E安全2月17日讯 在Shamoon恶意软件的详细分析报告中,研究人员已经发现并确定了用来散播Shamoon的服务器。Shamoon恶意软件的活跃度较高,在沙特阿拉伯和伊朗网络战中正发挥着巨大的作用。
Shamoon,这种病毒被注名为“W32.Disttrack”以及“W32.EraseMBR”,也被称为Disttrack。Shamoon的主要能力是可以从受感染的设备上清除数据。执行文件里包含了“wiper”字段,以及“ArabianGulf”字段。这一字段也曾在Flame病毒中出现过,Flame曾被认为是由美国和以色列政府共同研发用以攻击伊朗核能源部门的恶意攻击软件。
Shamoon恶意软件于 2012年浮出水面,当时感染了全球最大石油生产公司沙特阿美(Saudi Aramco)3万个工作站,擦除了硬盘数据,使沙特阿美陷入恐慌。自那之后,攻击者不断完善该恶意软件,持续攻击沙特政府和行业的高价值目标,最近一次攻击发生在上个月。
目前,IBM X-Force事件响应和情报服务(IRIS)团队的研究人员认为,他们已经破解了Shamoon操作人员使用的传播技术。研究人员可能知道攻击者如何让恶意软件进入系统,这为IT经理提供绝佳机会,以便IT经理在Shamoon破坏数据之前发现是否存在感染问题。
首先,攻击者会冒充受信任的人向目标企业的员工发送电子邮件,并附加Word文档,将其命名为简历、健康保险文件或密码政策指南。例如,邮件消息可能显示来自IT Worx(一家埃及软件公司)或沙特阿拉伯商务部和投资部。
如果受害者打开附件,文件中的宏将执行两个Powershell脚本。第一个脚本会通过HTTP从139.59.46【.】154:3485/eiloShaegae1下载并执行另一个Powershell脚本。第二个脚本使用VirtualAlloc库调用创建内存缓冲区,通过HTTP从45.76【.】128.165:4443/0w0O6获取Shell代码,将其复制到缓冲区,然后使用CreateThread执行代码。之后,该线程(Thread)会创建另一个缓冲区,通过HTTP用45【.】76.128.165:4443/0w0O6的PowerShell脚本填充缓冲区,并运行。
IBM报告称,“基于对恶意文件的观察,我们发现后续的Shell会话可能与Metasploit的Meterpreter有关,可用来部署附加工具,并对三个与Shamoon相关的文件(ntertmgr32.exe、ntertmgr64.exe和vdsk911.sys)进行前期部署。”
研究团队还识别了托管恶意可执行文件,并用来实施攻击的两个Web域名。Ntg-sa.com模仿网站ntg.sa.com(沙特石油化工支持公司Namer Trading Group的域名),而maps-modon.club与沙特工业产权局(Saudi Industrial Property Authority)的域名 — maps.modon【.】gov.sa domain类似。
IBM建议,首先禁止来自这些域名和上述IP地址的连接,并扫描网络,检查是否有用户被感染。通常,攻击者在部署主要的Shamoon有效荷载之前,会使用这些被感染的设备进行侦查并盗取凭证。
Shamoon继续实施攻击的可能性极大,因为伊朗与沙特阿拉伯之间似乎在通过恶意软件博弈。伊朗指责沙特去年通过黑客事件导致多个石油工厂起火,而沙特阿拉伯则公开指责Shamoon出自伊朗之手。
相关阅读
E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。
我来说两句排行榜