韩国网络攻击始于钓鱼邮件

[killylyde]

安全公司趋势科技分析了导致韩国多家公司和机构计算机网络同时瘫痪的网络攻击，认为攻击者是利用钓鱼邮件发动了这次攻击。
3月19日，安全研究员注意到了攻击的最早信号。目标机构收到了伪装成银行邮件的钓鱼邮件，邮件包含了一个文档附件，它实际上是一个下载器，会从不同地址下载9个文件，包括设计破坏硬盘的木马Trojan.Jokra，bash脚本，PuTTY SSH和SCP客户端。当木马于3月20日下午2点激活时，它先终止安全软件的进程，然后搜索 mRemote和SecureCRT（远程连接管理器和客户端）储存的远程连接，使用储存的Root证书登录远程 Linux和Solaris服务器，覆写硬盘主引导记录。如果不能覆写则利用root权限删除文件夹 /kernel/、/usr/、/etc/和/home/。当覆写任务完成后，它就重启机器，主引导记录破坏将会导致机器无法启动。攻击导致Windows、Linux和 Unix系统无法启动，造成严重破坏。如果Web服务器受到影响，那么银行的Web应用会因此而下线。
趋势科技披露的信息：http://blog.trendmicro.com/trendlabs-security-intelligence/how-deep-discovery-protected-against-the-korean-mbr-wiper/
由此可见，接收到邮件不管是不能有好奇心，更不能随意点击，最好有杀毒软件自动对邮件中的附件和链接进行检查。
另据路透社报道： 韩国通讯委员会表示南韩广播和银行受到的网络攻击的发起端并不是来自中国，被发现的攻击IP地址是韩国银行内部IP地址，但是他们也同时说这说明不了什么。韩国多家电视台、金融机构网络系统20日遭遇网络恶意代码攻击，致使媒体运作和金融服务中断数小时。前一天，这一韩国行业监管机构认为，恶意代码源自中国的网络地址（IP），现在他们发现导致计算机网络瘫痪的恶意代码来自韩国农业协同银行的内部电脑，而不是中国。调查人员说，农协银行一直使用私自设立的IP地址，与中国IP地址相同。网络分析人员先前在分析农协银行内部电脑时误把这家银行的IP地址当作来自中国的IP地址，因而判断出错。调控人员同时说，IP地址说明不了什么，有迹象表明恶意代码是通过国外线路传入，而一个实体是最大的嫌疑者。
路透社报道原文：http://www.reuters.com/article/2013/03/22/us-cyber-korea-idUSBRE92L07120130322