卡巴斯基实验室发现了一个被称为StoneDrill的新型复杂的Shamoon-Linked恶意软件

卡巴斯基实验室的研究人员发现了有关可怕的Shamoon 2恶意软件的更多信息。

专家发现了一个新的复杂的恶意软件被称为StoneDrill，链接到Shamoon 2和Charming Kitten（aka新闻广播员和NewsBeef）。

StoneDrill可以用于网络间谍和破坏，如Shamoon它擦拭感染的计算机。

恶意软件被攻击者用来对抗沙特阿拉伯实体组织和欧洲的组织。

“在调查Shamoon 2.0攻击时，卡巴斯基实验室还发现了一个以前未知的雨刷恶意软件，似乎是针对沙特阿拉伯的组织。 我们叫这个新的刮水器StoneDrill。

StoneDrill与Shamoon有几种“风格”相似之处，有多个有趣的因素和技术，可以更好地逃避检测。“从卡巴斯基实验室分析中可以看出。

“除了可疑的沙特目标，StoneDrill的一名受害者在欧洲的卡巴斯基安全网络（KSN）上观察。

这使我们相信StoneDrill背后的威胁主体正在将其中东的擦拭作业扩展到欧洲。

在卡巴斯基发布报告的时候，目前还没有StoneDrill攻击造成损害的报告。

新威胁的发现是因果关系，研究人员正在使用一系列开发的Yara规则来识别Shamoon恶意软件。

即使StoneDrill和Shamoon不共享代码部分，专家也发现了Shamoon，StoneDrill和NewsBeef中恶意软件样式和恶意软件组件之间的许多相似之处。

研究人员仍在调查感染过程，他们证实StoneDrill实施复杂的技术来逃避安全应用程序。

虽然Shamoon在部署期间使用驱动程序，但StoneDrill在受害者的浏览器中实现了擦除模块的内存注入机制。

抽头特性已使用新技术实现。

擦除器能够同时面向物理和逻辑驱动器，并在擦除过程完成后重新启动系统。

“根据配置，此模块使用随机数据擦除以下可能的目标之一：

• 所有可访问的物理驱动器通过使用设备路径“\。\ PhysicalDrive”

• 所有可访问的逻辑驱动器通过使用设备路径“\。\ X：”

• 递归擦除和删除所有可访问逻辑驱动器上除“Windows”之外的所有文件夹中的文件

• 特别强调擦除磁盘根文件夹中名为“asdhgasdasdwqe％digits％”的文件。

卡巴斯基的研究人员检测到一个StoneDrill示例，该示例专门用于在受感染的系统上建立一个后门。 样本可能是为间谍目的而开发的。

专家们确定了在网络间谍活动中使用的四个C＆C服务器，这意味着StoneDrill使用C＆C通信接收攻击者的指令。

研究人员发现，StoneDrill有很多相似之处（代码，C＆C命名约定，后门命令和功能，和Winmain签名）到一个由Charming Kitten使用的恶意软件。

因此，它被认为是迷人小猫恶意软件的演变。

StoneDrill和Shamoon威胁背后有同样的威胁吗？

卡巴斯基的专家认为，威胁背后有两个独立的小组，它们具有相同的目标。

“虽然Shamoon嵌入了阿拉伯语 - 也门资源语言段，但StoneDrill嵌入了大多数波斯语资源语言段。 当然，我们不排除假旗的可能性。“ 从报告可以看出。

沙特阿拉伯针对组织的Shamoon恶意软件的最后一个变体还包括一个新发现的勒索软件组件。

据专家介绍，Shamoon 2的勒索软件组件尚未在野外使用。

从卡巴斯基的研究报告中可以看出，“尽管Shamoon刮水器的复苏的广泛覆盖，很少有人注意到新的勒索软件功能。 Shamoon 2.0的擦拭器模块设计为作为擦拭器或加密器（勒索软件）运行。

在“加密/勒索软件”模式中，生成弱伪随机RC4密钥，其由RSA公钥进一步加密并直接存储在从偏移量开始的硬盘驱动器（在<\ Device \ Harddisk0 \ Partition0> 0x201，紧接着主引导记录。

作者：Pierluigi Paganini，由悬镜安全实验室编译，如需转载请标注：http://www.x-mirror.cn/。

说到网站攻击，网站遭受黑客攻击，以及网站打不开，网站被CC攻击，网站被DDOS攻击，网站被挂木马等，小编建议可以使用我们的悬镜服务器卫士。