血雨腥风未止,IBM公布Shamoon恶意程序攻击链细节

简介:

可怕的Shamoon恶意程序,即Disttrack,最近重现江湖。政府机构和威胁情报公司正在调查最近一系列与其相关的攻击事件。那么,Shamoon又引起了哪些血雨腥风,详情请看孙毛毛同学的报道。

血雨腥风未止,IBM公布Shamoon恶意程序攻击链细节

背景

Shamoon首秀发生在2012年8月15日,当时沙特阿拉伯石油公司Saudi Aramco对外宣布,其系统和内部网络遭遇了网络攻击。根据该公司提供的信息,Shamoon感染了3万多个工作站。

2016年12月,安全专家观察到新一波利用Shamoon恶意程序发起的网络攻击。Palo Alto Networks和Symantec的安全专家都报道了针对某个沙特阿拉伯企业的网络攻击。Shamoon的新变种,也就是所谓的Shamoon 2,会用3岁叙利亚小男孩陈尸土耳其海岸的照片改写感染设备上的MBR。

据Symantec的报道,Shamoon为何突然卷土重来,目前尚未可知。但是,因为Shamoon的payload破坏性极强,攻击者很明显是要让其目标警醒起来。

今年1月,Palo Alto Networks的研究人员发现了新的Shamoon 2恶意程序,针对的是一些可视化产品。IBM X-Force事件响应和情报服务(IRIS)的研究人员认为,Shamoon恶意程序是沙特阿拉伯和伊朗两国间信息战争的重要元素。研究人员已发现用来传输Shamoon的服务器,并已攻入攻击者使用的服务器,收集了更多信息,以研究Shamoon带来的威胁及其攻击链。

据IBM的报告,专家认为,最近攻击事件中使用Shamoon的攻击者高度依赖武器化文件,攻击者构建这些文件以利用PowerShell建立最初的据点,并发起后续的行动。

攻击过程

  1. 攻击者向目标企业的员工发送钓鱼邮件。邮件中包含一个Office文档的附件。
  2. 打开附件,触发PowerShell脚本,运行命令行,访问感染设备。
  3. 攻击者与感染设备通信,并远程在感染设备上执行命令。
  4. 攻击者利用其访问权限,部署其他工具和恶意程序至其他端点,或在网络中提升权限。
  5. 攻击者连接其他系统,定位关键服务器,来研究该网络。
  6. 攻击者部署Shamoon恶意程序。
  7. Shamoon开始爆发,企业中所有感染设备上的硬盘数据都会被彻底删除。

血雨腥风未止,IBM公布Shamoon恶意程序攻击链细节

攻击者一般通过冒充可信人员,比如沙特阿拉伯商务投资部或埃及软件公司IT Worx,向目标对象发起鱼叉式钓鱼攻击。通过邮件发过来的Word文档一般标记为简历、医保材料或者密码策略指南等受害者可能感兴趣的内容。文件中包含一个恶意宏,这个恶意宏就是攻击的开端。当受害者运行宏时,它会启动两个Powershell脚本。

第一个脚本通过HTTP从139.59.46.154:3485/eiloShaegae1上下载并执行令一个Powershell脚本。第二个脚本使用VirtualAlloc库调用,建立内存缓冲,并通过HTTP从45.76.128.165:4443/0w0O6上获取shell代码,拷贝至该缓冲区,并用CreateThread执行代码。这个线程会建立另一个缓冲区,然后把从45.76.128.165:4443/0w0O6上获取的一个PowerShell脚本放到这个缓冲区,并运行该脚本。

根据我们对此恶意文档的观察,我们发现后续shell会话可能与Metasploit的Meterpreter有关,部署了其他的工具和恶意程序后,再部署了三个与Shamoon有关的文件:ntertmgr32.exe、ntertmgr64.exe和vdsk911.sys。研究人员发现了用来放置这些恶意可执行文件并发起攻击的两个web域:

Ntg-sa[.]com,伪装为沙特阿拉伯石化公司Namer Trading Group合法域ntg.sa.com。

maps-modon[.]club,假冒maps.modon.gov.sa,这个网站与沙特阿拉伯工业产权机构有关。

系统管理员可根据上述信息,检查与上述域有关的连接,并加以阻止。研究人员还发现,攻击者利用感染设备,来侦察并收集网络中的信息,并盗取敏感数据。这个阶段完成后,攻击者将部署Shamoon payload。沙特阿拉伯已提醒当地企业,注意防范Shamoon恶意程序。专家认为,攻击者将临时隐身、改变战略,并继续其行动。

报告全文:

IBM:
https://securityintelligence.com/the-full-shamoon-how-the-devastating-malware-was-inserted-into-networks/

Symantec:
https://www.symantec.com/connect/blogs/shamoon-back-dead-and-destructive-ever

作者:佚名
来源:51CTO

相关文章
|
JavaScript 前端开发 网络安全
|
开发工具
IBM Watson提供的认知计算服务介绍
IBM Watson提供的认知计算服务介绍
|
传感器 人工智能 自然语言处理
IBM Watson 持续扩张,认知计算正悄然改变我们的生活
在去年 IBM 发布的一则很有创意的广告中,Watson 用 IBM 最新的认知计算机咨询单元与 Bob Dylan 聊了半分钟。Watson 说它每秒能读 8 亿页,并识别出 Dylan 作品中常用的主题,比如时间流逝和爱情消逝。
395 0
|
物联网 区块链 网络架构
带你读《基于区块链的物联网项目开发》之一:了解物联网并在IBM Watson物联网平台上开发
本书首先概述当前业务场景中的物联网概念,帮助读者在IBM Watson物联网平台上开发自己的设备,并使用Watson和Intel Edison创建物联网解决方案。之后介绍如何利用Hyperledger框架开发区块链网络,以及如何创建自己的集成区块链和物联网解决方案。接下来的章节讲述了如何在IBM Cloud平台利用物联网来实现端到端的区块链解决方案。最后,你将掌握如何将物联网和区块链技术融合,利用实践和驱动程序来开发实用集成解决方案。
|
人工智能
IBM Watson被曝给出错误癌症治疗建议,是悲剧还是误会?丨科技云·视角
曾经是公众心目中“人工智能”代名词的IBM Watson,在近4年砸下几百亿美元的研发投入后,前景反而愈发暗淡。医生抱怨Watson给出错误判断,多家医院终止了与Watson肿瘤相关项目,Watson真的能治病吗? 近日,外媒Stat News爆出了IBM的一份内部文件,其中提及Watson计算机经常给出错误的癌症治疗建议,比如给一个已经大出血的癌症病人开了有可能会导致出血的药。
9407 0
|
人工智能
IBM Watson健康部门裁员:花重金收购的医疗科技公司成重灾区
消息人士称,IBM Watson Health正在裁员50%至70%,之前收购的三家医疗科技公司的员工成为这次裁员的重灾区。同时,AI医疗行业数据不完整、隐私等问题,以及巨头之间的竞争,都给IBM Watson Health造成了压力。
1716 0