卡巴斯基实验室的研究人员发现了有关可怕的Shamoon 2恶意软件的更多信息。
专家发现了一个新的复杂的恶意软件被称为StoneDrill,链接到Shamoon 2和Charming Kitten(aka新闻广播员和NewsBeef)。
StoneDrill可以用于网络间谍和破坏,如Shamoon它擦拭感染的计算机。
恶意软件被攻击者用来对抗沙特阿拉伯实体组织和欧洲的组织。
“在调查Shamoon 2.0攻击时,卡巴斯基实验室还发现了一个以前未知的雨刷恶意软件,似乎是针对沙特阿拉伯的组织。 我们叫这个新的刮水器StoneDrill。
StoneDrill与Shamoon有几种“风格”相似之处,有多个有趣的因素和技术,可以更好地逃避检测。“从卡巴斯基实验室分析中可以看出。
“除了可疑的沙特目标,StoneDrill的一名受害者在欧洲的卡巴斯基安全网络(KSN)上观察。
这使我们相信StoneDrill背后的威胁主体正在将其中东的擦拭作业扩展到欧洲。
在卡巴斯基发布报告的时候,目前还没有StoneDrill攻击造成损害的报告。
新威胁的发现是因果关系,研究人员正在使用一系列开发的Yara规则来识别Shamoon恶意软件。
即使StoneDrill和Shamoon不共享代码部分,专家也发现了Shamoon,StoneDrill和NewsBeef中恶意软件样式和恶意软件组件之间的许多相似之处。
研究人员仍在调查感染过程,他们证实StoneDrill实施复杂的技术来逃避安全应用程序。
虽然Shamoon在部署期间使用驱动程序,但StoneDrill在受害者的浏览器中实现了擦除模块的内存注入机制。
抽头特性已使用新技术实现。
擦除器能够同时面向物理和逻辑驱动器,并在擦除过程完成后重新启动系统。
“根据配置,此模块使用随机数据擦除以下可能的目标之一:
-
所有可访问的物理驱动器通过使用设备路径“\。\ PhysicalDrive”
-
所有可访问的逻辑驱动器通过使用设备路径“\。\ X:”
-
递归擦除和删除所有可访问逻辑驱动器上除“Windows”之外的所有文件夹中的文件
-
特别强调擦除磁盘根文件夹中名为“asdhgasdasdwqe%digits%”的文件。
卡巴斯基的研究人员检测到一个StoneDrill示例,该示例专门用于在受感染的系统上建立一个后门。 样本可能是为间谍目的而开发的。
专家们确定了在网络间谍活动中使用的四个C&C服务器,这意味着StoneDrill使用C&C通信接收攻击者的指令。
研究人员发现,StoneDrill有很多相似之处(代码,C&C命名约定,后门命令和功能,和Winmain签名)到一个由Charming Kitten使用的恶意软件。
因此,它被认为是迷人小猫恶意软件的演变。
StoneDrill和Shamoon威胁背后有同样的威胁吗?
卡巴斯基的专家认为,威胁背后有两个独立的小组,它们具有相同的目标。
“虽然Shamoon嵌入了阿拉伯语 - 也门资源语言段,但StoneDrill嵌入了大多数波斯语资源语言段。 当然,我们不排除假旗的可能性。“ 从报告可以看出。
沙特阿拉伯针对组织的Shamoon恶意软件的最后一个变体还包括一个新发现的勒索软件组件。
据专家介绍,Shamoon 2的勒索软件组件尚未在野外使用。
从卡巴斯基的研究报告中可以看出,“尽管Shamoon刮水器的复苏的广泛覆盖,很少有人注意到新的勒索软件功能。 Shamoon 2.0的擦拭器模块设计为作为擦拭器或加密器(勒索软件)运行。
在“加密/勒索软件”模式中,生成弱伪随机RC4密钥,其由RSA公钥进一步加密并直接存储在从偏移量开始的硬盘驱动器(在<\ Device \ Harddisk0 \ Partition0> 0x201,紧接着主引导记录。
作者:Pierluigi Paganini,由悬镜安全实验室编译,如需转载请标注:http://www.x-mirror.cn/。
说到网站攻击,网站遭受黑客攻击,以及网站打不开,网站被CC攻击,网站被DDOS攻击,网站被挂木马等,小编建议可以使用我们的悬镜服务器卫士。