安基網 首頁 資訊 安全報 查看內容

從數據粉碎機ZeroCleare,看伊朗黑客的“摧毀型”攻擊

2019-12-8 13:12| 投稿: xiaotiger |來自: 互聯網


免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

摘要: 2012年開始,“破壞王”Shamoon憑借著近乎不可逆的數據摧毀攻擊,成為了波斯灣石油巨頭們的噩夢。 到了2019年,Shamoon陰云還未散去,毀滅者ZeroCleare空降中東,給局勢焦灼的海灣,再添陰霾。昨天,IBM的X-Force事 ...
大家好,我是零日情報局。

2012年開始,“破壞王”Shamoon憑借著近乎不可逆的數據摧毀攻擊,成為了波斯灣石油巨頭們的噩夢。 到了2019年,Shamoon陰云還未散去,毀滅者ZeroCleare空降中東,給局勢焦灼的海灣,再添陰霾。

昨天,IBM的X-Force事件響應和情報服務(IRIS)發布報告,披露了一種全新的破壞性數據清除惡意軟件ZeroCleare,該惡意軟件以最大限度刪除感染設備數據為目標。

IBM雖沒有透露此次遭受攻擊的具體公司,但可以確認ZeroCleare瞄準的是中東的能源和工業部門,且初步估算已有1400臺設備遭感染。

與之前Shamoon非常相似,ZeroCleare用來執行破壞性攻擊,主要是擦除主引導記錄(MBR),并損壞大量網絡設備上的磁盤分區,說白了就是大肆刪數據。




除此以外,IBM報告也證實,ZeroCleare和破壞性惡意軟件Shamoon同宗,都是出自伊朗資助的頂級黑客組織之手。不同的是,Shamoon來自APT33組織,而ZeroCleare由APT34(Oilrig)和Hive0081(aka xHunt)組織協作開發。

從可查資料來看,伊朗黑客組織APT34(Oilrig)至少從2014年起就瞄準中東和國際受害者,目標也多集中在金融、政府、能源、化工和電信等關乎國家安全的重要領域。可以說,APT34的整體攻擊動向,與伊朗國家利益和作戰時間安排保持高度一致。

通過各種網絡手段,幫助政府達成政治、經濟、軍事目的,是APT34一類國家級黑客組織行動的核心。今年早期,APT34(Oilrig)就曾偽裝成劍橋大學相關人員,使用LinkedIn傳送惡意文件,進行網絡釣魚攻擊,預謀竊取重要信息。

至于與APT34(Oilrig)合作的xHunt組織,此前有人將二者視為同一組織,但此次IBM特別強調ZeroCleare由伊朗APT34和xHunt共同創建,可見這極可能是伊朗的又一支隱蔽而強大的網絡力量。



從披露的攻擊進程來看,執行ZeroCleare惡意程序前,黑客會先通過暴力攻擊,訪問安全性較弱的公司網絡帳戶,而當拿到公司服務器帳戶的訪問權限后,就會利用SharePoint漏洞安裝China Chopper、Tunna一類的Web Shell工具。

隨后,攻擊者便會在入侵設備上,開啟橫向擴散模式,部署ZeroCleare數據摧毀惡意軟件,上演破壞性的數據擦除攻擊。至于攻擊細節上,一個叫EldoS RawDisk的合法工具包無形中成了ZeroCleare的推手。


EldoS RawDisk是一個主要用于與文件、磁盤和分區進行交互的合法工具包。為了順利運行ZeroCleare,攻擊者會先通過名為soy.exe的中間文件,加載易受攻擊簽名驅動程序VBoxDrv,強制(DSE)接受并運行驅動程序。

成功拿到權限后,ZeroCleare就會通過濫用合法工具包EldoS Raw Disk的方式,擦除MBR并損壞大量網絡設備上的磁盤分區,達到破壞性攻擊的目的。

值得一提的是,為了獲得設備核心的訪問權限,ZeroCleare還會使用易受攻擊的驅動程序和惡意的PowerShell /Batch腳本,繞過Windows控件。




說到數據摧毀攻擊,很容易聯想到2012年首現,直至18年還在中東地區肆虐,針對性攻擊沙特國家石油公司的同類惡意軟件Shamoon。

被譽為“無敵破壞王”的Shamoon曾在2012年,因破壞性清除了沙特國家石油公司 35000臺計算機數據,導致石油業務停擺數周而名噪一時,也因此被稱為最危險的惡意軟件之一。


甚至在2018年,變種Shamoon還被用于針對沙特國家石油公司海外承包商的定向打擊,影響近400臺服務器和多達100臺個人計算機,殃及沙特石油業務運轉。



一方面,數據擦除作為一種兼具大規模破壞、巨額損失、漫長恢復時間成本,以及摧毀式特性的攻擊手段,一直被圈里人稱之為最惡劣的攻擊方式。另一方面,中東作為占世界已探明石油儲量約64.5%的地區,石油化工市場不僅是該地區的經濟支柱,更是全球能源架構的重要中心,任何一次看似輕微的攻擊,都可能波及全球。而正是基于攻擊手段的摧毀性,以及中東石油的重要性,以Shamoon、ZeroCleare為代表的數據擦除惡意軟件,成為了伊朗定向打擊沙特乃至整個中東地區的常用伎倆。


更令人心驚的是,有報告統計,過去一年破壞性網絡攻擊數量激增200%,破壞性惡意軟件正處于極速爆發階段。

零日盤點了近十年來典型的國家級破壞性網絡攻擊,發現純粹的竊取數據和秘密監控已成為一種輔助手段,而像Stuxnet、Shamoon 和Dark Seoul 這樣的破壞性惡意軟件,正越來越多地被擁有國家背景的黑客組織所使用,并逐漸向網絡常規武器化發展。

2010年,世界上第一個數字武器Stuxnet震網病毒現世,美國利用其成功摧毀濃縮鈾離心機,致使伊朗核計劃破產;

2012年,為報復美國震網攻擊,伊朗利用Shamoon惡意軟件,近乎完全地摧毀性刪除了沙特國家石油公司35000 臺電腦數據,并在其公司首頁公然燃燒美國國旗;

2015年,Black Energy降臨烏克蘭,來自俄羅斯的攻擊者使用開源工具包,潛入烏克蘭能源公司,最終導致烏克蘭全國大停電;

再到近日,新型惡意數據擦除軟件ZeroCleare攻擊的冒頭。我們清晰的看見,在國家級的網絡攻防對抗中,破壞性攻擊已成為一種代替常規軍事戰術的手段。


低廉的攻擊代價和高危的攻擊結果,讓破壞性攻擊逐漸泛化,越來越多擁有國家支持背景的黑客,開始利用破壞性攻擊緊盯能源、工控、金融等關鍵性重要領域。

現今還只是在中東地區泛濫,明天會不會被利用于大國之間網絡博弈,沒人可以斷言,但不可忽視破壞性攻擊已成為一種新的趨勢,而我們必須早做準備,才能在復雜的網絡環境下,求一份生機。



小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

本文出自:https://www.toutiao.com/a6767571387121926667/

免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


鮮花

握手

雷人

路過

雞蛋

相關閱讀

最新評論

 最新
返回頂部
洗衣店赚钱联系澳洁 浙江20选5奖金算法 北京赛车开奖直播 五分彩走势图规律 急速赛车小游戏 2020年最新开奖 安徽闲来麻将下载安装苹果版 篮球即时比分188比分网 棋牌游戏网址? 福建体彩31选7绝密公式 30选5开奖号码结果今天