近日,经纬信安内源威胁应急响应团队(ITSRT)检测到我国某重要敏感信息部门感染跨网攻击病毒,经分析其特征与W32.Ramnit病毒家族相似,该病毒使用的与震网病毒相同的Windows漏洞(CVE-2010-2568)通过U盘进行跨网传播,可实现对内网设备的远程跨网控制,对能源、交通、金融等基础设施隔离网有较大杀伤力,初步判断该病毒已经在该部门物理隔离内网感染多年,并通过U盘交叉传染大部分Windows机器。为了便于开展内源威胁研究,经纬信安内源威胁应急响应团队(ITSRT)将此次发现的病毒命名为IT(Inside Threat).RD(Removable Devices).W32.Ramnit。
在该部门员工U盘中,提取完整病毒文件如下:
其中exe和cpl文件位于U盘$RECYCLE.BIN系统隐藏目录中,Copyof Shortcut to (n).link位于U盘根目录,目前该病毒已经能够被主流杀毒软件查杀,但在大量物理隔离网环境中由于操作系统老旧,杀毒软件更新不及时,仍面临严重的安全隐患。
病毒大体执行流程如下:
由于U盘在物理隔离网环境中广泛使用,因此该病毒在内网传播迅速。若U盘存在互联网机器与物理隔离网机器交叉使用情形,攻击者可利用该病毒通过控制互联网机器间接控制物理隔离网机器。
值得注意的是近期Windows系统又暴露出与上述病毒所利用漏洞相似的CVE-2017-8464漏洞,可实现同样效果。因此该类内源威胁值得网络安全防御者特别是国家基础信息设施网络安全防御者深度关注。