新的破壞性惡意軟體"流星"雨刷用於伊朗鐵路襲擊
在最近針對伊朗鐵路系統的攻擊中,發現了一種名為“流星”的檔案清除惡意軟體。
背景:
本月早些時候,伊朗交通部和國家鐵路系統遭受了一次網路攻擊,導致該機構的網站關閉,鐵路服務中斷。威脅行為者還在鐵路留言板上顯示了訊息,稱火車因網路攻擊而延誤或取消。
其中一些資訊告訴乘客撥打最高領袖阿里·哈梅內伊辦公室的電話號碼以獲取更多資訊。
除了在鐵路上搗亂,威脅行為者還用鎖屏鎖住了網路上的Windows裝置,阻止人們訪問該裝置。
伊朗襲擊中使用的新型流星雨刷
在 SentinelOne的一份新報告中,安全研究員透露,對伊朗的網路攻擊使用了一種此前未見過的檔案擦除器“流星”(Meteor)。
雨刷是一種惡意軟體,它會故意刪除電腦上的檔案,並導致電腦無法啟動。
與勒索軟體攻擊不同,破壞性擦除器攻擊不用於為攻擊者創收。相反,他們的目標是在另一次攻擊發生時給組織造成混亂或分散管理員的注意力。
雖然伊朗網路安全公司之前分析了雨刷器,但SentinelOne可以找到更多缺失的元件,以提供更清晰的攻擊畫面。
“在這個關於火車停站和油嘴滑舌的巨魔的離奇故事背後,我們發現了一個陌生襲擊者的指紋。”
這種攻擊本身被稱為“MeteorExpress”,它利用一批檔案和可執行檔案的工具包來擦除系統,鎖定裝置的主開機記錄(MBR),並安裝一個螢幕鎖。
為了啟動攻擊,威脅行為者提取了一個受“hackemall”密碼保護的 RAR 檔案。攻擊者隨後將這些檔案新增到伊朗鐵路網路上的其餘計算機可訪問的網路共享中。
然後,攻擊者配置 Windows 組策略以啟動 setup.bat 批處理檔案,然後將各種可執行檔案和批處理檔案複製到本地裝置並執行它們。
作為此過程的一部分,批處理檔案將執行以下步驟:
檢查是否安裝了卡巴斯基反病毒軟體,如果發現則終止攻擊。
斷開裝置與網路的連線。
新增 Windows Defender 排除項以防止檢測到惡意軟體。
將各種惡意軟體可執行檔案和批處理檔案提取到系統中。
清除 Windows 事件日誌。
刪除 Windows 電源效率診斷目錄下名為“AnalyzeAll”的計劃任務。
使用 Sysinternals 的“同步”工具將檔案系統快取重新整理到磁碟。
在計算機上啟動 Meteor 雨刷器(env.exe 或 msapp.exe)、MBR鎖(nti.exe)和螢幕鎖(mssetup.exe)。
完成後,裝置將無法啟動,其檔案將被刪除,並在第一次重新啟動計算機之前安裝一個顯示以下桌布背景的螢幕鎖。
雖然SentinelOne無法找到“nti.exe”MBR儲物櫃,但 Aman Pardaz的研究人員聲稱它與臭名昭著的NotPetya雨刷器有重疊。
“雖然人們的第一直覺可能是假設NotPetya運營商參與其中或者這是一次虛假標誌操作的嘗試,但重要的是要記住NotPetya的MBR腐敗計劃主要是從最初用於犯罪行動的 Petya 中抄襲而來的。”
“NotPetya”最初被認為是一場勒索軟體攻擊,但在2017年透過NSA的ETERNALBLUE漏洞和加密裝置傳播到曝光網路,在全球造成了巨大破壞。
尚未得知此次攻擊動機
目前,流星雨刷襲擊伊朗鐵路的動機尚不清楚,襲擊事件也沒有歸咎於任何特定組織或國家。
在濃霧中,我們還看不清這個敵人的輪廓。也許這是一個不擇手段的僱傭軍組織。或者外部培訓對一個地區新生運營商產生的潛在影響。
