伊朗火车系统遭遇网络攻击 研究人员发现新威胁因素
据外媒报道,网络安全公司SentinelOne的研究人员在一份新报告中重建了最近对伊朗火车系统的网络攻击并发现了一种新的威胁因素--他们将其命名为MeteorExpress--这是一种以前从未见过的wiper。
7月9日,当地媒体开始报道针对伊朗火车系统的网络攻击,黑客在火车站的显示屏上涂鸦以要求乘客拨打伊朗最高领袖哈梅内伊办公室的电话号码“64411”。
火车服务中断仅一天之后,黑客就关闭了伊朗运输部的网站。据路透社报道,在网络攻击目标成为道路与城市发展部的电脑后,该部门的门户网站和副门户网站都发生了瘫痪。
SentinelOne首席威胁分析师Juan AndresGuerrero-Saade在他的调查中指出,袭击背后的人将这种从未见过的wiper称为Meteor并在过去三年开发了它。
Guerrero-Saade指出:“目前,我们还无法将这一活动跟先前确定的威胁组织或其他攻击联系起来。”他补充称,多亏了安全研究员AntonCherepanov和一家伊朗反病毒公司,他们才得以重建这次攻击。“尽管缺乏具体指标的妥协,我们能恢复在帖子中描述的大部分攻击组件以及他们错过的额外组件。在这个关于火车停站和油嘴滑舌的网络巨魔的离奇故事背后,我们发现了一个陌生攻击者的指纹。”
Guerrero-Saade表示,Padvish安全研究人员的早期分析是SentinelOne重建的关键,同时“恢复的攻击者伪造物包括更长的组件名称列表”。
“攻击者滥用GroupPolice来分发cab文件进行攻击。整个工具包由批处理文件组合而成,这些批处理文件协调了从RAR档案中删除的不同组件,”Guerrero-Saade解释道。
“档案用攻击者提供的Rar.exe解压,密码为'hackemall'。攻击组件是按功能划分的:Meteor基于加密配置加密文件系统,nti.exe破坏MBR,mssetup.exe则锁定系统。”
SentinelOne发现,大多数攻击是通过一组批处理文件嵌套在各自的组件旁边并在连续执行中链接在一起。
该批文件通过伊朗铁路网共享的CAB文件复制了最初的部件。在那里,批处理文件使用自己的WinRAR副本从而从三个额外的档案文件解压额外的组件,这里使用了一个精灵宝可梦主题的密码“hackemall”,这也是在攻击期间在其他地方引用的。
“此时,执行开始分裂成其他脚本。第一个是'cache.bat',它专注于使用Powershell清除障碍并为后续元素做好准备。”Guerrero-Saade说道,“'cache.bat'执行三个主要功能。首先,它将断开受感染设备跟网络的连接。然后它检查机器上是否安装了卡巴斯基杀毒软件,在这种情况下它会退出。最后,'cache.bat'将为其所有组件创建windowsDefender排除并有效地扫清了成功感染的障碍。”
报告解释称,这个特定的脚本对重建攻击链具有指导意义,因为它包括一个攻击组件列表,能让研究人员可以搜索特定的东西。
在部署了两个批处理文件,机器会进入无法引导并清除事件日志的状态。在一系列其他操作之后,update.bat将调用"msrun.bat",它将"Meteorwiperexecutable as a parameter"。
Guerrero-Saade指出,另一个批处理文件msrun.bat在一个屏幕锁和Meteorwiper的加密配置中移动。名为"mstask"的脚本创建了一个计划任务,然后设置它在午夜前5分钟执行Meteorwiper。
“整个工具包存在一种奇怪的分裂程度。批处理文件生成其他批处理文件,不同的rar档案包含混杂的可执行文件,甚至预期的操作被分成三个有效载荷:Meteor清除文件系统、MSInstall.exe锁定用户、nti.exe可能破坏MBR,”Guerrero-Saade写道。
“这个复杂的攻击链的主要有效载荷是放在'env.exe'或'msapp.exe'下的可执行文件。在内部,程序员称它为“Meteor”。虽然Meteor的这个例子遭遇了严重的OPSEC故障,但它是一个具有广泛功能的外部可配置wiper。”
据报道,Meteor wiper只提供了一个参数,一个加密的JSON配置文件"msconf.conf"。
Meteor wiper删除文件时,它从加密配置删除阴影副本并采取一个机器出域复杂的补救。据报道,这些只是Meteor能力的冰山一角。
