Shamoon/Disttrack恶意软件攻击石油机构 Fireeye说伊朗企图阻止沙特的石油生产

擦除硬盘数据的破坏性恶意软件于11月17日攻击了沙地阿拉伯境内的目标。在首次给石油巨头沙地阿美(Saudi Aramco)造成严重破坏的四年之后,Shamoon/Disttrack恶意软件重新在阿拉伯湾出现。2012年,这个恶意软件擦除了约30000台电脑的硬盘数据,明显地试图阻止沙特的石油生产。现在这个恶意软件重新出现,显然在攻击该地区的多个机构。

Fireeye说自己阻止了针对沙特石油机构的攻击事件

FireEye昨天报告称,其事件响应和处理公司Mandiant在11月中旬“响应了针对阿拉伯湾国家一个机构的Shamoon 2.0攻击事件。之后,Mandiant已响应多起针对该地区其他机构的攻击事件。”

Symantec也发布了类似的报告:“曾在2012年攻击沙特能源行业的高攻击性硬盘擦除恶意软件Shamoon(W32.Distrack)突然回归,被用于发动新一轮针对沙特境内目标的攻击。”

报告没有给出受害机构的名称,也没有关于出现2012年阿美事件同等规模“破坏”的公开新闻。要么是受害者对攻击事件保密,要么是现代反恶意软件产品检测到了这个恶意软件并阻止它造成太大的破坏。这些信息只能慢慢地显现出来。

Shamoon是什么

Shamoon,也称为 Disttrack,是在 2012 年,针对 NT 基于内核版本的 Microsoft Windows 发现的模块化计算机病毒。这种病毒已经用于能源部门的网络间谍活动。赛门铁克、 卡巴斯基实验室 在 2012 年 8 月 16 日宣布发现了它。

Shamoon病毒与Flame病毒类似,能够直接将感染用户电脑内的数据发送到网络,而且在传完数据之后恶毒的将电脑上的数据永久删除,甚至包括主引导记录,直接就导致系统瘫痪,不能开机。Shamoon病毒本身的文件大小只有900k,但是内部的资源都是经过完整加密的。

Shamoon 2.0

Shamoon 2.0是原始恶意软件的改进版本,并且分析师认为相似的攻击方法表明攻击者还是原来那批家伙。2012年,一个自称为正义之剑(Cutting Sword of Justice)表示为攻击负责;但人们普遍认为伊朗政府资助了该攻击。

Shamoon 2.0中的组件与原始版本中的组件相同。它使用了能直接访问文件、分区和硬盘的商用硬盘擦除工具(来自Eldos Corporation公司的RawDisk)。这个工具会被配置为下列三种覆写模式中的一种:用随机key和RC4值加密数据,用加密时用的随机值覆写硬盘数据,或者用一个JPEG图片覆写文件和分区表。

2012年和2016年的攻击都用了JPEG方法。2012年时的图片是燃烧着的星条旗,而2016年则是叙利亚溺水难民儿童Alan Kurdi的标志性图片。

在这两次攻击中,RawDisk使用了相同的驱动。它使用了2012年8月过期的临时license。Shamoon 2.0直接重置了系统时间,来利用这个license文件。Palo Alto第42研究小组说:

“修改系统时间的做法在之前的攻击中出现过,而这次攻击中wiper组件所使用的临时license跟2012年攻击中的license完全一样。”

第42小组还认为,Shamoon 2.0专注于破坏,“因为这些样本被配置为向一个不可运行的C2服务器报告,并且被设置的数据擦除开始时间恰恰在2016年11月17日晚上20点45分。”和2012年的攻击一样,这个时间点是沙特国内一周工作日的结尾,令恶意软件有整个周末的时间进行传播并造成最大的破坏。

Shamoon 2.0运作机制是扫描共享、写入计划任务、擦除主引导记录

在目标内部的传播方法显示这是一次精心策划的攻击。首先,这个恶意软件尝试利用当前权限访问目标系统共享的ADMIN$、C$\Windows、D$\Windows和E$\Windows目录。FireEye报告说,如果当前权限不够,

“它就利用在攻击早期阶段获取的、针对具体域的硬编码凭据(特权凭据,像域管理员或本地管理员凭据)来达到同样的目的。” 

小编只在Fireeye的blog上看到一篇文章,说明了的一些特性。

  • 该恶意软件扫描 目标系统每个接口上的C 类子网
  • 恶意软件尝试使用当前权限访问 ADMIN$、C$ \Windows、D$ \Windows、 E$ \Windows 共享
  • 如果当前的权限不足以访问上述共享,它使用硬编码,域特定的凭据 (特权凭据,可能的域管理员或本地管理员),再次进行访问尝试
  • 一旦它具有访问权限,它启用目标设备上的远程注册表服务,并将如下键值设置为 0,以便启用共享访问

     

    • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LocalAccountTokenFilterPolicy 
  • 一旦成功,它将 ntssrvr32.exe 复制到目标系统的 %WINDIR%\system32 ,然后启动一个未命名的计划任务 (例如 At1.job) ,以便执行恶意软件
  • 已经识别的恶意软件样本包含了一个硬编码的日期,以便实施擦除动作。系统将在不久之后的启动过程中遭受恶意软件攻击
  • 恶意软件将系统时钟设置为2012 年 8 月的一个随机日期 。分析表明,这可能是为了确保组件 (恶意使用合理的驱动),以便在其许可证有效期内擦除主引导记录 (MBR)和 卷引导记录 (VBR) 
  • 最初版本的 Shamoon 恶意软件试图用一个燃烧的美国国旗图像,覆盖操作系统文件,但在最近发现的变种中发现了不同的JPG图像,是alan Kurdi的照片,描述叙利亚儿童移徙者试图穿越地中海时死亡的情景

F-Secure说Shamoon 2.0攻击者是伊朗

没有人指称受害者或加害者。公众普遍认为这次攻击与2012年的攻击一样。这把源头指向了伊朗。Crowdstrike的联合创始人和首席技术官Dmitri Alperovitch声称,2012年的攻击受“伊朗情报需求的驱动。这些需求来自,或者至少部分来自国际社会对伊朗的制裁活动。这些活动影响了伊朗的经济。”这次,公众的普遍观点将攻击关联到“欧佩克组织在维也纳召开的第171次大会,这次大会达成8年来首次石油减产的共识”。

与此相反的论点认为,欧佩克减产将抬高石油价格(已经发生),对伊朗经济有利。然而,F-Secure的Sean Sullivan在推特上说:“伊朗在跛脚鸭期间掺和到这次网络攻击中?真鲁莽。”

当被问及攻击者是谁及为什么是谁时,他对SecurityWeek说:“攻击者是伊朗。原因是也门(等)。这是沙特和伊朗间正在进行的冷战/代理人战争的一部分。为什么现在发动攻击?也许伊朗在美国‘跛脚鸭’期间有胆量在网络领域采取行动。这很可能是测试(美国)新政府反应的好方法。”

考虑到美国侯任总统特朗普对待伊朗的强硬立场众人皆知,这真的可能是第二个动机。然而,尽管目前已有迹象,但将Shamoon 2.0攻击明确归咎于伊朗是错误的。在更多证据出现之前,下这样的结论还太早。Mandiant可能掌握了这样的证据,但还没有将其公开。

发表评论