新型銀行惡意軟體變種KillDisk來襲，專攻拉美金融機構

一、背景

最近，我們捕獲到了針對拉美金融機構的磁碟擦除KillDisk新變種，趨勢科技將其檢測為TROJ_KILLDISK.IUB。趨勢科技「深度威脅發現」主動阻止與此威脅相關的任何入侵或攻擊。初始分析（仍在進行中）顯示它可能是另一個payload的組成部分，或是大型攻擊的一部分。我們仍在分析這個新的KillDisk變種，並將更新本文因為我們發現了更多細節。

2015年12月下旬，KillDisk以及與網路間諜活動相關的多功能軟體BlackEnergy都被用於網路攻擊，攻擊烏克蘭的能源部門以及銀行、鐵路和採礦業。此惡意軟體已演變為數字勒索，影響 Windows和 Linux 平台。與 Petya一樣，贖金只是一個詭計而已：KillDisk覆蓋和刪除文件（並且不將加密密鑰存儲在磁碟或網路上），因此恢復加密文件是不可能的。

圖1: KillDisk感染鏈

二、投放

這個KillDisk變種看起來像是被另一個進程/攻擊者故意投放的。其文件路徑（c： windows dimens.exe）在惡意軟體中進行了硬編碼，這意味著它與其安裝程序緊密結合，或是一個大型程序包的一部分。

圖2: 新 KillDisk 變種關閉被感染機器的參數

KillDisk有一個自毀過程，雖然它並沒有真正自刪除。它在運行時將其文件重命名為c： windows 0123456789，該字元串在我們分析的樣本中是硬編碼的。它預期中的文件路徑是c： windows dimens.exe（也是硬編碼）。因此，如果執行磁碟取證並搜索dimens.exe，那麼搜索

結果將是內容為0x00的新建文件。

三、文件刪除

新KillDisk變種從驅動器b：開始遍歷所有邏輯驅動器（固定和可移動）。如果邏輯驅動器包含系統目錄，則不刪除以下目錄及子目錄中的文件和文件夾：

WINNT

Users

Windows

Program Files

Program Files (x86)

ProgramData

Recovery (case-sensitive check)

$Recycle.Bin

System Volume Information

old

PerfLogs

文件被刪除之前，首先被隨機重命名。KillDisk將覆蓋該文件的第一個0x2800位元組，而另一個0x2800位元組塊則是0x00。

圖3: KillDisk覆蓋、刪除文件

四、磁碟擦除

惡意軟體試圖將. PhysicalDrive0擦除為. PhysicalDrive4。讀取它能夠成功打開的每個設備的主引導記錄（MBR），用0x00覆蓋其第一個0x20扇區，並且使用來自MBR的信息對列出的分區進行進一步的破壞。如果找到的分區不是擴展分區，則會覆蓋該磁碟卷的第一個0x10和最後一個扇區。如果找到擴展分區，它將覆蓋擴展引導記錄（EBR）以及它指向的兩個額外分區。

圖4: 讀取掃描 MBR（前兩個） 、重寫 EBR（最後1個）

五、進一步的行為

KillDisk有一個數字參數，表示在關閉受感染機器之前等待的分鐘數（默認值15）。為重啟機器，它將終止這些進程：csrss.exe，wininit.exe，winlogon.exe，lsass.exe。

這樣做很可能會強制重啟或迫使用戶重啟機器。例如，終止csrss.exe和wininit.exe會導致藍屏（BSOD），終止winlogon.exe將提示用戶再次登錄，而終止lsass.exe將導致重啟。KillDisk也使用ExitWindowsEx函數強制重啟機器。

圖 5: KillDisk強制重啟機器

六、安全措施

KillDisk的破壞能力以及它可能只是大型攻擊的一部分，凸顯了縱深防禦的重要性：從網關、終端、網路到伺服器，以進一步減少攻擊面。以下是機構應採取的的最佳安全實踐：

1、保持系統及其應用程序的更新和修補，防止攻擊者利用安全漏洞; 考慮虛擬系統的補丁。

2、定期備份數據並確保其完整性。

3、強化最小特權原則。網路分段和數據分類有助於防止橫向移動和進一步暴露。

4、部署安全機制，如應用程序控制/白名單和行為監控，這些機制可以阻止可疑程序運行及異常系統修改。

5、主動監控系統和網路; 啟用和使用防火牆、入侵防護和檢測系統。

6、實施有效的應急事件響應機制，推動積極的補救措施; 培養安全意識，加強安全態勢。

關聯Hash (SHA-256):

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！