国产高清情侣视频2019年|欧美精品视频一区二区三区|久久久久久久久久久久9999|日本免费新区二|欧美日韩国产另类电影|新中文字幕av专区|麻豆COMCN

新聞中心

了解江民最新動態(tài)

Trojan.Shamoon病毒分析報告

2019-01-03?來源:安全資訊

病毒名稱 : Trojan.Shamoon 病毒類型: 病毒/后門 M D5 : 63e8259b60299aab5751e3d82ba3d697 785a1c8a78a3e38905078b137c8247ae fdf409a9755a4ac20508d903f2325aec 傳播途徑: 惡意網(wǎng)頁腳本下載,內(nèi)網(wǎng)傳播。

病毒名稱  Trojan.Shamoon
病毒類型:  病毒/后門
MD5:       63e8259b60299aab5751e3d82ba3d697
785a1c8a78a3e38905078b137c8247ae
fdf409a9755a4ac20508d903f2325aec
傳播途徑:  惡意網(wǎng)頁腳本下載,內(nèi)網(wǎng)傳播
影響系統(tǒng): Windows XP, Windows Server 2003,Windows vista,Windows 7,Windows 8, Windows10等。
 
病毒介紹:
2012 年,Shamoon 首次被發(fā)現(xiàn)對沙特阿拉伯的目標企業(yè)展開攻擊,其中的受害者,包括石油巨頭阿美石油公司(Saudi Aramco)。在針對阿美石油公司的攻擊中,Shamoon 清除了超過 3 萬臺計算機上的數(shù)據(jù),并用一張焚燒美國國旗的圖片改寫了硬盤的主引導記錄。
2016年11月,出現(xiàn)新一波針對中東多個目標的磁盤擦除器攻擊,此次攻擊使用的惡意代碼就是臭名昭著的Shamoon蠕蟲的變種。Shamoon 2.0 被發(fā)現(xiàn)是用來攻擊沙特阿拉伯各種經(jīng)濟部門和核心部門。和以前的變種一樣,Shamoon 2.0 磁盤擦除器旨在大批量的毀滅被攻擊組織內(nèi)的系統(tǒng)。
2018年12月,再次發(fā)現(xiàn)一波針對中東及歐洲南部地區(qū)多個目標的攻擊,攻擊范圍涉及到能源公司、政府網(wǎng)站、石油、天然氣等。與之前的變種一樣,這次發(fā)現(xiàn)的shamoon 3.0仍舊采用多種躲避安全軟件檢測的技術,并且增加安全人員分析的難度和取證的難度。
 
江民殺毒軟件已經(jīng)全面攔截該病毒,并提醒用戶開啟文件監(jiān)控功能。
 
病毒危害
Shamoon是一種與Flame等APT類攻擊病毒類似的新型病毒,這種病毒的攻擊目標是能源企業(yè)或能源部門,它能將受感染W(wǎng)indows機器中的數(shù)據(jù)永久刪除。執(zhí)行文件里包含了“wiper”字段。這一字段也曾在Flame病毒中出現(xiàn)過。
這種惡意軟件會利用JPEG圖片中的數(shù)據(jù)改寫主機上的某些文件,導致這些文件失效。然后還會繼續(xù)改寫硬盤上的啟動引導記錄(MBR)以及分區(qū)表,致使電腦無法啟動,直接就導致系統(tǒng)癱瘓,不能開機。
 
文件系統(tǒng)變化:
1. 創(chuàng)建惡意文件。
C:WINDOWSinfmdmnis5tQ1.pnf
C:WINDOWSinfverbh_noav.pnf
C:WindowsTempkey8854321.pub
2. 在局域網(wǎng)的共享文件夾下釋放惡意文件。
3、感染 C:WindowsSystem32 目錄下大量文件。

系統(tǒng)注冊表變化:
修改注冊表RemoteRegistry 鍵,啟動RemoteRegistry服務。
 
同時,修改LocalAccountTokenFilterPolicy 鍵,注冊表路徑為:HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystemLocalAccountTokenFilterPolicy,即禁用UAC遠程限制,從而避免計算機被遠程操作時觸發(fā)UAC。
 
 
網(wǎng)絡癥狀:
訪問內(nèi)網(wǎng)主機共享目錄。
 

樣本詳細分析報告:
1、攻擊者通過制造“釣魚頁面”,使得瀏覽該網(wǎng)站的計算機執(zhí)行嵌入在網(wǎng)頁中的惡意腳本。該偽造網(wǎng)站中也會有部分頁面是用來引誘用戶輸入他們的企業(yè)賬號密碼之類的信息。
同時,惡意腳本也是被經(jīng)過混淆處理的,目的在于增加逆向的難度。惡意腳本片段如下:
 
