Der koreanische MBR Wiper-Angriff startete mit einer Spam-Mail

Originalartikel von Trend Micro

Zwar sind die Untersuchungen und Analysen zu den koreanischen Angriffen aus der letzten Woche noch nicht abgeschlossen, doch gibt es bereits einige Ergebnisse.

Der Angriff startete am 20. März, doch gehen die Trend Micro-Sicherheitsanalysten davon aus, dass eine Spam-Nachricht vom Tag zuvor den Anfang machte. Ein Trend Micro-Kunde hatte nämlich am 19. März eine E-Mail erhalten, die vorgab, von einer großen koreanischen Bank zu kommen.

Die Nachricht enthielt zwei Anhänge: eine nicht bösartige Datei namens card.jpg und eine bösartige .RAR-Datei, die die Fachleute als TROJ_DLDR.HB identifiziert haben. Die Datei enthielt eine HTML-Datei (um den Nutzer glauben zu lassen, sie sei harmlos) und legte außerdem eine weitere bösartige Datei ab (WORM_STTKR.A).

Diese Schadsoftware lädt bei jedem Start weitere bösartige Dateien auf das betroffene System, indem sie sich selbst als Dienst namens Vmsecurity registriert und Regeln erzeugt, um die Windows-Firewall zu umgehen. Eine der zwei Adressen für den Download ist eine co.kr, die andere eine .net-Adresse. Auch lässt der verwendete Mutex AMrypBloodXYZFlowUSA auf einen politisch motivierten Angriff schließen.

MBR Wiper

Die beschriebene Methode könnte auch für das Ablegen des MBR (Master Boot Record) Wipers auf den betroffenen Systemen verwendet worden sein. Der Dropper (TROJ_KILLMBR.SM) legt vier Dateien im System ab:

  • Agentbase.exe – der MBR wiper (TROJ_KILLMBR.SM)
  • ~pr1.tmp – eine ausführbare UNIX-Datei (UNIX_KILLMBR.A)
  • Alg.exe – eine harmlose Datei, in Verbindung mit PuTTY-Client
  • Conime.exe – harmlos, in Verbindung mit PuTTY-Client

Vor dem Überschreiben des MBRs führt der Schädling zwei weitere Routinen aus. Zuerst beendet er die Prozesse zweier koreanischer Anti-Virus-Programme auf dem System (weitere Varianten beenden auch ein drittes Anti-Virus-Programm). Dann sucht er nach gespeicherten SSH-Login-Daten für zwei bekannte SSH-Clients — mRemote und Secure CRT. Dazu durchsucht er die Verzeichnisse, wo die Clients ihre Zugangsdaten aufbewahren:

  • %AppDataLocal%\Felix_Deimel\mRemote\confCons.xml (for mRemote)
  • %Application Data%\VanDyke\Config\Sessions (for Secure CRT)

Der Schädling prüft die Zugangsdaten und sucht nach Konten mit Root-Zugriff auf die Server. Findet er welche, versucht er sich dort anzumelden und prüft die Betriebssysteme dieser Server. Falls er AIX, HP-UX, Linux oder SunOS findet, lädt er die Datei pr1.tmp und führt sie aus.

Der MBR Wiper überschreibt den MBR mit drei sich wiederholenden Zeichenketten: PRINCPES, HASTATI oder PR!NCPES. Durch diese Veränderungen kann das System nicht wie üblich hochfahren.

Für neuere Windows-Versionen löschen einige MBR Wiper-Varianten zusätzlich alle Dateien in allen Verzeichnissen. Die Datei UNIX_KILLMBR.A, die auf die Server geladen wird, hat eine ähnliche Routine und überschreibt oder löscht die wichtigen Verzeichnisse /etc/, /home/, /kernel/ und /usr/.

Während den Nachforschungen entdeckten die Experten auch den Schädling TROJ_DROPPER.ZZR, der TROJ_KILLMBR.SM auf die infizierten Systeme ablegt.

Trend Micro hat keine Informationen, die es möglich machen, den Angriff direkt einer Gruppe zuzuordnen. Doch fanden sie eine Variante des Dropper (TROJ_KILLMBR.DF), die zusätzlich zu einem MBR Wiper auch eine HTML-Datei ablegt, die dem Angriff des WhoIs-Teams zugeordnet werden kann.

TROJ_KILLMBR.DF infiziert den MBR, indem der Schädling Garbage Code schreibt und das Hochfahren in eine unendliche Schleife zwingt, die obiges Bild immer wieder anzeigt.

Trend Micros Deep Discovery konnte die Spam-Nachricht, die den Angriff startete, erkennen. Auch alle mit dem Angriff in Verbindung stehenden URLs wurden erkannt und blockiert.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*