在最近針對伊朗鐵路系統的攻擊中，發現了一種名為“流星”的檔案清除惡意軟體。

背景：

本月早些時候，伊朗交通部和國家鐵路系統遭受了一次網路攻擊，導致該機構的網站關閉，鐵路服務中斷。威脅行為者還在鐵路留言板上顯示了訊息，稱火車因網路攻擊而延誤或取消。

其中一些資訊告訴乘客撥打最高領袖阿里·哈梅內伊辦公室的電話號碼以獲取更多資訊。

除了在鐵路上搗亂，威脅行為者還用鎖屏鎖住了網路上的Windows裝置，阻止人們訪問該裝置。

伊朗襲擊中使用的新型流星雨刷

在 SentinelOne的一份新報告中，安全研究員透露，對伊朗的網路攻擊使用了一種此前未見過的檔案擦除器“流星”(Meteor)。

雨刷是一種惡意軟體，它會故意刪除電腦上的檔案，並導致電腦無法啟動。

與勒索軟體攻擊不同，破壞性擦除器攻擊不用於為攻擊者創收。相反，他們的目標是在另一次攻擊發生時給組織造成混亂或分散管理員的注意力。

雖然伊朗網路安全公司之前分析了雨刷器，但SentinelOne可以找到更多缺失的元件，以提供更清晰的攻擊畫面。

“在這個關於火車停站和油嘴滑舌的巨魔的離奇故事背後，我們發現了一個陌生襲擊者的指紋。”

這種攻擊本身被稱為“MeteorExpress”，它利用一批檔案和可執行檔案的工具包來擦除系統，鎖定裝置的主開機記錄(MBR)，並安裝一個螢幕鎖。

為了啟動攻擊，威脅行為者提取了一個受“hackemall”密碼保護的 RAR 檔案。攻擊者隨後將這些檔案新增到伊朗鐵路網路上的其餘計算機可訪問的網路共享中。

然後，攻擊者配置 Windows 組策略以啟動 setup.bat 批處理檔案，然後將各種可執行檔案和批處理檔案複製到本地裝置並執行它們。

作為此過程的一部分，批處理檔案將執行以下步驟：

檢查是否安裝了卡巴斯基反病毒軟體，如果發現則終止攻擊。

斷開裝置與網路的連線。

新增 Windows Defender 排除項以防止檢測到惡意軟體。

將各種惡意軟體可執行檔案和批處理檔案提取到系統中。

清除 Windows 事件日誌。

刪除 Windows 電源效率診斷目錄下名為“AnalyzeAll”的計劃任務。

使用 Sysinternals 的“同步”工具將檔案系統快取重新整理到磁碟。

在計算機上啟動 Meteor 雨刷器(env.exe 或 msapp.exe)、MBR鎖(nti.exe)和螢幕鎖(mssetup.exe)。

完成後，裝置將無法啟動，其檔案將被刪除，並在第一次重新啟動計算機之前安裝一個顯示以下桌布背景的螢幕鎖。

雖然SentinelOne無法找到“nti.exe”MBR儲物櫃，但 Aman Pardaz的研究人員聲稱它與臭名昭著的NotPetya雨刷器有重疊。

“雖然人們的第一直覺可能是假設NotPetya運營商參與其中或者這是一次虛假標誌操作的嘗試，但重要的是要記住NotPetya的MBR腐敗計劃主要是從最初用於犯罪行動的 Petya 中抄襲而來的。”

“NotPetya”最初被認為是一場勒索軟體攻擊，但在2017年透過NSA的ETERNALBLUE漏洞和加密裝置傳播到曝光網路，在全球造成了巨大破壞。

目前，流星雨刷襲擊伊朗鐵路的動機尚不清楚，襲擊事件也沒有歸咎於任何特定組織或國家。

在濃霧中，我們還看不清這個敵人的輪廓。也許這是一個不擇手段的僱傭軍組織。或者外部培訓對一個地區新生運營商產生的潛在影響。

目前，任何形式的歸因都是純粹的猜測，有可能將多個國家之間的既得利益、手段和動機的激烈衝突簡單化。

隨著網路攻擊逐漸“武器化”，越來越多的攻擊帶有更大的破壞性。尤其網路犯罪分子在發現攻擊關鍵基礎設施網路後收穫頗豐，這種關係到國家和社會運轉的脆弱的網路體系極易成為其目標。

沒有網路安全就沒有國家安全，隨著我國在網路安全及資料安全上新的政策法規不斷實施，企業在網路建設和資料儲存方面，更要加強安全保障。尤其在應用軟體開發過程中，及時檢測修復軟體安全漏洞，提高程式碼質量，不但有助於增強軟體抵抗威脅的能力，同時也在加強網路安全建設。