據(jù)外媒報道，網(wǎng)絡(luò)安全公司SentinelOne的研究人員在一份新報告中重建了最近對伊朗火車系統(tǒng)的網(wǎng)絡(luò)攻擊并發(fā)現(xiàn)了一種新的威脅因素--他們將其命名為MeteorExpress--這是一種以前從未見過的wiper。

[[414394]]

7月9日，當(dāng)?shù)孛襟w開始報道針對伊朗火車系統(tǒng)的網(wǎng)絡(luò)攻擊，黑客在火車站的顯示屏上涂鴉以要求乘客撥打伊朗最高領(lǐng)袖哈梅內(nèi)伊辦公室的電話號碼“64411”。

火車服務(wù)中斷僅一天之后，黑客就關(guān)閉了伊朗運輸部的網(wǎng)站。據(jù)路透社報道，在網(wǎng)絡(luò)攻擊目標成為道路與城市發(fā)展部的電腦后，該部門的門戶網(wǎng)站和副門戶網(wǎng)站都發(fā)生了癱瘓。

SentinelOne首席威脅分析師Juan Andres Guerrero-Saade在他的調(diào)查中指出，襲擊背后的人將這種從未見過的wiper稱為Meteor并在過去三年開發(fā)了它。

Guerrero-Saade指出：“目前，我們還無法將這一活動跟先前確定的威脅組織或其他攻擊聯(lián)系起來。”他補充稱，多虧了安全研究員Anton Cherepanov和一家伊朗反病毒公司，他們才得以重建這次攻擊。“盡管缺乏具體指標的妥協(xié)，我們能恢復(fù)在帖子中描述的大部分攻擊組件以及他們錯過的額外組件。在這個關(guān)于火車停站和油嘴滑舌的網(wǎng)絡(luò)巨魔的離奇故事背后，我們發(fā)現(xiàn)了一個陌生攻擊者的指紋。”

Guerrero-Saade表示，Padvish安全研究人員的早期分析是SentinelOne重建的關(guān)鍵，同時“恢復(fù)的攻擊者偽造物包括更長的組件名稱列表”。

“攻擊者濫用Group Police來分發(fā)cab文件進行攻擊。整個工具包由批處理文件組合而成，這些批處理文件協(xié)調(diào)了從RAR檔案中刪除的不同組件，”Guerrero-Saade解釋道。

“檔案用攻擊者提供的Rar.exe解壓，密碼為'hackemall'。攻擊組件是按功能劃分的：Meteor基于加密配置加密文件系統(tǒng)，nti.exe破壞MBR，mssetup.exe則鎖定系統(tǒng)。”

SentinelOne發(fā)現(xiàn)，大多數(shù)攻擊是通過一組批處理文件嵌套在各自的組件旁邊并在連續(xù)執(zhí)行中鏈接在一起。

該批文件通過伊朗鐵路網(wǎng)共享的CAB文件復(fù)制了最初的部件。在那里，批處理文件使用自己的WinRAR副本從而從三個額外的檔案文件解壓額外的組件，這里使用了一個精靈寶可夢主題的密碼“hackemall”，這也是在攻擊期間在其他地方引用的。

“此時，執(zhí)行開始分裂成其他腳本。第一個是'cache.bat'，它專注于使用Powershell清除障礙并為后續(xù)元素做好準備。”Guerrero-Saade說道，“'cache.bat'執(zhí)行三個主要功能。首先，它將斷開受感染設(shè)備跟網(wǎng)絡(luò)的連接。然后它檢查機器上是否安裝了卡巴斯基殺毒軟件，在這種情況下它會退出。最后，'cache.bat'將為其所有組件創(chuàng)建WindowsDefender排除并有效地掃清了成功感染的障礙。”

報告解釋稱，這個特定的腳本對重建攻擊鏈具有指導(dǎo)意義，因為它包括一個攻擊組件列表，能讓研究人員可以搜索特定的東西。

在部署了兩個批處理文件，機器會進入無法引導(dǎo)并清除事件日志的狀態(tài)。在一系列其他操作之后，update.bat將調(diào)用"msrun.bat"，它將"Meteor wiper executable as a parameter"。

