伊朗火车系统遭遇网络攻击 研究人员发现新威胁因素
据外媒报道,网络安全公司SentinelOne的研究人员在一份新报告中重建了最近对伊朗火车系统的网络攻击并发现了一种新的威胁因素--他们将其命名为MeteorExpress--这是一种以前从未见过的wiper。
7月9日,当地媒体开始报道针对伊朗火车系统的网络攻击,黑客在火车站的显示屏上涂鸦以要求乘客拨打伊朗最高领袖哈梅内伊办公室的电话号码“64411”。
火车服务中断仅一天之后,黑客就关闭了伊朗运输部的网站。据路透社报道,在网络攻击目标成为道路与城市发展部的电脑后,该部门的门户网站和副门户网站都发生了瘫痪。
SentinelOne首席威胁分析师Juan AndresGuerrero-Saade在他的调查中指出,袭击背后的人将这种从未见过的wiper称为Meteor并在过去三年开发了它。
Guerrero-Saade指出:“目前,我们还无法将这一活动跟先前确定的威胁组织或其他攻击联系起来。”他补充称,多亏了安全研究员AntonCherepanov和一家伊朗反病毒公司,他们才得以重建这次攻击。“尽管缺乏具体指标的妥协,我们能恢复在帖子中描述的大部分攻击组件以及他们错过的额外组件。在这个关于火车停站和油嘴滑舌的网络巨魔的离奇故事背后,我们发现了一个陌生攻击者的指纹。”
Guerrero-Saade表示,Padvish安全研究人员的早期分析是SentinelOne重建的关键,同时“恢复的攻击者伪造物包括更长的组件名称列表”。
“攻击者滥用GroupPolice来分发cab文件进行攻击。整个工具包由批处理文件组合而成,这些批处理文件协调了从RAR档案中删除的不同组件,”Guerrero-Saade解释道。
“档案用攻击者提供的Rar.exe解压,密码为'hackemall'。攻击组件是按功能划分的:Meteor基于加密配置加密文件系统,nti.exe破坏MBR,mssetup.exe则锁定系统。”
SentinelOne发现,大多数攻击是通过一组批处理文件嵌套在各自的组件旁边并在连续执行中链接在一起。
该批文件通过伊朗铁路网共享的CAB文件复制了最初的部件。在那里,批处理文件使用自己的WinRAR副本从而从三个额外的档案文件解压额外的组件,这里使用了一个精灵宝可梦主题的密码“hackemall”,这也是在攻击期间在其他地方引用的。
“此时,执行开始分裂成其他脚本。第一个是'cache.bat',它专注于使用Powershell清除障碍并为后续元素做好准备。”Guerrero-Saade说道,“'cache.bat'执行三个主要功能。首先,它将断开受感染设备跟网络的连接。然后它检查机器上是否安装了卡巴斯基杀毒软件,在这种情况下它会退出。最后,'cache.bat'将为其所有组件创建WindowsDefender排除并有效地扫清了成功感染的障碍。”
报告解释称,这个特定的脚本对重建攻击链具有指导意义,因为它包括一个攻击组件列表,能让研究人员可以搜索特定的东西。
在部署了两个批处理文件,机器会进入无法引导并清除事件日志的状态。在一系列其他操作之后,update.bat将调用"msrun.bat",它将"Meteorwiperexecutable as a parameter"。
Guerrero-Saade指出,另一个批处理文件msrun.bat在一个屏幕锁和Meteorwiper的加密配置中移动。名为"mstask"的脚本创建了一个计划任务,然后设置它在午夜前5分钟执行Meteorwiper。
“整个工具包存在一种奇怪的分裂程度。批处理文件生成其他批处理文件,不同的rar档案包含混杂的可执行文件,甚至预期的操作被分成三个有效载荷:Meteor清除文件系统、MSInstall.exe锁定用户、nti.exe可能破坏MBR,”Guerrero-Saade写道。
