导语:最近,我们捕获到了针对拉美金融机构的磁盘擦除KillDisk的新变种,趋势科技将其检测为TROJ_KILLDISK.IUB
一、背景
最近,我们捕获到了针对拉美金融机构的磁盘擦除KillDisk新变种,趋势科技将其检测为TROJ_KILLDISK.IUB。趋势科技“深度威胁发现”主动阻止与此威胁相关的任何入侵或攻击。初始分析(仍在进行中)显示它可能是另一个payload的组成部分,或是大型攻击的一部分。我们仍在分析这个新的KillDisk变种,并将更新本文因为我们发现了更多细节。
2015年12月下旬,KillDisk以及与网络间谍活动相关的多功能软件BlackEnergy都被用于网络攻击,攻击乌克兰的能源部门以及银行、铁路和采矿业。此恶意软件已演变为数字勒索,影响 Windows和 Linux 平台。与 Petya一样,赎金只是一个诡计而已:KillDisk覆盖和删除文件(并且不将加密密钥存储在磁盘或网络上),因此恢复加密文件是不可能的。
图1: KillDisk感染链
二、投放
这个KillDisk变种看起来像是被另一个进程/攻击者故意投放的。其文件路径(c: windows dimens.exe)在恶意软件中进行了硬编码,这意味着它与其安装程序紧密结合,或是一个大型程序包的一部分。
图2: 新 KillDisk 变种关闭被感染机器的参数
KillDisk有一个自毁过程,虽然它并没有真正自删除。它在运行时将其文件重命名为c: windows 0123456789,该字符串在我们分析的样本中是硬编码的。它预期中的文件路径是c: windows dimens.exe(也是硬编码)。因此,如果执行磁盘取证并搜索dimens.exe,那么搜索
结果将是内容为0x00的新建文件。
三、文件删除
新KillDisk变种从驱动器b:开始遍历所有逻辑驱动器(固定和可移动)。如果逻辑驱动器包含系统目录,则不删除以下目录及子目录中的文件和文件夹:
WINNT Users Windows Program Files Program Files (x86) ProgramData Recovery (case-sensitive check) $Recycle.Bin System Volume Information old PerfLogs
文件被删除之前,首先被随机重命名。KillDisk将覆盖该文件的第一个0x2800字节,而另一个0x2800字节块则是0x00。
图3: KillDisk覆盖、删除文件
四、磁盘擦除
恶意软件试图将. PhysicalDrive0擦除为. PhysicalDrive4。读取它能够成功打开的每个设备的主引导记录(MBR),用0x00覆盖其第一个0x20扇区,并且使用来自MBR的信息对列出的分区进行进一步的破坏。如果找到的分区不是扩展分区,则会覆盖该磁盘卷的第一个0x10和最后一个扇区。如果找到扩展分区,它将覆盖扩展引导记录(EBR)以及它指向的两个额外分区。
图4: 读取扫描 MBR(前两个) 、重写 EBR(最后1个)
五、进一步的行为
KillDisk有一个数字参数,表示在关闭受感染机器之前等待的分钟数(默认值15)。为重启机器,它将终止这些进程:csrss.exe,wininit.exe,winlogon.exe,lsass.exe。
这样做很可能会强制重启或迫使用户重启机器。例如,终止csrss.exe和wininit.exe会导致蓝屏(BSOD),终止winlogon.exe将提示用户再次登录,而终止lsass.exe将导致重启。KillDisk也使用ExitWindowsEx函数强制重启机器。
图 5: KillDisk强制重启机器
六、安全措施
KillDisk的破坏能力以及它可能只是大型攻击的一部分,凸显了纵深防御的重要性:从网关、终端、网络到服务器,以进一步减少攻击面。以下是机构应采取的的最佳安全实践:
1、保持系统及其应用程序的更新和修补,防止攻击者利用安全漏洞; 考虑虚拟系统的补丁。
2、定期备份数据并确保其完整性。
3、强化最小特权原则。网络分段和数据分类有助于防止横向移动和进一步暴露。
4、部署安全机制,如应用程序控制/白名单和行为监控,这些机制可以阻止可疑程序运行及异常系统修改。
5、主动监控系统和网络; 启用和使用防火墙、入侵防护和检测系统。
6、实施有效的应急事件响应机制,推动积极的补救措施; 培养安全意识,加强安全态势。
关联Hash (SHA-256):
8a81a1d0fae933862b51f63064069aa5af3854763f5edc29c997964de5e284e5 — TROJ_KILLDISK.IUB