20日に韓国の銀行や放送局などが受けたサイバー攻撃は、コンピュータを使用不能にさせるためにマルウェアによってハードディスクを破壊するという方法で行われたようだ。シマンテックの公式ブログには、その解析が掲載されている。
今回の攻撃では、韓国のISP/電気通信プロバイダのサイトが改ざんされたほか、多くの組織のサーバーが停止。攻撃を受けたサイトの多くはハードディスクを消去され、社内のパソコンなどは使用不能に陥ったという。なお、改ざんされたサイトにはアニメーション付きのWebページが表示された後、効果音とともに3つドクロが現れ、「Whois」と名乗る攻撃者の集団からのメッセージが表示された。
シマンテックでは、この攻撃に使用されたと推測されるマルウェアを「Trojan Horse/Trojan.Jokra」「WS.Reputation.1」として検出している。このマルウェアはまず自身を参照するファイルマッピングオブジェクトを作成し、「pasvc.exe」「clisvc.exe」という韓国のウィルス対策/セキュリティ製品に関連する2つのプロセスを停止。そしてMBR(マスターブートレコード)を「PRINCPES」または「HASTATI.」という無意味な文字列で上書きすることでハードディスクの内容を消去する。そして、「shutdown -r -t 0」というコマンドを実行してコンピュータを強制的に再起動させる。この時点で、MBRとドライブの内容がなくなっているため、システムは使用不能の状態になっているというわけだ。
mRemote のパス情報の解析
さらにその後の追加調査によって、「Trojan.Jokra」にはリモートのLinuxコンピュータを消去するモジュールが含まれていたこともわかった。このモジュールはWindows 7とWindows XPのコンピュータ上で、複数のプロトコルに対応したオープンソースのリモート接続マネージャ「mRemote」を探索し、その設定XMLファイルを解析してルート権限でSSHプロトコルを使ってアクセスできるLinuxコンピュータを検出。そしてLinuxディストリビューションで動作するデータ消去機能を持つシェルスクリプトを投下する。これによって、「/kernel」、「/usr」、「/etc」、「/home」の各ディレクトリが消去されるという仕組みだ。
リモートコマンドの実行
