恶意软件shamoon将文档变成攻击武器
2017-03-09 14:42:09
ibm x-force 事件响应与情报服务(iris)团队:臭名昭著的磁盘清除恶意软件shamoon,利用启用宏的文档和powershell脚本感染目标系统。
最近,针对沙特阿拉伯和其他波斯湾国家的攻击中,发现了shamoon 2的身影。该恶意软件还有另一个名称——disttrack,其变种很多,包括一款能够攻击虚拟桌面基础架构(vdi)产品的。
赛门铁克近期进行的一份分析显示:shamoon背后的攻击者,也就是很多人认为的伊朗黑客,可能有昵称为greenbug的黑帽子相助。赛门铁克在同一系统中发现这两个恶意软件的存在后,将greenbug和shamoon联系了在一起。
x-force iris 研究人员分析了最近一波的shamoon攻击,确认最初的泄露可能在该恶意软件部署并激活前数周就已发生。
需要指出的是,很多案例中,shamoon都被编程为在特定的日期和时间发动,尤其是在目标公司的员工不太可能注意到其活动的时候。
专家认为,攻击者采用武器化office文档作为入口点。这些文档包含有恶意宏,一旦执行,就会启动命令与控制(c&c)通信,并通过powershell建立远程shell。
这些恶意文件通常包含有简历和其他人力资源文档,通过渔叉式网络钓鱼邮件发送给目标用户。ibm发现的其中一些文档提到了一家位于埃及的软件人才服务公司——it worx,以及沙特阿拉伯的商务与投资部(mci)。
文档一被打开,就会执行宏代码,然后启动powershell建立信道,使攻击者能够在被感染设备上远程执行指令。
攻击者还能借此部署其他工具和恶意软件,获得对受害者网络的进一步访问权。一旦关键服务器被发现,攻击者就可以部署shamoon,清除硬盘数据,导致系统无法运作。
文档中发现的宏会执行两个powershell脚本,其中一个来自托管了跨平台远程访问工具(rat)pupy的某个域名。该rat和域名,在对名为“魔法猎犬( magic hound )”的伊朗相关黑客活动的分析中也有出现。
ibm研究人员相信,最近的分析和沙特阿拉伯发布的警告,有可能会让shamoon攻击者再次消失,就像他们在2012年沙特阿美行动后销声匿迹一样,并且为下一波攻击修改战术。
官方微信