網頁

2015年1月9日 星期五

2015/1/9 HITCON Freetalk: 駭客如何弄垮企業?

講者: Gasgas

  • 11/24 Sony在11/24遭到駭客入侵,導致內部網路,GOP(Guardians of Peace)宣稱是他們做的
  • 12/01 FBI介入調查,並懷疑是北韓做的
    同一天,GOP釋出26.4GB資料,15232個職員工的SSN外洩
  • 12/03 北韓出面否認
    同一天,GOP釋出第二批資料,33.7MB壓縮檔案,包含500組帳密,主機資訊,內部IP,以及121組FTP帳號,並包含許多人事部門、製片部門各種內部資料
  • 12/17 Sony宣布取消"The Interveiw"上映
  • 12/19 FBI證實北韓是幕後主使者
  • 12/23 北韓對外網路斷線
  • 12/24 恢復"The Interview"上映



個人觀點:

  • 行為大張旗鼓
    • 勒索金錢,公布資料,怎看都不像國家級網軍會做的事情
  • 技術層次不同
    • 2013/03/20 駭客有能力單一程式抹殺硬碟
    • 本次居然需要第三方驅動程式才能進行
  • 程式碼分析沒有找到關聯性
    • 填入硬碟的字串 -> 沒有關聯性
    • 沒有相似的程式碼片段

惡意行為分析


  • 攻擊Server:
    • diskpartmg16.exe
      • 很多Sony帳號密碼已經涵在惡意程式裡面,表示帳號密碼很早就被竊取出來
      • 掃描整個Sony網路,一個一個Try,成功後將硬碟開分享,到時攻擊的時候,一次將硬碟資料刪光
    • igfxtrayex.exe
      • 連接中繼站,取得下一步指令
      • 解出程式iissvr.exe和usbdrv32.sys並執行
      • 把所有硬碟的資料刪除(包含網路硬碟)
      • 停掉Microsoft Exchange Information Store service服務
  • 攻擊Client:
    • BKDR64_WIPALL.F
      • 安裝KProcessHacker驅動程式
      • 把下列McAfee程式停掉
        • mcshield.exe
        • UdaterUI.exe
        • McTray.exe
        • shstat.exe
        • FrameworkService.exe
        • VsTskMgr.exe
        • mfeann.exe
        • naPrdMgr.exe
      • 駭入後先將防毒軟體停掉,再植入惡意軟體,然後打開防毒軟體,因此防毒軟體會和惡意軟體並存,而且防毒軟體還會將惡意軟體的process做白名單。