目前,任何形式的歸因都是純粹的猜測,有可能將多個國家之間的既得利益、手段和動機的激烈衝突簡單化。
隨著網路攻擊逐漸“武器化”,越來越多的攻擊帶有更大的破壞性。尤其網路犯罪分子在發現攻擊關鍵基礎設施網路後收穫頗豐,這種關係到國家和社會運轉的脆弱的網路體系極易成為其目標。
沒有網路安全就沒有國家安全,隨著我國在網路安全及資料安全上新的政策法規不斷實施,企業在網路建設和資料儲存方面,更要加強安全保障。尤其在應用軟體開發過程中,及時檢測修復軟體安全漏洞,提高程式碼質量,不但有助於增強軟體抵抗威脅的能力,同時也在加強網路安全建設。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70000012/viewspace-2784670/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 微軟稱發現針對烏克蘭的破壞性惡意軟體微軟
- 伊朗新資料破壞惡意程式瞄準中東正在攻擊石油能源和工業部門
- 惡意軟體Emotet 的新攻擊方法
- 阻止惡意軟體和網路攻擊的基本方式
- Windows使用者注意!“紫狐”惡意軟體來襲Windows
- 伊朗大型鋼鐵公司IT系統遭網路攻擊
- Synology警告惡意軟體透過暴力攻擊用勒索軟體感染NAS裝置
- 從索要贖金到破壞性攻擊,勒索軟體緣何成為網路戰又一利器?
- 最新惡意軟體來襲!專攻Windows盜版使用者Windows
- 黑客利用Excel文件來執行ChainShot惡意軟體攻擊黑客ExcelAI
- 防止惡意攻擊,伺服器DDoS防禦軟體科普伺服器
- 2022年5大網路威脅惡意軟體
- Qealler - 一個用Java編寫的惡意病毒軟體Java
- linux ddos惡意軟體分析Linux
- 惡意軟體Linux/Mumblehard分析Linux
- Zero Access惡意軟體分析
- 網路安全工程師必知的新型惡意軟體!工程師
- 深度分享|關於惡意軟體加密流量檢測的思考加密
- 惡意 Prompt 攻擊
- 廚具巨頭員工資料在攻擊中遭洩露、伊朗國家廣播被惡意軟體攻擊|2月22日全球網路安全熱點
- 什麼是無檔案惡意軟體攻擊?如何防禦?
- 每日安全資訊:微軟 Azure 雲服務被用於託管惡意軟體微軟
- 如何最小化勒索軟體的破壞路徑及其相關成本
- “俄羅斯套娃”惡意軟體來襲,BT網站成重災區網站
- 美國網路司令部昨日再次分享七個新惡意軟體樣本
- 是防毒軟體”失職“還是惡意軟體太”狡猾“?惡意軟體可繞過Android防護系統防毒Android
- 記憶體安全週報第26期 | 新的惡意軟體濫用 GitHub 和 Imgur入侵系統記憶體Github
- 新的TLS加密破壞攻擊也會影響新的TLS 1.3協議TLS加密協議
- 黑客工具可將惡意軟體隱藏於.Net框架黑客框架
- 中國反惡意軟體聯盟於昨天在天津成立
- 重啟裝置沒用了!HNS惡意軟體開啟殭屍網路“新時代”
- 惡意軟體PE檔案重建指南
- 如何防止伺服器被惡意網路攻擊?伺服器
- 隱藏在xml檔案中的惡意軟體XML
- 新的AdLoad惡意軟體變種可以透過蘋果的XProtect防禦蘋果
- covd惡意包攻擊案例
- 微軟終於從線上商店移除假冒的Google Photos惡意應用微軟Go
- 數百家媒體機構被部署惡意軟體,美國新聞行業遭受供應鏈攻擊行業