SentinelOne的安全研究人員偶然發現了一種迄今未知的數據清除惡意軟件,它可能是本月早些時候針對伊朗鐵路系統的破壞性網絡攻擊的一部分。SentinelLabs的研究人員能夠重建攻擊鏈的大部分,其中包括一個有趣的從未見過的擦除器軟件。OPSEC的錯誤讓研究人員知道,攻擊者稱這個雨刷為“流星”,這促使研究者將該攻擊活動命名為MeteorExpress。目前,還無法將此次活動與先前確認的威脅組織聯系起來,也無法將其與其他襲擊聯系起來。然而,初步分析表明,這個擦除器是在過去三年開發的,是為重用而設計的。為了鼓勵進一步發現這一新的威脅行為者,研究人員共享了攻擊指標,鼓勵其他安全研究人員共同探尋真相。
7月9日,不明原因的網絡攻擊導致伊朗火車系統癱瘓。攻擊者嘲笑伊朗政府,因為被黑客入侵的顯示器指示乘客將投訴指向伊朗最高領袖哈梅內伊辦公室的電話號碼。
惡意軟件攻擊導致伊朗鐵路系統癱瘓的神秘事件曝光之后,SentinelOne威脅追蹤者重建了攻擊鏈,發現了一個破壞性擦除器組件,可以用來從受感染的系統中刪除數據。
擦除器被認為是所有惡意軟件中最具破壞性的一種,在中東地區的攻擊中發現最多,2012年針對沙特阿美(Saudi Aramco)石油公司的Shamoon攻擊就是最突出的例子。
在一份研究報告中,SentinelOne威脅研究機構的胡安·安德烈斯·格雷羅-薩德(Juan Andres Guerrero-Saade)表示,這款之前從未見過的擦除器惡意軟件是在過去三年開發出來的,似乎是為了在多個行動中重復使用而設計的。
根據惡意軟件文件中發現的構件,SentinelOne使用MeteorExpress的代號來標識該擦除器惡意軟件。
格雷羅-薩德說:“(這有)一個陌生攻擊者的指紋。”他指出,他的團隊無法捕獲與惡意軟件擦除器組件相關的所有文件。
“雖然我們能夠為擦除器攻擊恢復數量驚人的文件,但有些文件還是逃過了我們的追蹤。MBR(主引導記錄)破壞程序‘ nti.exe ’是這些缺失的組件中最引人注目的,”格雷羅解釋說。
他說,整個工具包是幾個批處理文件的組合,從RAR壓縮文檔中刪除了不同的組件。擦除器組件按照功能進行分工:Meteor基于加密配置對文件系統進行加密,nti.exe破壞MBR, mssetup.exe鎖定系統。
Guerrero-Saade還指出,整個工具包存在“奇怪的分裂程度”。他指出,批處理文件生成其他批處理文件,不同的rar檔案包含混合的可執行文件,甚至預期的操作被分成三個有效載荷。
“Meteor會清除文件系統,mssetup.exe會鎖定用戶,而nti.exe可能會破壞MBR,”他說,研究團隊提供了有關惡意軟件內部工作的技術文檔。
“在其最基本的功能中,MeteorExpress從加密配置中獲取一組路徑,并在這些路徑上搜索,清除文件。它還確保刪除影子副本,并將機器從域中移除,以避免使用快速修復的方法。”他說。
這種擦除器還可以用來更改所有用戶的口令、禁用屏保、根據目標進程列表終止進程、安裝屏幕鎖、禁用恢復模式或創建計劃任務。
Guerrero-Saade在Meteor擦除器中發現了一些線索,指出了一種外部可配置的設計,可以在不同的操作中有效重用。“擦除器的外部配置性質決定了它不是為這種特殊操作而設計的。”
研究團隊在報告結論中指出,網絡空間的沖突充斥著越來越多無恥的威脅行為者。在這個史詩般的噴子的藝術背后,隱藏著一個令人不安的現實:一個以前不為人知的威脅行為者愿意利用擦除器惡意軟件攻擊公共鐵路系統。攻擊者是一個中級水平的玩家,其不同的操作組件從笨拙和初級到靈活和發達,急劇振蕩。
一方面,有一個新的外部可配置的擦除器,它充滿了有趣的功能,包括一個成熟的開發過程,以及實現目標的冗余手段。甚至他們的批處理腳本也包括廣泛的錯誤檢查,這是部署腳本很少遇到的特性。他們的攻擊旨在削弱受害者的系統,使其無法通過域管理或影子副本恢復進行簡單的補救。
另一方面,研究人員看到一個對手還沒有處理的部署管道,他們的惡意軟件樣本中包含與此特定操作無關的大量調試功能。不同的攻擊組件之間存在功能冗余,這表明團隊之間的職責分工不協調。文件以笨拙、冗長和雜亂無章的方式分發,這與高級攻擊者不相稱。
在濃霧中,我們還不能看清這個對手的輪廓。也許這是一個不擇手段的雇傭軍組織。目前,任何形式的歸因都是純粹的猜測,有可能將多個國家之間的既得利益、手段和動機的激烈沖突簡單化。
在這個史詩般的巨魔/令人震驚的挑釁背后,有更多的發現,了解背后的攻擊者。應該記住,攻擊者已經熟悉其目標的一般設置、域控制器的特性以及目標的備份系統(Veeam)的選擇。這意味著一個完全在雷達下飛行的偵察階段,以及尚未發現的大量間諜工具。
SentinelOne發布了攻擊指標(IOCs)和YARA規則,以鼓勵對這個神秘的威脅行為者進行進一步研究。
