送局や銀行のシステムがダウン:ITpro
- ニュース - [続報]韓国への大規模サイバー攻撃、攻撃内容はハードディスクの破壊:ITpro
- 주요 방송사 및 은행 전산망 장애 유발 악성코드 분석 :: ASEC Threat Research & Response blog
- 韓国でのサイバー攻撃で、リモートの Linux Wiper 見つかる | Symantec Connect コミュニティ
- 韓国の銀行と放送局に、大規模なサイバー攻撃 | Symantec Connect コミュニティ
- 2013年3月に発生した韓国へのサイバー攻撃をまとめてみた。 - piyolog
- 3/20 韓国同時多発サイバー攻撃について - セキュリティは楽しいかね? Part 2
- 最新サイバー攻撃に備える - 韓国で発生した大規模サイバー攻撃、日本は大丈夫か?:ITpro
- 韓国への大規模サイバーテロ事件について | snowwalker's blog
- Cyber attack on south korean 2013323 02
- 【レポート】韓国で大規模なサイバー攻撃が発生、インフラにも影響が | パソコン | マイナビニュース