“这个复杂的攻击链的主要有效载荷是放在'env.exe'或'msapp.exe'下的可执行文件。在内部,程序员称它为“Meteor”。虽然Meteor的这个例子遭遇了严重的OPSEC故障,但它是一个具有广泛功能的外部可配置wiper。”
据报道,Meteor wiper只提供了一个参数,一个加密的JSON配置文件"msconf.conf"。
Meteor wiper删除文件时,它从加密配置删除阴影副本并采取一个机器出域复杂的补救。据报道,这些只是Meteor能力的冰山一角。
虽然在袭击伊朗火车站时没有使用,但wiper可以更改所有用户的密码、禁用屏幕保护程序、基于目标进程列表终止进程、安装屏幕锁、禁用恢复模式、更改启动策略错误处理、创建计划任务、注销本地会话、删除影子副本、更改锁定屏幕图像和执行要求。
Guerrero-Saade指出,wiper的开发人员为该wiper创造了完成这些任务的多种方式。“然而,操作人员显然在编译带有大量用于内部测试的调试字符串的二进制文件时犯了一个重大错误。后者表明,尽管开发人员拥有先进的实践,但他们缺乏健壮的部署管道以确保此类错误不会发生。此外要注意的是,该样本是在部署前6个月编制的且没有发现错误。其次,这段代码是自定义代码的奇怪组合,其封装了开源组件(cppt.httplib v0.2)和几乎被滥用的软件(FSProLabs的Lock My PC4)。这跟外部可配置的设计并列从而允许对不同操作的有效重用。”
当SentinelOne的研究人员深入研究Meteor时,他们发现,冗余证明wiper是由多个开发人员添加不同组件创建的。
报告还称,wiper的外部可配置特性表明它不是为这种特殊操作而设计的。他们还没有在其他地方看到任何其他攻击或变种Meteor wiper。
研究人员无法将攻击归咎于特定的威胁行为者,但他们指出,攻击者是一个中级水平的玩家。
Guerrero-Saade继续说道,SentinelOne“还不能在迷雾中辨认出这个对手的形态”并推断它是一个不道德的雇佣军组织或有各种动机的国家支持的行动者。
尽管他们无法确定攻击的原因,但他们指出,攻击者似乎熟悉伊朗铁路系统的总体设置以及目标使用的Veeam备份,这意味着威胁行为者在发动攻击之前在该系统中待过一段时间。
据路透社报道,袭击发生时,伊朗官员没有证实是否有人索要赎金也没有证实他们认为谁是袭击的幕后黑手。
推荐系统
雨林木风 winxp下载 纯净版 永久激活 winxp ghost系统 sp3 系统下载
系统大小:0MB系统类型:WinXP雨林木风在系统方面技术积累雄厚深耕多年,打造了国内重装系统行业知名品牌,雨林木风WindowsXP其系统口碑得到许多人认可,积累了广大的用户群体,是一款稳定流畅的系统,雨林木风 winxp下载 纯净版 永久激活 winxp ghost系统 sp3 系统下载,有需要的朋友速度下载吧。
系统等级:进入下载 >萝卜家园win7纯净版 ghost系统下载 x64 联想电脑专用
系统大小:0MB系统类型:Win7萝卜家园win7纯净版是款非常纯净的win7系统,此版本优化更新了大量的驱动,帮助用户们进行舒适的使用,更加的适合家庭办公的使用,方便用户,有需要的用户们快来下载安装吧。
系统等级:进入下载 >雨林木风xp系统 xp系统纯净版 winXP ghost xp sp3 纯净版系统下载
系统大小:1.01GB系统类型:WinXP雨林木风xp系统 xp系统纯净版 winXP ghost xp sp3 纯净版系统下载,雨林木风WinXP系统技术积累雄厚深耕多年,采用了新的系统功能和硬件驱动,可以更好的发挥系统的性能,优化了系统、驱动对硬件的加速,加固了系统安全策略,运行环境安全可靠稳定。
