伊朗國家廣播公司遭重大網(wǎng)絡攻擊，導致電視臺播放反動視頻

最近的網(wǎng)絡安全事件研究中，1月27日，伊朗國家廣播公司（IRIB）遭到黑客攻擊，導致多個國營電視頻道播放反動視頻。2月18日，研究人員發(fā)布報告稱，這是一次笨拙而簡單的雨刷式(wiper)攻擊。
根據(jù)網(wǎng)絡安全行業(yè)門戶「極牛網(wǎng)」GEEKNB.COM的梳理，此前伊朗曾發(fā)生一系列出于政治動機的攻擊事件，包括7月份針對伊朗國家交通網(wǎng)絡的雨刷式攻擊。盡管早期的多起攻擊被歸因于伊朗APT組織Indra，但研究人員基于攻擊中使用的惡意軟件和工具推斷，此次針對IRIB的攻擊者并非Indra組織，而是一個模仿者。
研究人員發(fā)現(xiàn)了截取受害者屏幕截圖的惡意軟件、幾個定制的后門，以及用于安裝和配置惡意可執(zhí)行文件的相關(guān)批處理腳本和配置文件。研究人員分析了IRIB網(wǎng)絡攻擊中的工具，并將它們與Indra的工具進行了比較。盡管攻擊者在針對IRIB的攻擊中使用了wiper，但與Indra使用的似乎不是同一個wiper。
根據(jù)網(wǎng)絡安全行業(yè)門戶「極牛網(wǎng)」GEEKNB.COM的梳理，針對IRIB的攻擊設法繞過安全系統(tǒng)和網(wǎng)絡分段，滲透到廣播公司的網(wǎng)絡。攻擊者的工具質(zhì)量和復雜度相對較低，并且攻擊是由笨拙且有時有bug的3行批處理腳本啟動的。這可能表明攻擊者可能從IRIB內(nèi)部獲得了幫助，或者具有不同技能的不同群體之間存在未知的合作。研究人員目前仍然不確定攻擊者如何獲得對IRIB網(wǎng)絡的初始訪問權(quán)限。
攻擊者在攻擊中利用了四個后門：WinScreeny、HttpCallbackService、HttpService 和 ServerLaunch，這是一個使用 HttpService 啟動的 dropper。綜合起來，不同的惡意軟件使攻擊者能夠捕獲屏幕截圖、從遠程服務器接收命令并執(zhí)行其他惡意活動。
WinScreeny是一個后門程序，主要目的是捕獲受害者計算機的屏幕截圖。HttpCallbackService是一種遠程管理工具(RAT)，它每五秒與命令和控制(C2)服務器通信以接收要執(zhí)行的命令。HttpService是一個后門，它監(jiān)聽指定的端口，可以執(zhí)行命令、操作本地文件、下載或上傳文件或執(zhí)行其他惡意活動。ServerLaunch釋放器可以同時啟動httpservice2和httpservice4，可能允許攻擊者確保C2通信。
入侵還為安裝擦除器鋪平了道路，擦除器的主要目的是破壞存儲在計算機中的文件，更不用說擦除主引導記錄 ( MBR )、清除 Windows 事件日志、刪除備份、終止進程和更改用戶的密碼。
在分析攻擊中使用的wiper時，研究人員發(fā)現(xiàn)了兩個相同的.NET樣本，名為msdskint.exe，其主要目的是擦除計算機文件、驅(qū)動器和MBR，還具有清除Windows事件日志、刪除備份、終止進程和更改用戶密碼等功能。
文章轉(zhuǎn)載自極牛網(wǎng)