搜狐首页 科技 法医秦明

手机搜狐

SOHU.COM

研究人员发现散播Shamoon恶意软件的Web服务器

E安全2月17日讯在Shamoon恶意软件的详细分析报告中,研究人员已经发现并确定了用来散播Shamoon的服务器。Shamoon恶意软件的活跃度较高,在沙特阿拉伯和伊朗网络战中正发挥着巨大的作用。

Shamoon,这种病毒被注名为“W32.Disttrack”以及“W32.EraseMBR”,也被称为Disttrack。Shamoon的主要能力是可以从受感染的设备上清除数据。执行文件里包含了“wiper”字段,以及“ArabianGulf”字段。这一字段也曾在Flame病毒中出现过,Flame曾被认为是由美国和以色列政府共同研发用以攻击伊朗核能源部门的恶意攻击软件。

Shamoon恶意软件于 2012年浮出水面,当时感染了全球最大石油生产公司沙特阿美(Saudi Aramco)3万个工作站,擦除了硬盘数据,使沙特阿美陷入恐慌。自那之后,攻击者不断完善该恶意软件,持续攻击沙特政府和行业的高价值目标,最近一次攻击发生在上个月。

目前,IBM X-Force事件响应和情报服务(IRIS)团队的研究人员认为,他们已经破解了Shamoon操作人员使用的传播技术。研究人员可能知道攻击者如何让恶意软件进入系统,这为IT经理提供绝佳机会,以便IT经理在Shamoon破坏数据之前发现是否存在感染问题。

首先,攻击者会冒充受信任的人向目标企业的员工发送电子邮件,并附加Word文档,将其命名为简历、健康保险文件或密码政策指南。例如,邮件消息可能显示来自IT Worx(一家埃及软件公司)或沙特阿拉伯商务部和投资部。

如果受害者打开附件,文件中的宏将执行两个Powershell脚本。第一个脚本会通过HTTP从139.59.46【.】154:3485/eiloShaegae1下载并执行另一个Powershell脚本。第二个脚本使用VirtualAlloc库调用创建内存缓冲区,通过HTTP从45.76【.】128.165:4443/0w0O6获取Shell代码,将其复制到缓冲区,然后使用CreateThread执行代码。之后,该线程(Thread)会创建另一个缓冲区,通过HTTP用45【.】76.128.165:4443/0w0O6的PowerShell脚本填充缓冲区,并运行。

IBM报告称,“基于对恶意文件的观察,我们发现后续的Shell会话可能与Metasploit的Meterpreter有关,可用来部署附加工具,并对三个与Shamoon相关的文件(ntertmgr32.exe、ntertmgr64.exe和vdsk911.sys)进行前期部署。”

精选