系统等级:进入下载 >萝卜家园win10企业版 免激活密钥 激活工具 V2023 X64位系统下载
系统大小:0MB系统类型:Win10萝卜家园在系统方面技术积累雄厚深耕多年,打造了国内重装系统行业的萝卜家园品牌,(win10企业版,win10 ghost,win10镜像),萝卜家园win10企业版 免激活密钥 激活工具 ghost镜像 X64位系统下载,其系统口碑得到许多人认可,积累了广大的用户群体,萝卜家园win10纯净版是一款稳定流畅的系统,一直以来都以用户为中心,是由萝卜家园win10团队推出的萝卜家园
系统等级:进入下载 >萝卜家园windows10游戏版 win10游戏专业版 V2023 X64位系统下载
系统大小:0MB系统类型:Win10萝卜家园windows10游戏版 win10游戏专业版 ghost X64位 系统下载,萝卜家园在系统方面技术积累雄厚深耕多年,打造了国内重装系统行业的萝卜家园品牌,其系统口碑得到许多人认可,积累了广大的用户群体,萝卜家园win10纯净版是一款稳定流畅的系统,一直以来都以用户为中心,是由萝卜家园win10团队推出的萝卜家园win10国内镜像版,基于国内用户的习惯,做
系统等级:进入下载 >windows11下载 萝卜家园win11专业版 X64位 V2023官网下载
系统大小:0MB系统类型:Win11萝卜家园在系统方面技术积累雄厚深耕多年,windows11下载 萝卜家园win11专业版 X64位 官网正式版可以更好的发挥系统的性能,优化了系统、驱动对硬件的加速,使得软件在WINDOWS11系统中运行得更加流畅,加固了系统安全策略,WINDOWS11系统在家用办公上跑分表现都是非常优秀,完美的兼容各种硬件和软件,运行环境安全可靠稳定。
系统等级:进入下载 >
相关文章
- 如何解决锐龙2200g死机蓝屏
- Win8.1本地搜索为什么无法使用
- Win8.1无线网络不稳定/掉线怎么办
- 电脑机箱漏电怎么消除?电脑机箱漏电是哪里的问题?
- 电脑开不了机怎么办?电脑无法开机怎么解决?
- 硬盘双击无法打开的问题该怎么办
- 风行下载速度慢甚至是为0怎么办?风行播放器下载问题及解决方法汇总
- 苹果回应新的iOS恶意软件YiSpector:已在iOS8.4中解决该问题
- 没有路由器怎么连无线 160wifi 解决没有路由器连接无线问题
- 维棠FLV下载视频失败问题汇总及解决方法
- Word2016 出现“此功能看似已中断 并需要修复”问题解决方案(图文)
- Cisco管理的35个常见问题及解答
- NanoStudio怎么用?NanoStudio使用方法及常见问题
- IE浏览器登录网上银行时出现崩溃问题的解决办法
热门系统
推荐软件
推荐应用
推荐游戏
热门文章
常用系统
- 1win11最新娱乐版下载 技术员联盟x64位 ghost系统 ISO镜像 v2023
- 2电脑公司windows7纯净版 ghost x64位 v2022.05 官网镜像下载
- 3外星人系统Win11稳定版系统下载 windows11 64位稳定版Ghost V2022
- 4win11一键装机小白版下载 外星人系统 x64位纯净版下载 笔记本专用
- 5萝卜家园Ghost win10 64位中文版专业版系统下载 windows10纯净专业版下载
- 6【国庆特别版】番茄花园Windows11高性能专业版ghost系统 ISO镜像下载
- 7青苹果系统 GHOST WIN7 SP1 X64 专业优化版 V2024
- 8深度技术ghost win7纯净版最新下载 大神装机版 ISO镜像下载
- 9雨林木风windows11中文版免激活 ghost镜像 V2022.04下载