伊朗铁路系统网络攻击元凶初现端倪
2021-07-30
来源:网空闲话
SentinelOne的安全研究人员偶然发现了一种迄今未知的数据清除恶意软件,它可能是本月早些时候针对伊朗铁路系统的破坏性网络攻击的一部分。SentinelLabs的研究人员能够重建攻击链的大部分,其中包括一个有趣的从未见过的擦除器软件。OPSEC的错误让研究人员知道,攻击者称这个雨刷为“流星”,这促使研究者将该攻击活动命名为MeteorExpress。目前,还无法将此次活动与先前确认的威胁组织联系起来,也无法将其与其他袭击联系起来。然而,初步分析表明,这个擦除器是在过去三年开发的,是为重用而设计的。为了鼓励进一步发现这一新的威胁行为者,研究人员共享了攻击指标,鼓励其他安全研究人员共同探寻真相。
7月9日,不明原因的网络攻击导致伊朗火车系统瘫痪。攻击者嘲笑伊朗政府,因为被黑客入侵的显示器指示乘客将投诉指向伊朗最高领袖哈梅内伊办公室的电话号码。
恶意软件攻击导致伊朗铁路系统瘫痪的神秘事件曝光之后,SentinelOne威胁追踪者重建了攻击链,发现了一个破坏性擦除器组件,可以用来从受感染的系统中删除数据。
擦除器被认为是所有恶意软件中最具破坏性的一种,在中东地区的攻击中发现最多,2012年针对沙特阿美(Saudi Aramco)石油公司的Shamoon攻击就是最突出的例子。
在一份研究报告中,SentinelOne威胁研究机构的胡安·安德烈斯·格雷罗-萨德(Juan Andres Guerrero-Saade)表示,这款之前从未见过的擦除器恶意软件是在过去三年开发出来的,似乎是为了在多个行动中重复使用而设计的。
根据恶意软件文件中发现的构件,SentinelOne使用MeteorExpress的代号来标识该擦除器恶意软件。
格雷罗-萨德说:“(这有)一个陌生攻击者的指纹。”他指出,他的团队无法捕获与恶意软件擦除器组件相关的所有文件。
“虽然我们能够为擦除器攻击恢复数量惊人的文件,但有些文件还是逃过了我们的追踪。MBR(主引导记录)破坏程序‘ nti.exe ’是这些缺失的组件中最引人注目的,”格雷罗解释说。
他说,整个工具包是几个批处理文件的组合,从RAR压缩文档中删除了不同的组件。擦除器组件按照功能进行分工:Meteor基于加密配置对文件系统进行加密,nti.exe破坏MBR, mssetup.exe锁定系统。
Guerrero-Saade还指出,整个工具包存在“奇怪的分裂程度”。他指出,批处理文件生成其他批处理文件,不同的rar档案包含混合的可执行文件,甚至预期的操作被分成三个有效载荷。
“Meteor会清除文件系统,mssetup.exe会锁定用户,而nti.exe可能会破坏MBR,”他说,研究团队提供了有关恶意软件内部工作的技术文档。
“在其最基本的功能中,MeteorExpress从加密配置中获取一组路径,并在这些路径上搜索,清除文件。它还确保删除影子副本,并将机器从域中移除,以避免使用快速修复的方法。”他说。
这种擦除器还可以用来更改所有用户的口令、禁用屏保、根据目标进程列表终止进程、安装屏幕锁、禁用恢复模式或创建计划任务。
Guerrero-Saade在Meteor擦除器中发现了一些线索,指出了一种外部可配置的设计,可以在不同的操作中有效重用。“擦除器的外部配置性质决定了它不是为这种特殊操作而设计的。”
研究团队在报告结论中指出,网络空间的冲突充斥着越来越多无耻的威胁行为者。在这个史诗般的喷子的艺术背后,隐藏着一个令人不安的现实:一个以前不为人知的威胁行为者愿意利用擦除器恶意软件攻击公共铁路系统。攻击者是一个中级水平的玩家,其不同的操作组件从笨拙和初级到灵活和发达,急剧振荡。
一方面,有一个新的外部可配置的擦除器,它充满了有趣的功能,包括一个成熟的开发过程,以及实现目标的冗余手段。甚至他们的批处理脚本也包括广泛的错误检查,这是部署脚本很少遇到的特性。他们的攻击旨在削弱受害者的系统,使其无法通过域管理或影子副本恢复进行简单的补救。
另一方面,研究人员看到一个对手还没有处理的部署管道,他们的恶意软件样本中包含与此特定操作无关的大量调试功能。不同的攻击组件之间存在功能冗余,这表明团队之间的职责分工不协调。文件以笨拙、冗长和杂乱无章的方式分发,这与高级攻击者不相称。
在浓雾中,我们还不能看清这个对手的轮廓。也许这是一个不择手段的雇佣军组织。目前,任何形式的归因都是纯粹的猜测,有可能将多个国家之间的既得利益、手段和动机的激烈冲突简单化。
在这个史诗般的巨魔/令人震惊的挑衅背后,有更多的发现,了解背后的攻击者。应该记住,攻击者已经熟悉其目标的一般设置、域控制器的特性以及目标的备份系统(Veeam)的选择。这意味着一个完全在雷达下飞行的侦察阶段,以及尚未发现的大量间谍工具。
SentinelOne发布了攻击指标(IOCs)和YARA规则,以鼓励对这个神秘的威胁行为者进行进一步研究。