大家好，我是 零日情報局。

本文首發於公眾號 零日情報局，微信ID：lingriqingbaoju。

2012年開始，“破壞王”Shamoon憑藉著近乎不可逆的資料摧毀攻擊，成為了波斯灣石油巨頭們的噩夢。

到了2019年， Shamoon陰雲還未散去，毀滅者ZeroCleare空降中東，給局勢焦灼的海灣，再添陰霾。

ZeroCleare資料摧毀惡意軟體

昨天，IBM的X-Force事件響應和情報服務（IRIS）釋出報告，披露了一種全新的破壞性資料清除惡意軟體ZeroCleare，該惡意軟體以最大限度刪除感染裝置資料為目標。 

IBM雖沒有透露此次遭受攻擊的具體公司，但可以確認ZeroCleare瞄準的是中東的能源和工業部門，且初步估算已有1400臺裝置遭感染。

與之前Shamoon非常相似，ZeroCleare用來執行破壞性攻擊，主要是擦除主開機記錄（MBR），並損壞大量網路裝置上的磁碟分割槽，說白了就是大肆刪資料。

由伊朗APT34和xHunt建立

除此以外，IBM報告也證實，ZeroCleare和破壞性惡意軟體Shamoon同宗，都是出自伊朗資助的頂級黑客組織之手。不同的是，Shamoon來自APT33組織，而ZeroCleare由APT34（Oilrig）和Hive0081（aka xHunt）組織協作開發。

從可查資料來看，伊朗黑客組織APT34（Oilrig）至少從2014年起就瞄準中東和國際受害者，目標也多集中在金融、政府、能源、化工和電信等關乎國家安全的重要領域。可以說，APT34的整體攻擊動向，與伊朗國家利益和作戰時間安排保持高度一致。

通過各種網路手段，幫助政府達成政治、經濟、軍事目的，是APT34一類國家級黑客組織行動的核心。今年早期，APT34（Oilrig）就曾偽裝成劍橋大學相關人員，使用LinkedIn傳送惡意檔案，進行網路釣魚攻擊，預謀竊取重要資訊。

（IBM報告：ZeroCleare由伊朗APT34和xHunt建立）

至於與APT34（Oilrig）合作的xHUNT組織，此前有人將二者視為同一組織，但此次IBM特別強調ZeroCleare由伊朗APT34和XHUNT共同建立，可見這極可能是伊朗的又一支隱蔽而強大的網路力量。

ZeroCleare軟體的非常規策略

從披露的攻擊程式來看，執行ZeroCleare惡意程式前，黑客會先通過暴力攻擊，訪問安全性較弱的公司網路帳戶，而當拿到公司伺服器帳戶的訪問許可權後，就會利用SharePoint漏洞安裝China Chopper、Tunna一類的Web Shell工具。

隨後，攻擊者便會在入侵裝置商，開啟橫向擴散模式，部署ZeroCleare資料摧毀惡意軟體，上演破壞性的資料擦除攻擊。至於攻擊細節上，一個叫EldoS RawDisk的合法工具包無形中成了ZeroCleare的推手。

（ZeroCleare攻擊感染流程）

EldoS RawDisk是一個主要用於與檔案、磁碟和分割槽進行互動的合法工具包。為了順利執行ZeroCleare，攻擊者會先通過名為soy.exe的中間檔案，載入易受攻擊簽名驅動程式VBoxDrv，強制（DSE）接受並執行驅動程式。

成功拿到許可權後，ZeroCleare就會通過濫用合法工具包EldoS RawDisk的方式，擦除MBR並損壞大量網路裝置上的磁碟分割槽，達到破壞性攻擊的目的。

值得一提的是，為了獲得裝置核心的訪問許可權，ZeroCleare還會使用易受攻擊的驅動程式和惡意的PowerShell / Batch指令碼，繞過Windows控制元件。

伊朗特色 資料粉碎攻擊

說到資料摧毀攻擊，很容易聯想到2012年首現，直至18年還在中東地區肆虐，針對性攻擊沙特國家石油公司的同類惡意軟體Shamoon。

被譽為“無敵破壞王”的Shamoon曾在2012年，因破壞性清除了沙特國家石油公司 35000臺計算機資料，導致石油業務停擺數週而名噪一時，也因此被稱為最危險的惡意軟體之一。

（2012年沙特國家石油公司發文遭到破壞性攻擊）

甚至2018年，變種Shamoon還被用於針對沙特國家石油公司海外承包商的定向打擊，影響近400臺伺服器和多達100臺個人計算機，殃及沙特石油業務運轉。

一方面，資料擦除作為一種兼具大規模破壞、鉅額損失、漫長恢復時間成本，以及摧毀式特性的攻擊手段，一直被圈裡人稱之為最惡劣的攻擊方式。

另一方面，中東石油化工市場不僅是海灣國家的經濟支柱，作為佔世界已探明石油儲量約64.5％的地區，中東早已成為全球能源架構的重要中心，任何一次看似輕微的攻擊，都可能波及全球。

而正是基於攻擊手段的摧毀性，以及中東石油的重要性，以Shamoon、ZeroCleare為代表的資料擦除惡意軟體，成為了伊朗定向打擊沙特乃至整個中東地區的常用伎倆。

激增200%的破壞性攻擊

更令人心驚的是，有報告統計，過去一年破壞性網路攻擊數量激增200％，破壞性惡意軟體正處於極速爆發階段。

零日盤點了近十年來典型的國家級破壞性網路攻擊，發現純粹的竊取資料和祕密監控已成為一種輔助手段，而像Stuxnet、Shamoon 和 Dark Seoul 這樣的破壞性惡意軟體，正越來越多地被擁有國家背景的黑客組織所使用，並逐漸向網路常規武器化發展。

2010年，世界上第一個數字武器Stuxnet震網病毒現世，美國利用其成功摧毀濃縮鈾離心機，致使伊朗核計劃破產；

2012年，為報復美國震網攻擊，伊朗利用Shamoon惡意軟體，近乎完全地摧毀性刪除了沙特國家石油公司35000 臺電腦資料，並在其公司首頁公然燃燒美國國旗；

2015年，Black Energy降臨烏克蘭，來自俄羅斯的攻擊者使用開源工具包，潛入烏克蘭能源公司，最終導致烏克蘭全國大停電； 

再到近日，新型惡意資料擦除軟體ZeroCleare攻擊的冒頭。我們清晰的看見，在國家級的網路攻防對抗中，破壞性攻擊已成為一種代替常規軍事戰術的手段。

零日反思

低廉的攻擊代價和高危的攻擊結果，讓破壞性攻擊逐漸泛化，越來越多擁有國家支援背景的黑客，開始利用破壞性攻擊緊盯能源、工控、金融等關鍵性重要領域。

現今還只是在中東地區氾濫，明天會不會被利用於大國之間網路博弈，沒人可以斷言，但不可忽視破壞性攻擊已成為一種新的趨勢，而我們必須早做準備，才能在複雜的網路環境下，求一份生機。

零日情報局作品

微信公眾號：lingriqingbaoju

如需轉載，請後臺留言

歡迎分享朋友圈

參考資料：

IBM《新的破壞性攻擊“ZeroCleare”瞄準中東能源部門》