|
E安全1月12日訊 Palo Alto Networks的研究人員發(fā)現(xiàn)Shamoon 2惡意軟件的第二個變種,針對虛擬化產(chǎn)品展開攻擊,。 Shamoon,,這種病毒被注名為“W32.Disttrack”以及“W32.EraseMBR”,也被稱為Disttrack,。Shamoon的主要能力是可以從受感染的設備上清除數(shù)據(jù),。執(zhí)行文件里包含了“wiper”字段,以及“ArabianGulf”字段。這一字段也曾在Flame病毒中出現(xiàn)過,,F(xiàn)lame曾被認為是由美國和以色列政府共同研發(fā)用以攻擊伊朗核能源部門的惡意攻擊軟件,。2012年,Shamoon首次被發(fā)現(xiàn)對沙特阿拉伯的目標企業(yè)展開攻擊,,其中的受害者,,包括石油巨頭阿美石油公司(Saudi Aramco)。 在針對阿美石油公司的攻擊中,,Shamoon清除了超過3萬臺計算機上的數(shù)據(jù),,并用一張焚燒美國國旗的圖片改寫了硬盤的主引導記錄(Master Boot Record,MBR) 卡巴斯基實驗室首次發(fā)現(xiàn)這款惡意軟件,,并分析了威脅的一些實例,。 Shamoon的分析人員Seculert發(fā)現(xiàn),該惡意軟件還有能力改寫設備的MBR,。將受感染的計算機變得無法使用之前,,Shamoon會收集受害者的數(shù)據(jù),,竊取信息,,從Windows計算機的用戶(Users)、文件和設置(Documents and Settings),、System32/Drivers和System32/Config文件夾中獲取數(shù)據(jù),,并將數(shù)據(jù)發(fā)送至相同內(nèi)網(wǎng)上的另一臺受感染的計算機。 去年12月,,Palo Alto Networks和賽門鐵克的惡意軟件研究人員發(fā)現(xiàn)Shamoon變種,,將其稱之為“Shamoon 2”。攻擊者利用該變種對沙特阿拉伯民用航空管理局(Saudi Arabia’s General Authority of Civil Aviation,,GACA)發(fā)起有針對性的攻擊,。 賽門鐵克報告稱,“Shamoon在四年沉寂之后突然回歸,,其原因不明,。但是,憑借極具破壞性的有效載荷,,很顯然,,攻擊者希望目標對它刮目相看?!?/span> Palo Alto Networks發(fā)布分析報告表示,,“上周,威脅情報小組Unit 42發(fā)現(xiàn)Disttrack新樣本被用來實施升級版攻擊,。這起攻擊的受害者至少包含一個沙特阿拉伯組織機構(gòu),,這與Shamoon攻擊的初始目標符合。似乎,新Disttrack樣本集中實施破壞,,因為這些樣本配置了不可操作的命令與控制服務器,,報告并設定于2016年11月17日20:45開始擦除數(shù)據(jù)。新Disttrack樣本與Shamoon還存在另一相似之處,,攻擊時間為沙特阿拉伯的工作周結(jié)束之時(他們的工作時間從周日到周四),,這款惡意軟件可能在整個周末進行散播。Shamoon攻擊發(fā)生在“吉慶夜”(Lailat al Qadr,,穆斯林國家一年之中最神圣的夜晚),。” Shamoon 2的第二個變種經(jīng)配置開始在11月29日凌晨1:30(沙特阿拉伯時間)清除被感染系統(tǒng)的數(shù)據(jù),,這個時間段,,目標機構(gòu)的員工可能在家休息。 經(jīng)專家分析,,Shamoon 2的第一個變種進行了默認配置,,在沙特阿拉伯當?shù)貢r間11月17日晚上8:45執(zhí)行磁盤清除操作??紤]到沙特阿拉伯的工作日是從周日到周四,,攻擊者設法利用空檔,將攻擊效果最大化,。 兩個變種的有效載荷相似,,但專家經(jīng)過分析后發(fā)現(xiàn)存在不同之處。 Shamoon 2的第二個變種包含華為虛擬產(chǎn)品憑證,,針對的目標是虛擬桌面基礎架構(gòu)(Virtual Desktop Infrastructure,,VDI)產(chǎn)品,例如華為云計算解決方案FusionCloud,。 虛擬機感染Disttrack Wiper后無法引導 這種情況表明,,攻擊者意識到目標機構(gòu)在使用這款虛擬化產(chǎn)品。黑客使用產(chǎn)品官方文檔中記錄的默認憑證,,這意味著黑客希望目標機構(gòu)未做改動,。專家表示,威脅攻擊者可能訪問了托管基礎架構(gòu)的設備,。 Palo Alto Networks發(fā)表博文表示,,“VDI解決方案能通過加載被抹系統(tǒng)的快照,以此保護系統(tǒng)免遭破壞性惡意軟件(如Disttrack)破壞,。此外,,因為FusionCloud系統(tǒng)運行的是Linux操作系統(tǒng), Windows Disttrack惡意軟件不易清除它的數(shù)據(jù),,這可以被看作是應對Shamoon這類攻擊的合理對策,?!?/span> “但是,如果攻擊者能使用賬號憑證登錄VDI管理界面,,他們便能對VDI部署和快照展開破壞活動,。” 研究人員發(fā)現(xiàn),,威脅使用的通信模式?jīng)]有配置命令與控制服務器(C2),,該模塊在配置內(nèi)完全缺乏C2 服務器的IP地址或域名。 |
|
|
