SentinelOne的安全研究人員偶然發(fā)現(xiàn)了一種迄今未知的數(shù)據(jù)清除惡意軟件,,它可能是本月早些時候針對伊朗鐵路系統(tǒng)的破壞性網(wǎng)絡(luò)攻擊的一部分。SentinelLabs的研究人員能夠重建攻擊鏈的大部分,其中包括一個有趣的從未見過的擦除器軟件,。OPSEC的錯誤讓研究人員知道,攻擊者稱這個雨刷為“流星”,這促使研究者將該攻擊活動命名為MeteorExpress。目前,,還無法將此次活動與先前確認的威脅組織聯(lián)系起來,也無法將其與其他襲擊聯(lián)系起來,。然而,,初步分析表明,這個擦除器是在過去三年開發(fā)的,,是為重用而設(shè)計的,。為了鼓勵進一步發(fā)現(xiàn)這一新的威脅行為者,研究人員共享了攻擊指標,,鼓勵其他安全研究人員共同探尋真相,。
7月9日,不明原因的網(wǎng)絡(luò)攻擊導(dǎo)致伊朗火車系統(tǒng)癱瘓,。攻擊者嘲笑伊朗政府,因為被黑客入侵的顯示器指示乘客將投訴指向伊朗最高領(lǐng)袖哈梅內(nèi)伊辦公室的電話號碼,。
惡意軟件攻擊導(dǎo)致伊朗鐵路系統(tǒng)癱瘓的神秘事件曝光之后,,SentinelOne威脅追蹤者重建了攻擊鏈,發(fā)現(xiàn)了一個破壞性擦除器組件,,可以用來從受感染的系統(tǒng)中刪除數(shù)據(jù),。
擦除器被認為是所有惡意軟件中最具破壞性的一種,在中東地區(qū)的攻擊中發(fā)現(xiàn)最多,,2012年針對沙特阿美(Saudi Aramco)石油公司的Shamoon攻擊就是最突出的例子,。
在一份研究報告中,SentinelOne威脅研究機構(gòu)的胡安·安德烈斯·格雷羅-薩德(Juan Andres Guerrero-Saade)表示,,這款之前從未見過的擦除器惡意軟件是在過去三年開發(fā)出來的,,似乎是為了在多個行動中重復(fù)使用而設(shè)計的。
根據(jù)惡意軟件文件中發(fā)現(xiàn)的構(gòu)件,,SentinelOne使用MeteorExpress的代號來標識該擦除器惡意軟件,。
格雷羅-薩德說:“(這有)一個陌生攻擊者的指紋?!彼赋?,他的團隊無法捕獲與惡意軟件擦除器組件相關(guān)的所有文件。
“雖然我們能夠為擦除器攻擊恢復(fù)數(shù)量驚人的文件,,但有些文件還是逃過了我們的追蹤,。MBR(主引導(dǎo)記錄)破壞程序‘ nti.exe ’是這些缺失的組件中最引人注目的,”格雷羅解釋說,。
他說,,整個工具包是幾個批處理文件的組合,從RAR壓縮文檔中刪除了不同的組件。擦除器組件按照功能進行分工:Meteor基于加密配置對文件系統(tǒng)進行加密,,nti.exe破壞MBR,, mssetup.exe鎖定系統(tǒng)。
Guerrero-Saade還指出,,整個工具包存在“奇怪的分裂程度”,。他指出,批處理文件生成其他批處理文件,,不同的rar檔案包含混合的可執(zhí)行文件,,甚至預(yù)期的操作被分成三個有效載荷。
“Meteor會清除文件系統(tǒng),,mssetup.exe會鎖定用戶,,而nti.exe可能會破壞MBR,”他說,,研究團隊提供了有關(guān)惡意軟件內(nèi)部工作的技術(shù)文檔,。
“在其最基本的功能中,MeteorExpress從加密配置中獲取一組路徑,,并在這些路徑上搜索,,清除文件。它還確保刪除影子副本,,并將機器從域中移除,,以避免使用快速修復(fù)的方法?!彼f,。
這種擦除器還可以用來更改所有用戶的口令、禁用屏保,、根據(jù)目標進程列表終止進程,、安裝屏幕鎖、禁用恢復(fù)模式或創(chuàng)建計劃任務(wù),。
Guerrero-Saade在Meteor擦除器中發(fā)現(xiàn)了一些線索,,指出了一種外部可配置的設(shè)計,可以在不同的操作中有效重用,?!安脸鞯耐獠颗渲眯再|(zhì)決定了它不是為這種特殊操作而設(shè)計的?!?/p>
研究團隊在報告結(jié)論中指出,,網(wǎng)絡(luò)空間的沖突充斥著越來越多無恥的威脅行為者。在這個史詩般的噴子的藝術(shù)背后,,隱藏著一個令人不安的現(xiàn)實:一個以前不為人知的威脅行為者愿意利用擦除器惡意軟件攻擊公共鐵路系統(tǒng),。攻擊者是一個中級水平的玩家,,其不同的操作組件從笨拙和初級到靈活和發(fā)達,急劇振蕩,。
一方面,,有一個新的外部可配置的擦除器,它充滿了有趣的功能,,包括一個成熟的開發(fā)過程,,以及實現(xiàn)目標的冗余手段。甚至他們的批處理腳本也包括廣泛的錯誤檢查,,這是部署腳本很少遇到的特性,。他們的攻擊旨在削弱受害者的系統(tǒng),使其無法通過域管理或影子副本恢復(fù)進行簡單的補救,。
另一方面,,研究人員看到一個對手還沒有處理的部署管道,他們的惡意軟件樣本中包含與此特定操作無關(guān)的大量調(diào)試功能,。不同的攻擊組件之間存在功能冗余,,這表明團隊之間的職責(zé)分工不協(xié)調(diào)。文件以笨拙,、冗長和雜亂無章的方式分發(fā),,這與高級攻擊者不相稱。
在濃霧中,,我們還不能看清這個對手的輪廓。也許這是一個不擇手段的雇傭軍組織,。目前,,任何形式的歸因都是純粹的猜測,有可能將多個國家之間的既得利益,、手段和動機的激烈沖突簡單化,。
在這個史詩般的巨魔/令人震驚的挑釁背后,有更多的發(fā)現(xiàn),,了解背后的攻擊者,。應(yīng)該記住,攻擊者已經(jīng)熟悉其目標的一般設(shè)置,、域控制器的特性以及目標的備份系統(tǒng)(Veeam)的選擇,。這意味著一個完全在雷達下飛行的偵察階段,以及尚未發(fā)現(xiàn)的大量間諜工具,。
SentinelOne發(fā)布了攻擊指標(IOCs)和YARA規(guī)則,,以鼓勵對這個神秘的威脅行為者進行進一步研究。