欢迎进入欧博网址(Allbet Gaming),欧博网址www.ALLbetgame.us开放会员注册、代理开户、电脑客户端下载、苹果安卓下载等业务。

首页科技正文

Indra——攻击伊朗 *** 的幕后黑手(上)

admin2021-10-2241观察

新2最新网址

www.22223388.com)实时更新发布最新最快最有效的新2网址和新2最新网址,包括新2手机网址,新2备用网址,皇冠最新网址,新2足球网址,新2网址大全。

,


研究职员会在本文剖析一次乐成的出于政治念头的{de}对伊朗基础设施的攻击,凭证当前证据,这可能不是一次国家组织的攻击行为,而是通俗的黑客组织提议的攻击。由于某种缘故原由,这次攻击正好发生在伊朗,也很可能发生在纽约或「huo」柏林。研究职员将着眼于一些手艺细节,并揭破这次攻击的幕后主使团队,从而将其与早些年其他几回出于政治念头的攻击联系起来。

主要发现

7月9日对伊朗铁路系统的网络攻击造成大局限杂乱,数百列火车延误或作废。继伊朗铁路系统9日遭到黑客袭击后,伊朗公路和都会生长部盘算机系统10日又受到网络攻击,导致多个官方网站一度瘫痪。近年来,伊朗及其核设计一直是一系列网络攻击的目的,其中包罗2009-2010年由以色列和美国向导的针对铀浓缩设施的著名的震网攻击事宜。Check Point Research对这些攻击举行了详细观察,多项证据解释,这些攻击严重依赖于攻击者之前对目的网络的领会和侦探。

此次针对伊朗攻击的战术和手艺与此前针对叙利亚多家私营公司的攻击流动相似,从2019年以来就一直在举行。研究职员将这次流动与一个自称为Indra的否决派组织的威胁组织联系了起来。

这些年来,攻击者在受〖shou〗害者的网络中开发并部署了至少3种差异版本的wiper恶意软件,划分是Meteor、Stardust和Comet。从这些工具的质量、它们的攻击方式以及它们在社交媒体上的存在来判断,研究职员发现Indra不〖bu〗太可能是由一个国家提议的攻击。

本文详细形貌了对工具以及底层攻击者使用的ttp的手艺剖析,7月9日,伊朗铁路基础设施遭到网络攻击。据伊朗新闻报道,黑客在天下各地车站的信息通告板上显示列车延误或作废的信息,并敦促搭客拨打某个电话号码以获得进一步信息。而这个号码显然是伊朗最高首脑阿亚图拉阿里哈梅内伊的办公室号码。


“由于网络攻击造成的耐久延误,更多信息请联系64411”,该信息包罗的64411显著是最高向导人办公室的号码

第二天,也就是 7 月 10 日,据报道,伊朗公路和都会化部的网站又一次因“网络中止”而住手服务。伊朗社交媒体宣布了其中一台被黑盘算机显示器的照‘zhao’片,攻击者声称对延续的两起攻击认真。


“我们攻击了铁路公司和公路和都会生长部的盘算机系统”,这是攻击者在被攻击的盘算机上留下的信息

几天后,伊朗网络平安公司 Amnpardaz Software 宣布了一份据称与这些攻击有关的恶意软件的简短手艺剖析,该讲述剖析了一款名为Trojan.Win32.BreakWin的恶意软件。Check Point Research凭证宣布的信息,从公然的资源中检索了这些文件,并举行了彻底的观察。来自其他平安厂商的记者和研究职员对这份讲述中的发现举行了审查和评估。在此时代,SentinelOne凭证Amnpardaz的剖析宣布了一份讲述。

在本文中,研究职员首先剖析这些攻击留下的工件。基于上述剖析,研究职员发现了此前在2019-2020年其他流动中使用过的一套类似工具,该工具针对叙利亚多个目的,但那时并未引起民众太多关注。然后,研究职员分享了一些关于潜在攻击者的战术‘shu’、手艺和程序(TTP)的看法,这些攻击者自称为“Indra”,凭证一些伊朗“lang”新闻泉源,他们可能与网络犯罪团体有关。

