E安全3月8日讯 卡巴斯基实验室的IT安全研究人员发现一款新的恶意软件——“StoneDrill”。这款恶意软件针对中东的石油和天然气公司以及欧洲的目标起网络攻击。
“StoneDrill”软件可以绕过防病毒检测,并销毁感染设备上的所有内容。卡巴斯基实验室发现,恶意攻击者利用StoneDrill攻击沙特阿拉伯。这一点与Shamoon软件相似。
StoneDrill 与 Shamoon之间的联系纷繁复杂:
StoneDrill的构建方式与Shamoon 2.0类似,而且StoneDrill与Shamoon的开发人员的思维倾向和编程风格也都很相似。但StoneDrill要比Shamoon复杂得多,而且二者使用的是不同的代码库。即使StoneDrill和Shamoon并未共享部分代码,但专家发现Shamoon、 StoneDrill和NewsBeef(也被称为Charming Kitten和Newscaster)这三个恶意软件之间的风格和组件也类似。
研究人员仍在调查感染过程。目前他们已确定StoneDrill采用了复杂的技术手段绕过安全应用程序。虽然Shamoon在部署时使用驱动程序,而StoneDrill却利用内存注入机制,将擦除模块注入受害者的浏览器。但该擦除工具(Wiper)已通过新技术实现同时针对物理和逻辑驱动器,并在擦除过程完成后重启系统。
根据配置,此模块使用随机数据擦除以下一个可能的目标:
使用设备路径\\.\PhysicalDrive
使用设备路径\\.\X:
递归擦除并删除所有文件夹中的文件,除了所有可访问逻辑驱动器上的“Windows”文件夹。
特别强调擦除磁盘root文件夹中名为““asdhgasdasdwqe0igits的文件。
卡巴斯基实验室的研究人员发现一个StoneDrill样本,它是被专门设计用来在被感染的系统上创建后门。攻击者开发该样本可能为了实现间谍目的。
专家在网络间谍活动中发现4个C&C服务器,这就意味着StoneDrill是使用C&C通信接收攻击者的指令。
www.eservic [。] com
www.securityupdated [。] com
www.actdire [。] com
www.chromup [。] com
研究人员发现,StoneDrill与Charming Kitten使用的恶意软件存在许多相似之处(代码、C&C命名规范、后门命令和功能,以及Winmain签名)。从这一点来看,StoneDrill可能是Charming Kitten恶意软件的演变版。
目前尚不清楚StoneDrill如何传递给受害者。设备一经感染,StoneDrill就会将自身注入受害者Web浏览器的内存进程,并使用两个复杂的反仿真技术规避部署在受害者设备上的安全解决方案或产品。 之后,这款恶意软件便开始销毁计算机的硬盘文件。另外,StoneDrill还作为后门运作,显然通过4个命令与控制服务器(C&C)执行大规模间谍活动,并监控数量不明的目标。
卡巴斯基实验室全球研究与分析小组高级安全研究员Mohamad Amin Hasbini表示十分好奇StoneDrill 、 Shamoon、Charming Kitten这三个恶意软件之间的异同。该研究员提出三种设想:
1、StoneDrill是Shamoon攻击者部署的另一个擦除软件吗?
2、StoneDrill和Shamoon是否是两个不同的恶意软件,或者攻击组织毫不相关,只是同时针对沙特阿拉伯的组织机构发起攻击?
3、或两个组织是独立的,只是目标一致?
后者的可能性更大:就其Artifact(指软件开发过程的中间或最后工作产品,包括文档、模型和程序。)来说,虽然Shamoon嵌入阿拉伯语-也门(Arabic-Yemen)语言段,StoneDrill则嵌入大多数波斯语言段。地缘政治分析人员可能会快速断定伊朗和也门就是伊朗沙特阿拉伯网络攻击的参与者。因为在沙特阿拉伯,这类行动的受害者众多。但同时不能排除这些Artifact故意伪装的可能性。”
虽然目前尚不清楚StoneDrill如何传递给受害者,考虑与其有众多相似之处的Shamoon恶意软件是通过把感染的文件发送给受害者,应警惕StoneDrill也可能使用类似的手段感染不知情的用户。
建议用户忽略未知电子邮件,拒绝下载附件并点击未知发送人发送的链接。减少受到StoneDril攻击的可能性。
E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com