Deep Discovery schützte gegen den MBR-Trojaner in südkoreanischem Angriff

Originalartikel von Trend Micro

Gestern sind gegen mehrere südkoreanische staatliche Institutionen und Unternehmen Angriffe gestartet worden und haben deren Betrieb massiv behindert. Bildschirme wurden schwarz oder zeigten einen Totenkopf sowie eine „Warnung“.

Die gute Nachricht: Trend Micro konnte die Unternehmenskunden vor der Bedrohung schützen. Die beiden Lösungen zur Bedrohungserkennung Deep Discovery Inspector und Deep Discovery Advisor waren in der Lage, über heuristische Methoden die Bedrohung zu erkennen, und erzeugten Berichte über bösartigen Verkehr und Nachrichten, die an zwei der Kunden geschickt wurden. Später ließ sich der Zusammenhang mit dem Angriff feststellen.

Trend Micro sammelte einige Samples (die als TROJ_INJECTO.BDE identifiziert wurden) und kommt zu dem Schluss, dass sie für die Hauptroutinen dieses Angriffs verantwortlich waren. Die Schadsoftware überschreibt den Master Boot Record (MBR) mit den Wörtern HASTATI und PRINCPES. Für den normalen Betrieb enthält der MBR Informationen, die ein Betriebssystem zum korrekten Hochfahren benötigt. Doch aufgrund des beschädigten MBR kann das System nicht hochfahren.

Auch wenn eine solche Routine gegen den MBR nicht neu ist, (bei Ransomware häufig anzutreffen), so erschwert und verlängert sie die Säuberung des Systems erheblich.

Zeitgleich gab es weitere Angriffe auf einen südkoreanischen Elektronikkonzern, dessen Website lahmgelegt wurde, und außerdem auf mehrere Banken, die mit Hintertür-Schädlingen infiziert wurden. Es gibt derzeit noch keine Beweise dafür, dass die Angriffe koordiniert waren und das Timing nicht purer Zufall ist.

Die Trend Micro-Bedrohungserkennung hat diesen Schädling als HEUR_NAMETRICK.B in ATSE 9.740.1012 identifiziert. Auch die bösartigen Dateien, die dabei verwendet wurden, haben weitere Trend Micro-Produkte über  das Official Pattern Release 9.801.00 oder ein späteres erkannt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*