寻找来自伊朗黑客的文件

以 Amnpardaz 的威胁数据库为起点,研究职员搜索了具有类似名称和功效的文件。通过搜索,研究职员找到了几十份文件,它们都是从位于伊朗的两个相同泉源上传的。只管研究职员无法找「zhao」到所有提到的工件,但基本知足了Amnpardaz讲述中形貌的大部门执行流程。

执行流程很洪水平上是基于多层压缩文件和批处置剧本。其操作历程如下:

试图逃避反病毒检测;

销毁指导设置数据;

运行旨在锁定和彻底祛除网络中盘算机的最终有用载荷;


针对伊朗目的的攻击流程

执行最先时,通过组战略将设计义务从AD推送到所有盘算机。义务名称是Microsoft\Windows\Power Efficiency Diagnostics\AnalyzeAll,它模拟的是由Windows Power Efficiency Diagnostics讲述工具执行的AnalyzeSystem义务。后续的.bat文件和压缩文件链设计执行以下操作:

过滤目的盘算机:setup.bat首先检查盘算机的主机名是否为以下主机名之一:PIS-APP、PIS-MOB、WSUSPROXY或PIS-DB。若是是,则住手执行,并往后盘算机中删除包{bao}罗恶意剧本的文件夹。主机名中的PIS代表搭客信息系统(Passenger Information System),该系统通常认真用现实数据更新平台通告板,因此攻击者确保他们发给伊朗民众的信息能够准确显示。

新2备用网址

www.122381.com)是一个开放新2网址即时比分、新2网址代理最新登录线路、新2网址会员最新登录线路、新2网址代理APP下载、新2网址会员APP下载、新2网址线路APP下载、新2网址电脑版下载、新2网址手机版下载的新2新现金网平台。新2网址登录线路最新、新2皇冠网址更新最快,皇冠体育APP开放皇冠会员注册、皇冠代理开户等业务。

将恶意文件下载到盘算机上:统一个批处置文件从内部网络的远程地址下载名为 env.cab 的 cab 压缩文件「jian」:\\railways.ir\sysvol\railways.ir\scripts\env.cab。特定主机名和内部路「lu」径的使用解释攻击者事先领会该环境。

提取并运行其他工具:update.bat,它是由setup.bat提取并启动的,使用密码hackemall来提取下一个阶段:cache.bat、msrun.bat和bcd.bat。

断开盘算机与所有网络的毗邻:cache.bat剧本使用powershell -Command "Get-WmiObject -class Win32_NetworkAdapter | ForEach { If ($.NetEnabled) { $.Disable() } }" > NUL下令禁用盘算机上的所有网络适配器。

执行反病毒检查:同样的cache.bat剧本也会检查盘算机上是否安装了卡巴斯基防病毒软件,若是没有,它会将所有与攻击相关的文件和文件夹添加到Windows防御程序清扫列表中,并继续执行。

损坏指导:使用bcd.bat是为了损坏指导历程。首先,它实验用新内容笼罩指导文件,然后使用Windows内置的BCDEdit工具删除差其余指导标识符:for /F "tokens=2" %%j in ('%comspec% /c " BCDEdit -v | findstr identifier"') do BCDEdit /delete %%j /F。

删除所有痕迹:除了指导笼罩之外,相同的 bcd.bat 还会使用 wevtutil 从 cong[系统中删除平安、系统和应用程序事宜查看器日志。

释放主要载荷:msrun.bat剧本认真释放Wiper恶意软件。它将Wiper恶意软件相关的文件移动到“C:\temp”,并确立一个名为mstask的设计义务,只在23:55:00执行一次Wiper恶意软件的历程。

对Wiper恶意软件有用载荷的剖析

攻击时使用的主要有用载荷是一个名为msap .exe的可执行文件,其目的是通过锁定受害盘算机并祛除其内容,使其退出服务。在执行时,恶意软件隐藏这个可执行文件的控制台窗口,以削减受害者的嫌疑。

Wiper恶意软件设置文件

除「chu」非提供加密设置文件 msconf.conf 的路径作为下令行参数,否则Wiper恶意软件将拒绝运行。设置文件在有用载荷的执行历程中提供了一定水平的天真性,并使攻击者能够针对特定的受害者和系统定制攻击。

使用的设置花样支持多个字段,这些字段配合示意了该二进制文件在攻击中的作用。

支持的设置字段


并非所有这些字段都现实用于针对伊朗网络的Wiper恶意软件的设置文件中,这可能解释该工『gong』具不是专门为此攻击而确立的,或者,其设『she』计受到过早优化的影响。