執(zhí)行該代碼片段,被攻擊者的計算機會從服務器上下載powerShell腳本并建立遠程shell,以便黑客后續(xù)可以控制該計算機。
可以收集被攻擊者的用戶名、密碼的代碼片段如下:
 
2. 該程序在內(nèi)存中會先解密出大量的字符串,通過運行時獲取函數(shù)地址以及解密關鍵的字符串都是有效躲避安全軟件查殺的方法。0x4043F0 就是解密字符串函數(shù)。
從解密得到的字符串中,可以觀察出,攻擊者想要使目標計算機上啟用“Remote Registry”服務。該服務的作用是能夠使遠程用戶修改此計算機上的注冊表設置。同時設置“LocalAccountTokenFilterPolicy”,該鍵值與UAC有關。
 
 
3. 繼續(xù)解密字符串,得到“ADMIN$,C$WINDOWS,D$WINDOWS,E$WINDOWS”如果這些目錄存在,病毒則會拷貝自身到其中,達到傳播的目的
 
 
4. 收集受感染計算機的運行環(huán)境。
 
 
 
5. 獲取關于“local service”,即本地服務賬戶的信息。本地服務帳戶是一個類似于經(jīng)過認證的用戶帳戶的特殊的內(nèi)置帳戶。本地服務帳戶具有和 Users 用戶組成員相同級別的資源和對象訪問權(quán)。用本地服務帳戶運行的服務使用帶有匿名證書的空會話訪問網(wǎng)絡資源。帳戶的名字是 NT AUTHORITYLocalService 。這個帳戶沒有密碼。
 
 
6. 釋放母體中三個資源文件:
MNU:通信模塊;
LNG:感染模塊,即“文件擦除器”;
PIC: 64位版本的“擦除器”。
 
 
7. 修改文件時間,此病毒把時間修改為2012年8月。修改時間是用來反取證的手段。
 
8. 在創(chuàng)建服務之前,先提升自身的權(quán)限。
 
9. 創(chuàng)建名為“MaintenaceSrv”的服務,啟動類型為自啟動,即在系統(tǒng)啟動階段會被服務管理器加載,并且有獨立的進程。
 
 
10. 該服務進程在系統(tǒng)關鍵目錄下創(chuàng)建大量的文件,文件名均為隨機產(chǎn)生。
 
這些文件運行時首先會釋放內(nèi)嵌的驅(qū)動文件到系統(tǒng)關鍵目錄。
 
11. 拷貝到關鍵目錄之后,“擦除器“進程則啟動cmd進程執(zhí)行命令”sc create hdv_725x type= kernel start= demand binpath= WINDOWShdv_725x.sys 2>&1 >nul”,目的是向驅(qū)動管理器注冊該驅(qū)動,聲明該驅(qū)動的啟動類型、映像文件等。
 
 
12. 最后,大量修改系統(tǒng)關鍵文件之后,強制重啟計算機。
重啟命令:shutdown –r –f –t 2
 
13. 由于是對系統(tǒng)文件進行修改,所以在修改文件時可能發(fā)生嚴重錯誤使計算機停止工作,或者修改完之后重啟時出現(xiàn)藍屏。
至此,目標企業(yè)內(nèi)部計算機系統(tǒng)已被破壞。

 
 
 
 
應對措施及建議:
1. 建立良好的安全習慣,不打開可疑郵件和可疑網(wǎng)站。
2. 備份好電腦的重要資料和文檔,定期檢查內(nèi)部的備份機制是否正常運行。
3. 不要隨意接收聊天工具上傳送的文件以及打開發(fā)過來的網(wǎng)站鏈接。
4. 使用移動介質(zhì)時最好使用鼠標右鍵打開使用,必要時先要進行掃描。
5. 現(xiàn)在有很多利用系統(tǒng)漏洞傳播的病毒,所以給系統(tǒng)打全補丁也很關鍵。
6. 安裝專業(yè)的防毒軟件升級到最新版本,并開啟實時監(jiān)控功能。
7. 為本機管理員賬號設置較為復雜的密碼,預防病毒通過密碼猜測進行傳播,最好是數(shù)字與字母組合的密碼。
8. 不要從不可靠的渠道下載軟件,因為這些軟件很可能是帶有病毒的。
更多推薦