“黑暗能量”滲透烏克蘭 APT病毒詳解

穗花野丁香

樣本MD5： 7361b64ddca90a1a1de43185bd509b64
病毒家族：Trojan.KillDisk-ICS#APT!1.A38B
木馬目的：破壞計算機系統(tǒng)導致無法啟動
傳播途徑：針對性攻擊（APT）,魚叉攻擊
影響平臺：Win 2000、Win XP、Win2003、Vista、Win7 、Server 2003等
一、事件背景：
2015年12月23日，烏克蘭電力公司網絡系統(tǒng)遭到黑客攻擊，導致西部地區(qū)大規(guī)模停電。根據相關組織確認，本次停電是一次蓄謀已久的APT攻擊，同時遭到攻擊的還有烏克蘭一些礦業(yè)公司的系統(tǒng)。本次攻擊是由于電力系統(tǒng)感染了攜帶KillDisk組件的BalckEnergy木馬所致。
以往監(jiān)測到的APT事件，黑客通常使用超級病毒（如：超級工廠、超級火焰等）對系統(tǒng)進行監(jiān)控，多數都在潛伏期被捕獲，未造成較大范圍的影響。本次烏克蘭大斷電事件是目前已知的第一起使國家電力供應中斷的黑客攻擊，瑞星安全研究院對本次事件出現(xiàn)的KillDisk組件樣本進行了詳細分析。
二、技術分析：
該木馬為BalckEnergy的KillDsik組件，主要功能：修改刪除大量程序、文檔資料，使計算機或計算機上的關鍵系統(tǒng)無法正常啟動，進而影響該計算機關聯(lián)的相關業(yè)務。主要行為如下：
1. 接受一個命令行參數設定時間延遲激活。
2. 刪除Windows事件日志，應用程序、安全設置、啟動項、系統(tǒng)。
3. 破壞計算機的主引導記錄（MBR）。
4. 結束指定列表系統(tǒng)進程，并修改破壞這些文件。
5. 結束komut.exe(command)、sec_service.exe(工業(yè)控制軟件)進程。
6. 破壞或刪除多種指定的文件，包括sec_service.exe。
7. 強制重啟計算機。
主要行為詳細信息：
1、結束指定進程，破壞系統(tǒng)運作。
查找并以下列表中的進程，使Windows操作系統(tǒng)或業(yè)務系統(tǒng)不能正常工作。
audiodg.exe conhost.exe csrss.exe dwm.exe explorer.exe komut.exe lsass.exe lsm.exe services.exe shutdown.exe smss.exe spoolss.exe spoolsv.exe svchost.exe taskhost.exe wininit.exe winlogon.exe wuauclt.exe sec_service.exe
以下是部分相關的反編譯代碼展示：



2、破壞指定文件，徹底破壞系統(tǒng)運作。
針對性破壞sec_service.exe
該木馬不僅會結束sec_service.exe進程，還會破壞或刪除sec_service.exe文件。
根據Eset的報告顯示，sec_service.exe 很可能為某種工控系統(tǒng)（ICS）程序，也可能是Eltima的串口到以太網連接器。下圖是Eltima公司的sec_service.exe的相關信息：
破壞指定擴展名的文件，包括：文檔、多媒體資料、安裝包、程序等。
在本地及遠程驅動器中查找擴展名在以下列表中且文件大小小于1,048,576的文件，覆蓋這些文件的文件內容（文件頭部）
.accdb .bin .bmp .boot .cfg .crt .db .dbf .djvu .doc .docx .exe .ini .iso .jar .jpeg .jpg .lib .mdb .mdf .msi .pdf .ppt .pptx .rar .rtf .sql .tib .tiff .txt .vhd .xls .xlsx .xml .zip
同時，還會在windows目錄下查找以下擴展名的文件，也同樣覆蓋它們：
.dll .exe .xml .ttf .nfo .fon .ini .cfg .boot .jar
3、刪除Windows事件日志:應用程序日志、安全日志、設置日志、系統(tǒng)日志。
通過執(zhí)行wevtutil.exe來清除Windows事件日志，阻止事后審計Windows日志，切斷此處線索，以下展示了相關的反編譯代碼。


4、刪除主引導記錄(MBR)
枚舉所有驅動器，執(zhí)行刪除前十驅動器數據。每個驅動器從MBR扇區(qū)開始，循環(huán)執(zhí)行256次，清除256個扇區(qū)的數據。




5、直接重啟計算機。
經過之前的破壞行為之后，直接重啟計算機，很可能的導致計算機無法再啟動，進而影響該計算機控制的業(yè)務。



三、KillDisk總結
通過上述分析報告可以看出，KillDisk組件有著明確的破壞目標和粗暴的破壞手段，破壞目標包含了用于計算機啟動的MBR，也包含Windows操作系統(tǒng)，還包含了數據采集與監(jiān)控系統(tǒng)等工業(yè)控制系統(tǒng)軟件等，其最終目的就是破壞攻擊目標的正常業(yè)務系統(tǒng)，使相關業(yè)務進入癱瘓狀態(tài)。
從BlackEnergy的歷史來看，BlackEnergy主要的攻擊目標應該是烏克蘭，繼烏克蘭電網被攻擊后，還陸續(xù)爆出烏克蘭的礦業(yè)、鐵路等系統(tǒng)，也同樣遭受到了BlackEnergy/KillDisk的威脅。
四、瑞星針對BlackEnergy和KillDisk的處理情況
目前為止，瑞星供截獲BlackEnergy相關樣本近40個，包含了BlackEnergy的多個組件，有釋放器、Rootkit、KillDisk組件、修改過的DropbearSSH后門（包含啟動器）以及魚叉攻擊使用的XLS文檔。這些樣本，瑞星均可檢測，相關病毒名如下：



目前，所有具備完整反病毒功能的瑞星安全產品，均可以檢測BlackEnergy系列木馬，例如：ESM、網絡版、防毒墻。
作者：DLer

金勻嬌

大家都要小心點，上網注意安全吧

儂麗都

路過～～～～～～～～···