血雨腥风未止,IBM公布Shamoon恶意程序攻击链细节

安全
据IBM的报告,专家认为,最近攻击事件中使用Shamoon的攻击者高度依赖武器化文件,攻击者构建这些文件以利用PowerShell建立最初的据点,并发起后续的行动。

可怕的Shamoon恶意程序,即Disttrack,最近重现江湖。政府机构和威胁情报公司正在调查最近一系列与其相关的攻击事件。那么,Shamoon又引起了哪些血雨腥风,详情请看孙毛毛同学的报道。

[[184034]]

背景

Shamoon首秀发生在2012年8月15日,当时沙特阿拉伯石油公司Saudi Aramco对外宣布,其系统和内部网络遭遇了网络攻击。根据该公司提供的信息,Shamoon感染了3万多个工作站。

2016年12月,安全专家观察到新一波利用Shamoon恶意程序发起的网络攻击。Palo Alto Networks和Symantec的安全专家都报道了针对某个沙特阿拉伯企业的网络攻击。Shamoon的新变种,也就是所谓的Shamoon 2,会用3岁叙利亚小男孩陈尸土耳其海岸的照片改写感染设备上的MBR。

据Symantec的报道,Shamoon为何突然卷土重来,目前尚未可知。但是,因为Shamoon的payload破坏性极强,攻击者很明显是要让其目标警醒起来。

今年1月,Palo Alto Networks的研究人员发现了新的Shamoon 2恶意程序,针对的是一些可视化产品。IBM X-Force事件响应和情报服务(IRIS)的研究人员认为,Shamoon恶意程序是沙特阿拉伯和伊朗两国间信息战争的重要元素。研究人员已发现用来传输Shamoon的服务器,并已攻入攻击者使用的服务器,收集了更多信息,以研究Shamoon带来的威胁及其攻击链。

据IBM的报告,专家认为,最近攻击事件中使用Shamoon的攻击者高度依赖武器化文件,攻击者构建这些文件以利用PowerShell建立最初的据点,并发起后续的行动。

攻击过程

  1. 攻击者向目标企业的员工发送钓鱼邮件。邮件中包含一个Office文档的附件。
  2. 打开附件,触发PowerShell脚本,运行命令行,访问感染设备。
  3. 攻击者与感染设备通信,并远程在感染设备上执行命令。
  4. 攻击者利用其访问权限,部署其他工具和恶意程序至其他端点,或在网络中提升权限。
  5. 攻击者连接其他系统,定位关键服务器,来研究该网络。
  6. 攻击者部署Shamoon恶意程序。
  7. Shamoon开始爆发,企业中所有感染设备上的硬盘数据都会被彻底删除。

血雨腥风未止,IBM公布Shamoon恶意程序攻击链细节

攻击者一般通过冒充可信人员,比如沙特阿拉伯商务投资部或埃及软件公司IT Worx,向目标对象发起鱼叉式钓鱼攻击。通过邮件发过来的Word文档一般标记为简历、医保材料或者密码策略指南等受害者可能感兴趣的内容。文件中包含一个恶意宏,这个恶意宏就是攻击的开端。当受害者运行宏时,它会启动两个Powershell脚本。

第一个脚本通过HTTP从139.59.46.154:3485/eiloShaegae1上下载并执行令一个Powershell脚本。第二个脚本使用VirtualAlloc库调用,建立内存缓冲,并通过HTTP从45.76.128.165:4443/0w0O6上获取shell代码,拷贝至该缓冲区,并用CreateThread执行代码。这个线程会建立另一个缓冲区,然后把从45.76.128.165:4443/0w0O6上获取的一个PowerShell脚本放到这个缓冲区,并运行该脚本。

根据我们对此恶意文档的观察,我们发现后续shell会话可能与Metasploit的Meterpreter有关,部署了其他的工具和恶意程序后,再部署了三个与Shamoon有关的文件:ntertmgr32.exe、ntertmgr64.exe和vdsk911.sys。研究人员发现了用来放置这些恶意可执行文件并发起攻击的两个web域:

Ntg-sa[.]com,伪装为沙特阿拉伯石化公司Namer Trading Group合法域ntg.sa.com。

maps-modon[.]club,假冒maps.modon.gov.sa,这个网站与沙特阿拉伯工业产权机构有关。

系统管理员可根据上述信息,检查与上述域有关的连接,并加以阻止。研究人员还发现,攻击者利用感染设备,来侦察并收集网络中的信息,并盗取敏感数据。这个阶段完成后,攻击者将部署Shamoon payload。沙特阿拉伯已提醒当地企业,注意防范Shamoon恶意程序。专家认为,攻击者将临时隐身、改变战略,并继续其行动。

报告全文:

IBM:
https://securityintelligence.com/the-full-shamoon-how-the-devastating-malware-was-inserted-into-networks/

Symantec:
https://www.symantec.com/connect/blogs/shamoon-back-dead-and-destructive-ever

责任编辑:未丽燕 来源: FreeBuf.COM
相关推荐

2011-08-11 11:26:11

2013-10-25 13:49:27

2017-03-08 09:42:43

2021-09-17 09:34:29

恶意程序WSL黑客

2016-12-26 15:28:34

恶意程序PowerShellA程序

2010-12-17 10:01:00

2011-03-30 11:17:34

2013-03-07 09:26:47

2012-10-24 17:21:46

2011-03-30 09:20:08

2012-06-04 09:16:39

2015-01-06 11:37:58

恶意程序查杀Rootkit Hun

2013-09-30 09:59:46

2011-05-04 16:48:50

2012-07-25 09:25:38

恶意程序蠕虫病毒

2009-05-09 18:22:33

2010-04-07 15:53:46

2021-04-28 09:35:16

恶意程序恶意代码、攻击

2021-01-15 10:10:24

恶意程序包程序包恶意代码

2014-05-29 09:34:25

点赞
收藏

51CTO技术栈公众号