×
618会员大促,站长已经被打骨折了
我也来一脚
忽略

针对乌克兰金融、国防、航空、电力和IT服务攻击的三个木马狩猎规则(20220301更新)

2月24日,俄罗斯宣布在乌克兰采取特别军事行动,目前,战争仍在持续。与此同时,有报道称,在乌克兰境内出现了多种新型木马,至少影响了数万台计算机。

针对乌克兰金融、国防、航空、电力和IT服务攻击的三个木马狩猎规则(20220301更新)插图

HermeticWiper

它会破坏Windows电脑的MBR分区(磁盘的主引导区)从而阻止windows系统的启动。该病毒利用了一款免费的分区软件EaseUS来进行攻击。该病毒还使用了一家注册地为塞浦路斯的公司的数字证书进行了签名。目前并没有关于该公司的相关信息。

到目前为止,已经发现了乌克兰的几个组织中的几百台电脑受到了HermeticWiper病毒的攻击,实际受到攻击的设备可能会更多,该病毒的主要目的可能是破坏数据。HermeticWiper病毒似乎主要是对乌克兰的金融、国防、航空和IT服务领域的组织发起了攻击,黑客组织部署HermeticWiper病毒的同时还部署了勒索软件。

今年1月份的时候,微软就曾经发出安全警告,称发现了有一款恶意病毒对乌克兰的windows设备发起了攻击,并且这一病毒与HermeticWiper病毒有相似之处,都会破坏Windows电脑的MBR分区(磁盘的主引导区)。

WhisperGate

微软在13日发现有黑客针对乌克兰展开大规模的网络攻击,分析后将攻击所使用的恶意程序称为WhisperGate,并说攻击行动中虽然出现勒索信件,却只是掩人耳目,因为它实际上破坏的是计算机主开机记录(Master Boot Record,MBR)与特定文件的内容。

微软威胁情报中心(Microsoft Threat Intelligence Center,MTIC)把这次的攻击行动命名为DEV-0586,并未发现这次的攻击行动与已知的黑客集团有关,也无从评估黑客的意图。不过,该攻击至少波及乌克兰的数十个系统,涵盖政府机构、非营利组织及信息科技组织,迄今尚无法确定实际的损害规模。

根据MTIC针对该网络攻击行动的分析,黑客的第一步是篡改MBR并显示假的勒索信件,有多个迹象显示黑客并未真正植入勒索软件,例如它仅篡改MBR但并未具备恢复机制;或者是在勒索信中罕见地公布了赎金金额与加密货币电子钱包地址;以及它仅提供了一个Tox ID作为联系窗口,一般而言,黑客为了方便与受害者交流,都会设立一个支持论坛或是提供电子邮件账号;再加上黑客并未于勒索信中创建客户ID,代表黑客根本无从得知要以哪个解密密钥替受害者解锁。

第二步则是下载了可用来破坏文件的恶意程序,执行后它会变更特定文件的文件扩展名,并覆盖相关文件的内容,再变更其文件名称。

目前微软已于Microsoft Defender Antivirus及Microsoft Defender for Endpoint中添增了对WhisperGate的侦测与防堵能力,同时公布了WhisperGate的危害指标供外界参考。

Cyclops Blink

英国国家网络安全中心(National Cyber Security Centre,NCSC)以及美国联邦调查局(FBI)等组织近日指出,俄罗斯黑客集团 Sandworm 自 2019 年 6 月就开始利用僵尸网络恶意程序 Cyclops Blink 来感染连网设备,并且主要锁定由 WatchGuard 所开发的防火墙设备,相关单位并未公布 Cyclops Blink 僵尸网络的规模,而 WatchGuard 则表示只有不到 1% 的设备被感染,但已释出检测工具和整治计划。

Sandworm 在 2015 年和 2016 年间曾针对乌克兰的电厂展开攻击,也曾在全球大规模散布 NotPetya 勒索软件。Sandworm 先前使用的僵尸网络恶意程序为 VPNFilter,在 2018 年 5 月遭到思科(Cisco)威胁情报组织 Talos 揪出,VPNFilter 当时已经感染了全球 50 万台网络设备,被黑的设备主要位于乌克兰,同月 FBI 即藉由接管 VPNFilter 的网域,摧毁了这个僵尸网络。

上述组织相信 Cyclops Blink 是 Sandworm 用来取代 VPNFilter 的作品,而且从 2019 年便开始部署,意味着 Cyclops Blink 已潜伏超过两年,而且主要部署在 WatchGuard 防火墙设备上。

黑客针对 WatchGuard 设备的 Firebox 软件更新程序进行了反向工程,并找到该程序中的弱点,可重新计算用以验证软件更新映像档的 HMAC 值,让 Cyclops Blink 得以常驻于 WatchGuard 设备上,不论重新启动还是更新软件都无法移除它。

Cyclops Blink 还具备读写设备档案系统的能力,可置换合法的档案,因此就算上述弱点已被修补,黑客依旧能够部署新功能来维持 Cyclops Blink 的存在,属于很高阶的恶意程序。

以上三种木马的狩猎及检测规则请到下载区下载

相关推荐: IceWater提供的16432条Yara规则

IceWater提供的16432条Yara规则 相关推荐: 2600+Yara规则 2600多个Yara检测规则,可以搭配Loki一起使用。

 

相关文件下载地址

该资源需登录后下载

去登录
温馨提示:若该资源侵犯了您的权益,请联系我们处理。
针对乌克兰金融、国防、航空、电力和IT服务攻击的三个木马狩猎规则(20220301更新)
VIP专属
VIP免费,去开通 >
登录下载
单个付费资源
支付¥9.9
登录购买