据外媒报道,网络安全公司SentinelOne的研究人员在一份新报告中重建了最近对伊朗火车系统的网络攻击并发现了一种新的威胁因素--他们将其命名为MeteorExpress--这是一种以前从未见过的wiper。
7月9日,当地媒体开始报道针对伊朗火车系统的网络攻击,黑客在火车站的显示屏上涂鸦以要求乘客拨打伊朗最高领袖哈梅内伊办公室的电话号码“64411”。
火车服务中断仅一天之后,黑客就关闭了伊朗运输部的网站。据路透社报道,在网络攻击目标成为道路与城市发展部的电脑后,该部门的门户网站和副门户网站都发生了瘫痪。
SentinelOne首席威胁分析师Juan Andres Guerrero-Saade在他的调查中指出,袭击背后的人将这种从未见过的wiper称为Meteor并在过去三年开发了它。
Guerrero-Saade指出:“目前,我们还无法将这一活动跟先前确定的威胁组织或其他攻击联系起来。”他补充称,多亏了安全研究员Anton Cherepanov和一家伊朗反病毒公司,他们才得以重建这次攻击。“尽管缺乏具体指标的妥协,我们能恢复在帖子中描述的大部分攻击组件以及他们错过的额外组件。在这个关于火车停站和油嘴滑舌的网络巨魔的离奇故事背后,我们发现了一个陌生攻击者的指纹。”
Guerrero-Saade表示,Padvish安全研究人员的早期分析是SentinelOne重建的关键,同时“恢复的攻击者伪造物包括更长的组件名称列表”。
“攻击者滥用Group Police来分发cab文件进行攻击。整个工具包由批处理文件组合而成,这些批处理文件协调了从RAR档案中删除的不同组件,”Guerrero-Saade解释道。
“档案用攻击者提供的Rar.exe解压,密码为'hackemall'。攻击组件是按功能划分的:Meteor基于加密配置加密文件系统,nti.exe破坏MBR,mssetup.exe则锁定系统。”
SentinelOne发现,大多数攻击是通过一组批处理文件嵌套在各自的组件旁边并在连续执行中链接在一起。
该批文件通过伊朗铁路网共享的CAB文件复制了最初的部件。在那里,批处理文件使用自己的WinRAR副本从而从三个额外的档案文件解压额外的组件,这里使用了一个精灵宝可梦主题的密码“hackemall”,这也是在攻击期间在其他地方引用的。
“此时,执行开始分裂成其他脚本。第一个是'cache.bat',它专注于使用Powershell清除障碍并为后续元素做好准备。”Guerrero-Saade说道,“'cache.bat'执行三个主要功能。首先,它将断开受感染设备跟网络的连接。然后它检查机器上是否安装了卡巴斯基杀毒软件,在这种情况下它会退出。最后,'cache.bat'将为其所有组件创建WindowsDefender排除并有效地扫清了成功感染的障碍。”
报告解释称,这个特定的脚本对重建攻击链具有指导意义,因为它包括一个攻击组件列表,能让研究人员可以搜索特定的东西。
在部署了两个批处理文件,机器会进入无法引导并清除事件日志的状态。在一系列其他操作之后,update.bat将调用"msrun.bat",它将"Meteor wiper executable as a parameter"。
Guerrero-Saade指出,另一个批处理文件msrun.bat在一个屏幕锁和Meteor wiper的加密配置中移动。名为"mstask"的脚本创建了一个计划任务,然后设置它在午夜前5分钟执行Meteor wiper。
“整个工具包存在一种奇怪的分裂程度。批处理文件生成其他批处理文件,不同的rar档案包含混杂的可执行文件,甚至预期的操作被分成三个有效载荷:Meteor清除文件系统、MSInstall .exe锁定用户、nti.exe可能破坏MBR,”Guerrero-Saade写道。
“这个复杂的攻击链的主要有效载荷是放在'env.exe'或'msapp.exe'下的可执行文件。在内部,程序员称它为“Meteor”。虽然Meteor的这个例子遭遇了严重的OPSEC故障,但它是一个具有广泛功能的外部可配置wiper。”
据报道,Meteor wiper只提供了一个参数,一个加密的JSON配置文件"msconf.conf"。
Meteor wiper删除文件时,它从加密配置删除阴影副本并采取一个机器出域复杂的补救。据报道,这些只是Meteor能力的冰山一角。
虽然在袭击伊朗火车站时没有使用,但wiper可以更改所有用户的密码、禁用屏幕保护程序、基于目标进程列表终止进程、安装屏幕锁、禁用恢复模式、更改启动策略错误处理、创建计划任务、注销本地会话、删除影子副本、更改锁定屏幕图像和执行要求。
Guerrero-Saade指出,wiper的开发人员为该wiper创造了完成这些任务的多种方式。“然而,操作人员显然在编译带有大量用于内部测试的调试字符串的二进制文件时犯了一个重大错误。后者表明,尽管开发人员拥有先进的实践,但他们缺乏健壮的部署管道以确保此类错误不会发生。此外要注意的是,该样本是在部署前6个月编制的且没有发现错误。其次,这段代码是自定义代码的奇怪组合,其封装了开源组件(cppt . httplib v0.2)和几乎被滥用的软件(FSProLabs的Lock My PC 4)。这跟外部可配置的设计并列从而允许对不同操作的有效重用。”
当SentinelOne的研究人员深入研究Meteor时,他们发现,冗余证明wiper是由多个开发人员添加不同组件创建的。
报告还称,wiper的外部可配置特性表明它不是为这种特殊操作而设计的。他们还没有在其他地方看到任何其他攻击或变种Meteor wiper。
研究人员无法将攻击归咎于特定的威胁行为者,但他们指出,攻击者是一个中级水平的玩家。
Guerrero-Saade继续说道,SentinelOne“还不能在迷雾中辨认出这个对手的形态”并推断它是一个不道德的雇佣军组织或有各种动机的国家支持的行动者。
尽管他们无法确定攻击的原因,但他们指出,攻击者似乎熟悉伊朗铁路系统的总体设置以及目标使用的Veeam备份,这意味着威胁行为者在发动攻击之前在该系统中待过一段时间。
据路透社报道,袭击发生时,伊朗官员没有证实是否有人索要赎金也没有证实他们认为谁是袭击的幕后黑手。