Guerrero-Saade指出，另一個批處理文件msrun.bat在一個屏幕鎖和Meteor wiper的加密配置中移動。名為"mstask"的腳本創(chuàng)建了一個計劃任務(wù)，然后設(shè)置它在午夜前5分鐘執(zhí)行Meteor wiper。

“整個工具包存在一種奇怪的分裂程度。批處理文件生成其他批處理文件，不同的rar檔案包含混雜的可執(zhí)行文件，甚至預(yù)期的操作被分成三個有效載荷：Meteor清除文件系統(tǒng)、MSInstall .exe鎖定用戶、nti.exe可能破壞MBR，”Guerrero-Saade寫道。

“這個復(fù)雜的攻擊鏈的主要有效載荷是放在'env.exe'或'msapp.exe'下的可執(zhí)行文件。在內(nèi)部，程序員稱它為“Meteor”。雖然Meteor的這個例子遭遇了嚴重的OPSEC故障，但它是一個具有廣泛功能的外部可配置wiper。”

據(jù)報道，Meteor wiper只提供了一個參數(shù)，一個加密的JSON配置文件"msconf.conf"。

Meteor wiper刪除文件時，它從加密配置刪除陰影副本并采取一個機器出域復(fù)雜的補救。據(jù)報道，這些只是Meteor能力的冰山一角。

雖然在襲擊伊朗火車站時沒有使用，但wiper可以更改所有用戶的密碼、禁用屏幕保護程序、基于目標進程列表終止進程、安裝屏幕鎖、禁用恢復(fù)模式、更改啟動策略錯誤處理、創(chuàng)建計劃任務(wù)、注銷本地會話、刪除影子副本、更改鎖定屏幕圖像和執(zhí)行要求。

Guerrero-Saade指出，wiper的開發(fā)人員為該wiper創(chuàng)造了完成這些任務(wù)的多種方式。“然而，操作人員顯然在編譯帶有大量用于內(nèi)部測試的調(diào)試字符串的二進制文件時犯了一個重大錯誤。后者表明，盡管開發(fā)人員擁有先進的實踐，但他們?nèi)狈训牟渴鸸艿酪源_保此類錯誤不會發(fā)生。此外要注意的是，該樣本是在部署前6個月編制的且沒有發(fā)現(xiàn)錯誤。其次，這段代碼是自定義代碼的奇怪組合，其封裝了開源組件(cppt . httplib v0.2)和幾乎被濫用的軟件(FSProLabs的Lock My PC 4)。這跟外部可配置的設(shè)計并列從而允許對不同操作的有效重用。”

當(dāng)SentinelOne的研究人員深入研究Meteor時，他們發(fā)現(xiàn)，冗余證明wiper是由多個開發(fā)人員添加不同組件創(chuàng)建的。

報告還稱，wiper的外部可配置特性表明它不是為這種特殊操作而設(shè)計的。他們還沒有在其他地方看到任何其他攻擊或變種Meteor wiper。

研究人員無法將攻擊歸咎于特定的威脅行為者，但他們指出，攻擊者是一個中級水平的玩家。

Guerrero-Saade繼續(xù)說道，SentinelOne“還不能在迷霧中辨認出這個對手的形態(tài)”并推斷它是一個不道德的雇傭軍組織或有各種動機的國家支持的行動者。

盡管他們無法確定攻擊的原因，但他們指出，攻擊者似乎熟悉伊朗鐵路系統(tǒng)的總體設(shè)置以及目標使用的Veeam備份，這意味著威脅行為者在發(fā)動攻擊之前在該系統(tǒng)中待過一段時間。

據(jù)路透社報道，襲擊發(fā)生時，伊朗官員沒有證實是否有人索要贖金也沒有證實他們認為誰是襲擊的幕后黑手。