虽然在袭击伊朗火车站时没有使用,但wiper可以更改所有用户的密码、禁用屏幕保护程序、基于目标进程列表终止进程、安装屏幕锁、禁用恢复模式、更改启动策略错误处理、创建计划任务、注销本地会话、删除影子副本、更改锁定屏幕图像和执行要求。
Guerrero-Saade指出,wiper的开发人员为该wiper创造了完成这些任务的多种方式。“然而,操作人员显然在编译带有大量用于内部测试的调试字符串的二进制文件时犯了一个重大错误。后者表明,尽管开发人员拥有先进的实践,但他们缺乏健壮的部署管道以确保此类错误不会发生。此外要注意的是,该样本是在部署前6个月编制的且没有发现错误。其次,这段代码是自定义代码的奇怪组合,其封装了开源组件(cppt.httplib v0.2)和几乎被滥用的软件(FSProLabs的Lock My PC4)。这跟外部可配置的设计并列从而允许对不同操作的有效重用。”
当SentinelOne的研究人员深入研究Meteor时,他们发现,冗余证明wiper是由多个开发人员添加不同组件创建的。
报告还称,wiper的外部可配置特性表明它不是为这种特殊操作而设计的。他们还没有在其他地方看到任何其他攻击或变种Meteor wiper。
研究人员无法将攻击归咎于特定的威胁行为者,但他们指出,攻击者是一个中级水平的玩家。
Guerrero-Saade继续说道,SentinelOne“还不能在迷雾中辨认出这个对手的形态”并推断它是一个不道德的雇佣军组织或有各种动机的国家支持的行动者。
尽管他们无法确定攻击的原因,但他们指出,攻击者似乎熟悉伊朗铁路系统的总体设置以及目标使用的Veeam备份,这意味着威胁行为者在发动攻击之前在该系统中待过一段时间。
据路透社报道,袭击发生时,伊朗官员没有证实是否有人索要赎金也没有证实他们认为谁是袭击的幕后黑手。
推荐系统
雨林木风win7旗舰版系统下载 win7 32位旗舰版 GHOST 免激活镜像ISO
语言:中文版系统大小:5.91GB系统类型:Win7雨林木风win7旗舰版系统下载 win7 32位旗舰版 GHOST 免激活镜像ISO在系统方面技术积累雄厚深耕多年,加固了系统安全策略,雨林木风win7旗舰版系统在家用办公上跑分表现都是非常优秀,完美的兼容各种硬件和软件,运行环境安全可靠稳定。win7 32位旗舰装机版 v2019 05能够帮助用户们进行系统的一键安装、快速装机等,系统中的内容全面,能够为广大用户
番茄花园Ghost Win7 x64 SP1稳定装机版2022年7月(64位) 高速下载
语言:中文版系统大小:3.91GB系统类型:Win7欢迎使用 番茄花园 Ghost Win7 x64 SP1 2022.07 极速装机版 专业装机版具有更安全、更稳定、更人性化等特点。集成最常用的装机软件,集成最全面的硬件驱动,精心挑选的系统维护工具,加上独有人性化的设计。是电脑城、个人、公司快速装机之首选!拥有此系统
番茄花园 Windows 10 极速企业版 版本1903 2022年7月(32位) ISO镜像快速下载
语言:中文版系统大小:3.98GB系统类型:Win10番茄花园 Windows 10 32位极速企业版 v2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程中自动激活
新萝卜家园电脑城专用系统 Windows10 x86 企业版 版本1507 2022年7月(32位) ISO镜像高速下载
语言:中文版系统大小:3.98GB系统类型:Win10新萝卜家园电脑城专用系统 Windows10 x86企业版 2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程
笔记本&台式机专用系统 Windows10 企业版 版本1903 2022年7月(32位) ISO镜像快速下载
语言:中文版系统大小:3.98GB系统类型:Win10笔记本台式机专用系统 Windows 10 32位企业版 v2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过
笔记本&台式机专用系统 Windows10 企业版 版本1903 2022年7月(64位) 提供下载
