最近的網(wǎng)絡(luò)安全事件研究中,1月27日,伊朗國(guó)家廣播公司(IRIB)遭到黑客攻擊,導(dǎo)致多個(gè)國(guó)營(yíng)電視頻道播放反動(dòng)視頻。2月18日,研究人員發(fā)布報(bào)告稱,這是一次笨拙而簡(jiǎn)單的雨刷式(wiper)攻擊。
根據(jù)網(wǎng)絡(luò)安全行業(yè)門戶「極牛網(wǎng)」GEEKNB.COM的梳理,此前伊朗曾發(fā)生一系列出于政治動(dòng)機(jī)的攻擊事件,包括7月份針對(duì)伊朗國(guó)家交通網(wǎng)絡(luò)的雨刷式攻擊。盡管早期的多起攻擊被歸因于伊朗APT組織Indra,但研究人員基于攻擊中使用的惡意軟件和工具推斷,此次針對(duì)IRIB的攻擊者并非Indra組織,而是一個(gè)模仿者。
研究人員發(fā)現(xiàn)了截取受害者屏幕截圖的惡意軟件、幾個(gè)定制的后門,以及用于安裝和配置惡意可執(zhí)行文件的相關(guān)批處理腳本和配置文件。研究人員分析了IRIB網(wǎng)絡(luò)攻擊中的工具,并將它們與Indra的工具進(jìn)行了比較。盡管攻擊者在針對(duì)IRIB的攻擊中使用了wiper,但與Indra使用的似乎不是同一個(gè)wiper。
根據(jù)網(wǎng)絡(luò)安全行業(yè)門戶「極牛網(wǎng)」GEEKNB.COM的梳理,針對(duì)IRIB的攻擊設(shè)法繞過安全系統(tǒng)和網(wǎng)絡(luò)分段,滲透到廣播公司的網(wǎng)絡(luò)。攻擊者的工具質(zhì)量和復(fù)雜度相對(duì)較低,并且攻擊是由笨拙且有時(shí)有bug的3行批處理腳本啟動(dòng)的。這可能表明攻擊者可能從IRIB內(nèi)部獲得了幫助,或者具有不同技能的不同群體之間存在未知的合作。研究人員目前仍然不確定攻擊者如何獲得對(duì)IRIB網(wǎng)絡(luò)的初始訪問權(quán)限。
攻擊者在攻擊中利用了四個(gè)后門:WinScreeny、HttpCallbackService、HttpService 和 ServerLaunch,這是一個(gè)使用 HttpService 啟動(dòng)的 dropper。綜合起來(lái),不同的惡意軟件使攻擊者能夠捕獲屏幕截圖、從遠(yuǎn)程服務(wù)器接收命令并執(zhí)行其他惡意活動(dòng)。
WinScreeny是一個(gè)后門程序,主要目的是捕獲受害者計(jì)算機(jī)的屏幕截圖。HttpCallbackService是一種遠(yuǎn)程管理工具(RAT),它每五秒與命令和控制(C2)服務(wù)器通信以接收要執(zhí)行的命令。HttpService是一個(gè)后門,它監(jiān)聽指定的端口,可以執(zhí)行命令、操作本地文件、下載或上傳文件或執(zhí)行其他惡意活動(dòng)。ServerLaunch釋放器可以同時(shí)啟動(dòng)httpservice2和httpservice4,可能允許攻擊者確保C2通信。
入侵還為安裝擦除器鋪平了道路,擦除器的主要目的是破壞存儲(chǔ)在計(jì)算機(jī)中的文件,更不用說(shuō)擦除主引導(dǎo)記錄 ( MBR )、清除 Windows 事件日志、刪除備份、終止進(jìn)程和更改用戶的密碼。
在分析攻擊中使用的wiper時(shí),研究人員發(fā)現(xiàn)了兩個(gè)相同的.NET樣本,名為msdskint.exe,其主要目的是擦除計(jì)算機(jī)文件、驅(qū)動(dòng)器和MBR,還具有清除Windows事件日志、刪除備份、終止進(jìn)程和更改用戶密碼等功能。
文章轉(zhuǎn)載自極牛網(wǎng)