若是设置乐成剖析,则程序将字符串“Meteor has started.”写入加密的日志文件,提醒恶意软件的内部名称为“Meteor”。正如我们将在本文后面看到的,之前的攻击中使用了另一个名称。在恶意软件的整个执行历程中,它不停将其操作纪录到统一个加密日志文件中。这些详细的调试日志可以更轻松地剖析恶意二进制文件并领会其事情流程。

设置步骤

接下来,恶意软件最先阻止受害者试图阻止正在举行的熏染。首先,通过使用WinAPI或WMI将盘算机从Active Directory域中删除。这使得远程向受熏染盘算机推送任何解救工具变得加倍难题“ti”。接下来,恶意软件继续损坏盘算机的启动设置:在Windows 7之(zhi)前的版本中,恶意软件笼罩c:\boot. ini 文件,在 Windows 7 及更高版本中,它会删除 BCD 条目。最后,恶意软件更改内陆用户的密码。在剖析的文件中,攻击者选择的所有密码都有相同的模式:Aa153![random sequence], 例如 Aa153!rHrrdOvpCj or Aa153!IRro3d2JYm。

完成上述所有操作后,用户将无法轻松恢复对其盘算机的接见权限。在此阶段,恶意软件会禁用 Windows 屏幕珍爱程序,然后将桌面壁纸和锁屏图像都更改为自界说图像。这是一对相同的JPEG和BMP图像,这是伊朗铁路的标志,以及与伊朗差异火车站站台板上显示的信息相似的信息:


完成上述操作后,恶意软件会注销所有用户并在新线程中执行一个小程序——“locker”。从设置中检索名为 mssetup.exe 的换衣室文件的路径。mssetup.exe 将通过阻止来自键盘和鼠标装备的输入来阻止用户与盘算机交互【hu】。最后,在转移到它的主要缘故原由——祛除系统之前,恶意软件确立一个设计义务,以确保它自己在系统中的持久性。每次系统启动都市执行准时义务。

顺便提一下,另有一个分外【wai】的步骤在这次攻击中没有发生。理论上,恶意软件应该终止设置文件中指定的processes_to_kill列表中命名的所有历程。凑巧的是,用于攻击伊朗目的的设置不包罗这个清单,因此没有终止任何历程。稍后,研究职员将展示之前确实使用了此功效的攻击的设置文件。

Wiper恶意软件功效

在内部,这部门被称为"Prefix Suffix wiper"。顾名思义,恶意软件从设置文件中获取前缀和后缀列表,并祛除相符此规则的文件。该恶意软件中的另一个字符串“Middle Wiper”可能在已往被该恶意软件用于删除包罗一些怪异子字符串的文件。

祛除历程自己很简朴。首先,恶意软件遍历paths_to_wipe设置中的文件和目录,用零字节而‘er’不是真正的内容填充它们,然后删除它们。

在祛除程序之后,恶意软件试图通过运行以《yi》下下令来删除卷影副本:vssadmin.exe delete shadows /all /quiet **and **C:\\Windows\\system32\\wbem\\wmic.exe shadowcopy delete。最后,恶意软件进入无限循环,它凭证设置文件中的is_alive_loop_interval值休眠,并在每次迭代中在日志中写入“Meteor is still alive.”。

若『ruo』是你对这一切很熟悉,也很正常;这一切都和勒索软件的攻击历程一样。不外本文讲的攻击可不是勒索软件,它需要公钥和私钥加密的全心设计才气使被攻击的盘算机最终可恢复。

本文翻译自“zi”:https://research.checkpoint.com/2021/indra-hackers-behind-recent-attacks-on-iran/

网友评论

4条评论
  • 2021-08-24 00:10:05

    鲸鱼算力www.ipfs8.vip)是Filecoin致力服务于使用Filecoin存储和检索数据的官方权威平台。IPFS官网实时更新FiLecion(FIL)行情、当前FiLecion(FIL)矿池、FiLecion(FIL)收益数据、各类FiLecion(FIL)矿机出售信息。并开放FiLecion(FIL)交易所、IPFS云矿机、IPFS矿机出售、IPFS矿机合租、IPFS算力合租、IPFS招商等业务。

    各方面都可以