语言:中文版系统大小:3.98GB系统类型:Win10笔记本台式机专用系统 Windows10 64专业版 v2022年7月 一、系统主要特点: 使用微软Win10正式发布的专业版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程中自动
雨林木风 Windows10 x64 企业装机版 版本1903 2022年7月(64位) ISO镜像高速下载
语言:中文版系统大小:3.98GB系统类型:Win10新雨林木风 Windows10 x64 企业装机版 2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程中自动激活
深度技术 Windows 10 x64 企业版 电脑城装机版 版本1903 2022年7月(64位) 高速下载
语言:中文版系统大小:3.98GB系统类型:Win10深度技术 Windows 10 x64 企业TLSB 电脑城装机版2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程
热门系统
- 1华硕笔记本&台式机专用系统 GhostWin7 32位正式旗舰版2018年8月(32位)ISO镜像下载
- 2深度技术 Windows 10 x86 企业版 电脑城装机版2018年10月(32位) ISO镜像免费下载
- 3电脑公司 装机专用系统Windows10 x86喜迎国庆 企业版2020年10月(32位) ISO镜像快速下载
- 4雨林木风 Ghost Win7 SP1 装机版 2020年4月(32位) 提供下载
- 5深度技术 Windows 10 x86 企业版 六一节 电脑城装机版 版本1903 2022年6月(32位) ISO镜像免费下载
- 6深度技术 Windows 10 x64 企业版 电脑城装机版2021年1月(64位) 高速下载
- 7新萝卜家园电脑城专用系统 Windows10 x64 企业版2019年10月(64位) ISO镜像免费下载
- 8新萝卜家园 GhostWin7 SP1 最新电脑城极速装机版2018年8月(32位)ISO镜像下载
- 9电脑公司Ghost Win8.1 x32 精选纯净版2022年5月(免激活) ISO镜像高速下载
- 10新萝卜家园Ghost Win8.1 X32 最新纯净版2018年05(自动激活) ISO镜像免费下载
热门文章
- 1迅雷云播“手机看片神器”使用教程(随时随地秒速离线云播放)
- 2微信公众号怎么年审? 微信公众号年审流程及所需材料介绍
- 3Win10怎么设置网络按流量计费 Win10网络设置流量收费教程
- 4安卓手机安装运行win7系统教程 安卓手机装win7系统教程
- 5win7蓝屏代码7f指什 怎么解决 很严重
- 6二手笔记本电脑价格是多少 二手笔记本电脑价格盘点
- 7aoc一体机电脑win10改win7系统及bios设置
- 8Steam提示“需要在线进行更新,请确认您的网络连接正常”怎么办?
- 9华硕b460主板装win7系统及bios设置教程 10代CPU安装Win7教程 BIOS设置 U盘启动 完美支持USB驱动
- 10高通骁龙8cx怎么样 高通骁龙8cx处理器详细介绍
常用系统
- 1电脑公司Ghost Win8.1 (X64) 特别纯净版2018年8月永久激活) 提供下载
- 2雨林木风Ghost Win8.1 (X64) 极速纯净版2020年3月免激活) ISO镜像高速下载
- 3番茄花园Ghost Win8.1 x64 办公纯净版2021年9月(激活版) ISO镜像高速下载
- 4新萝卜家园 Ghost XP SP3系统 电脑城极速纯净版 2021年1月 ISO镜像高速下载
- 5电脑公司Ghost Win7 Sp1 六一节 装机万能版2022年6月(32位) 提供下载
- 6深度技术系统 Windows 10 x86 企业正式版 电脑城装机版2018年8月(32位)ISO镜像下载
- 7雨林木风 Windows10 x64 企业装机版2021年3月(64位) ISO镜像高速下载
- 8电脑公司Ghost Win8.1 x32 精选纯净版2020年9月(免激活) ISO镜像高速下载
- 9深度技术 Windows 10 x64 企业版 电脑城装机版2020年8月(64位) 高速下载
- 10新雨林木风 Windows10 x86 企业装机版2019年5月(32位) ISO镜像高速下载