在6月25日上午10點左右，韓國青瓦臺網(wǎng)站(相當于美國白宮)遭黑客攻擊，“黑客”在青瓦臺網(wǎng)站首頁發(fā)布紅色文字消息，10時開始發(fā)布一條國際“黑客”團體“匿名者”的口號：“我們是‘匿名者’，我們是羅馬軍團，我們從不寬恕也不會忘記，世界等著我們。”這條信息附有一張韓國總統(tǒng)樸槿惠的照片，持續(xù)存在10分鐘。

兩家網(wǎng)站隨后關(guān)閉并修復。當天，包括《朝鮮日報》在內(nèi)的幾家韓國主流新聞媒體網(wǎng)絡(luò)以及執(zhí)政黨新國家黨一些地方黨部網(wǎng)站同樣癱瘓。

利用漏洞入侵網(wǎng)站

在攻擊發(fā)生后不久，YouTube網(wǎng)站上放出來了一段視頻，顯示了黑客入侵青瓦臺的過程，沒多久就被YouTube官網(wǎng)刪除。根據(jù)視頻顯示，系統(tǒng)為Solars 10，并且在上面運行的應(yīng)用是WebSphere WAS，攻擊者利用該應(yīng)用的WAS公告板中的文件上傳\下載的漏洞入侵了該網(wǎng)站。

視頻中顯示了攻擊者利用了“w3b_avtix”工具包進行入侵以及提權(quán)等操作，以下為被入侵網(wǎng)站列表： 

Org
Website
The Blue House
www.president.go.kr
The Office for Government Policy Coordination
pmo.go.kr/pmo_web/main
The Ministry of National Defense
 www.mnd.go.kr
The NIS
www.nis.go.kr
Chosun Ilbo
www.chosun.com
Daegu Ilbo
www.idaegu.com
Maeil Shinmun
www.imaeil.com
Korea Press Foundation
www.kpf.or.kr/index.jsp
eToday
www.etoday.co.kr
Saenuri Party Seoul
seoul.saenuriparty.kr
Saenuri Party Gyeonggi-do
www.visiongg.com
Saenuri Party Incheon
www.hannaraincheon.or.kr
Saenuri Party Busan
 busan.saenuriparty.kr
Saenuri Party Ulsan
ulsan.saenuriparty.kr
Saenuri Party Gyeongnam
gyeongnam.saenuriparty.kr
Saenuri Party Jeju
jeju.saenuriparty.kr
Saenuri Party Gyeongsangbuk-do
www.gbsaenuri.kr
Saenuri Party Gangwon
www.hangangwon.org/

DNS服務(wù)器的DDOS攻擊:

遭到DDOS攻擊的兩個DNS服務(wù)器如下：

ns.gcc.go.kr [152.99.1.10]

ns2.gcc.go.kr [152.99.200.6]

攻擊者對這兩臺服務(wù)器發(fā)起了大量的查詢請求，并且查詢速度非常快，間隔非常短，每個查詢的數(shù)據(jù)請求包非常大(1500字節(jié))，使得這兩臺服務(wù)器在短時間內(nèi)負載急劇升高，下面的攻擊報文顯示了隨機子域DNS查詢的請求:

在用戶的系統(tǒng)中發(fā)現(xiàn)的惡意軟件如下： 

Red Alert team確定，該惡意軟件創(chuàng)建時間是2013年6月24日，刪除和執(zhí)行時間是2013年6月25日上午10點。一旦該惡意軟件被執(zhí)行，它會創(chuàng)建一個UDP套接字以及修改目標服務(wù)器的DNS記錄，并且創(chuàng)建兩個線程循環(huán)執(zhí)行操作。惡意軟件會生成一個隨機字符串，并將子域名優(yōu)先設(shè)置為gcc.go.kr。 

該惡意軟件調(diào)用了內(nèi)置的sendto函數(shù)創(chuàng)建一個數(shù)據(jù)包，然后重置所有連接，并循環(huán)以上這個過程。