- A+
有史以来最具破坏性的恶意软件家族之一又回来了,研究人员认为其作者正准备再次瞄准中东。
Shamoon数据擦除恶意软件的新版本已经出现,这是第三次在野外看到破坏性病毒 - 研究人员认为新的活动可能即将发生。
Shamoon于2012年首次发现沙特阿美公司遭遇攻击 ,能够销毁受感染机器上的文件,并覆盖主引导(MBR)以摧毁受感染的PC。 事实证明,这种刮水器能力对沙特石油巨头造成了极大的破坏,使该公司30,000个工作站脱机了近一个月。 然后Shamoon进入地下大约四年,然后在2016年重新出现为Shamoon2。 与最初的Shamoon恶意软件一样,更新版本也通过擦除MBR和数据来破坏计算机硬盘驱动器。 它还针对石化目标和沙特阿拉伯中央银行系统,然后再次消失。
现在,根据Chronicle安全研究人员的说法,两个新的样本于2018年12月10日星期一上传到VirusTotal,起源于意大利。 奇怪的是,他们有一个硬编码的触发日期,定于一年前,即2017年12月7日 - 但是,Chronicle尚未发现任何广告系列中的恶意软件(尽管本周在意大利Saipem的攻击可能是Shamoon的工作 - 马上就更多了。
“这种恶意软件的再现非常有趣,”应用情报部门负责人Brandon Levene对Threatpost说。 “触发日期可以适用于多种潜在的思路。”
例如,较旧的日期可能表明恶意软件本身已经过时,但最近才被发现 - Levene表示,如果在触发日期过后使用恶意软件仍然执行,则不太可能。 另一种可能性是恶意软件是预先构建的,现在可以在活动之前部署。 “演员本可以利用故意的历史触发日期立即开始破坏性行动,”Levene告诉我们。
或者,同样令人担忧的是,“演员可以进入一个感兴趣的环境,并希望保证执行他们的破坏性有效载荷,因此他们设定了过去的触发日期,”Levene说。
他补充说,他的团队无法确定是谁创建了样本,也没有人将其上传到VirusTotal。 然而,“再次看到Shamoon在野外是非常不寻常的,因为它具有高度针对性,”Levene说。 “这让我认为选择了一个新的目标。”
关键恶意软件差异
经过分析,这些“Shamoon3”样本与恶意软件的历史版本非常匹配。 但是,除了触发日期之外,与先前变体的显着差异还在于样本中包含的凭证列表的性质。
与其他破坏性恶意软件( 如NotPetya)类似 ,Shamoon使用经过身份验证的Windows Server消息块(SMB)会话进行传播,将自身复制到其他系统。 但是,Shamoon通常使用一组特定于目标组织的硬编码域凭据,而不是使用外部工具或EternalBlue漏洞来渗透网络。
这一次,分析的版本不包含那些凭证,这是其商标,自动化,类似蠕虫的传播所必需的。
“与先前版本不同,此版本中包含的凭证不包含足够的受害者归因信息,”Chronicle在与Threatpost分享的分析中表示。 “进一步的调查结果表明,吊具模块实际上是绝育的,它不包含凭证。”
此外,在2012年和2016年,恶意软件包含一个图像(分别是燃烧的美国国旗或叙利亚难民儿童),用于替换被破坏的文件。 由Chronicle分析的版本仍然具有执行此操作的功能,但此实例中图像的正常位置为空。
“相反,恶意软件只是加密文件并用随机数据覆盖MBR,”Levene说。 他补充道,“最令我惊讶的是,这个变种似乎已经从之前观察到的版本中缩减了。”
此外,与早期代码的主要区别在于用于选择已删除的可执行文件名的文件名列表的更改。 “纪事报”发现,新名单较长,与Shamoon或Shamoon2没有任何重叠。
总的来说,“我将此作为一个非常高的威胁级别。 有针对性地使用具有破坏性的恶意软件是易受攻击组织关注的问题 - 即使没有嵌入式凭证,“Levene告诉我们。 “中东是非经济动机活动的温床,因此继续监测重要资源和行业以获取更多破坏和妥协报告将是明智之举。”
Saipem意大利连线?
虽然Levene说Chronicle没有发现攻击,但意大利石油钻探公司Saipem周一表示,该公司在印度,意大利,中东和苏格兰的300多台服务器遭到了他们怀疑是Shamoon的恶意软件的攻击。
这次攻击“导致了数据和基础设施的取消,恶意软件的典型影响。”它在一份声明中表示,它正在“以受控方式”缓慢恢复其基础设施。但是,它没有提供进一步的细节。
鉴于VirusTotal样本的来源,Saipem很可能在调查过程中上传了样本 - 尽管尚未得到证实。
