ブログ

FFRI BLOG

2013-03-22 緊急レポート:韓国サイバー攻撃マルウェア検証

※・・・本記事掲載当初pasvc.exe およびclisvc.exeがAhnlab社の製品のプロセスであるかのような記述となっておりました。実際にはclisvc.exeはHauri社製品のプロセスでした。情報に誤りがあったことをお詫びすると共に記事内容を修正させていただきました。



プロダクト開発第二部の梅橋です。

2013年3月20日に韓国で大規模なサイバー攻撃が発生し、ニュースなどで話題となっています。このサイバー攻撃によって韓国の放送局や銀行などがシステムダウンし、被害を受けた企業のみならず、ATMが一時利用できなくなる等、一般人にも影響を及ぼす結果となりました。

もし、今回のサイバー攻撃が日本で発生していた場合、未知のマルウェアからシステムを保護できるかどうかは非常に重要なポイントとなります。そこで、今回のサイバー攻撃に関連するマルウェア検体を入手し、弊社製品の「FFR yarai 」で検証したところ、yarai が搭載する4つのヒューリスティックエンジンのうちの1つであるSandboxエンジン(仮想CPUによる異常挙動検知)にて、マルウェアを検出し、システムを保護することができました。




また、マルウェア自動解析システム「FFR yarai analyzer 」にて同検体を検査したところ、マルウェアとして認識され、以下のような解析レポートが出力されることを確認できました。









この解析レポートからは、C:ドライブに対して異常な回数(7万回以上)の書き込み処理が行われていること、taskkill コマンドを利用してpasvc.exe およびclisvc.exe を終了させようとしていることが分かります。なお、この実行ファイルは、韓国トップシェアのアンチウィルスソフトウェアベンダーのセキュリティソフトのプロセスであり、このマルウェア作成者が韓国のシステムを標的としていることを読み取ることができます。

現在、FFRIではこのマルウェアの詳細解析を行っており、前述のC:ドライブに対する異常な回数の書き込みの挙動に関しては、これから明らかにしていきたいと思いますが、yarai analyzer のレポートからは上記以外には特徴的な挙動はありませんでした。逆に言うと、C:ドライブへの不正な書き込み、つまり、ブートセクタやファイルシステムの改変に特化した、システムを利用不可にすることを目的とするマルウェアであることが推測できます。

詳細な解析結果については、FFRI BLOGにて近日公開予定です。


今回の検証で使用したバージョン

「FFR yarai」
2013/01/31 にリリースされたVer. 2.2.932 で検証
「FFR yarai analyzer」
2012/12/19 にリリースされた Ver.1.2.127 で検証