據外媒報道,網絡安全公司SentinelOne的研究人員在一份新報告中重建了最近對伊朗火車系統的網絡攻擊並發現了一種新的威脅因素–他們將其命名為MeteorExpress–這是一種以前從未見過的wiper。
7月9日,當地媒體開始報道針對伊朗火車系統的網絡攻擊,黑客在火車站的顯示屏上塗鴉以要求乘客撥打伊朗最高領袖哈梅內伊辦公室的電話號碼“64411”。
火車服務中斷僅一天之後,黑客就關閉了伊朗運輸部的網站。據路透社報道,在網絡攻擊目標成為道路與城市發展部的電腦後,該部門的門戶網站和副門戶網站都發生了癱瘓。
SentinelOne首席威脅分析師Juan Andres Guerrero-Saade在他的調查中指出,襲擊背後的人將這種從未見過的wiper稱為Meteor並在過去三年開發了它。
Guerrero-Saade指出:“目前,我們還無法將這一活動跟先前確定的威脅組織或其他攻擊聯繫起來。”他補充稱,多虧了安全研究員Anton Cherepanov和一家伊朗反病毒公司,他們才得以重建這次攻擊。“儘管缺乏具體指標的妥協,我們能恢復在帖子中描述的大部分攻擊組件以及他們錯過的額外組件。在這個關於火車停站和油嘴滑舌的網絡巨魔的離奇故事背後,我們發現了一個陌生攻擊者的指紋。”
Guerrero-Saade表示,Padvish安全研究人員的早期分析是SentinelOne重建的關鍵,同時“恢復的攻擊者偽造物包括更長的組件名稱列表”。
“攻擊者濫用Group Police來分發cab文件進行攻擊。整個工具包由批處理文件組合而成,這些批處理文件協調了從RAR檔案中刪除的不同組件,”Guerrero-Saade解釋道。
“檔案用攻擊者提供的Rar.exe解壓,密碼為’hackemall’。攻擊組件是按功能劃分的:Meteor基於加密配置加密文件系統,nti.exe破壞MBR,mssetup.exe則鎖定系統。”
SentinelOne發現,大多數攻擊是通過一組批處理文件嵌套在各自的組件旁邊並在連續執行中鏈接在一起。
該批文件通過伊朗鐵路網共享的CAB文件複製了最初的部件。在那裡,批處理文件使用自己的WinRAR副本從而從三個額外的檔案文件解壓額外的組件,這裡使用了一個精靈寶可夢主題的密碼“hackemall”,這也是在攻擊期間在其他地方引用的。
“此時,執行開始分裂成其他腳本。第一個是’cache.bat’,它專註於使用Powershell清除障礙並為後續元素做好準備。”Guerrero-Saade說道,“’cache.bat’執行三個主要功能。首先,它將斷開受感染設備跟網絡的連接。然後它檢查機器上是否安裝了卡巴斯基殺毒軟件,在這種情況下它會退出。最後,’cache.bat’將為其所有組件創建Windows Defender排除並有效地掃清了成功感染的障礙。”
報告解釋稱,這個特定的腳本對重建攻擊鏈具有指導意義,因為它包括一個攻擊組件列表,能讓研究人員可以搜索特定的東西。
在部署了兩個批處理文件,機器會進入無法引導並清除事件日誌的狀態。在一系列其他操作之後,update.bat將調用”msrun.bat”,它將”Meteor wiper executable as a parameter”。
Guerrero-Saade指出,另一個批處理文件msrun.bat在一個屏幕鎖和Meteor wiper的加密配置中移動。名為”mstask”的腳本創建了一個計劃任務,然後設置它在午夜前5分鐘執行Meteor wiper。
“整個工具包存在一種奇怪的分裂程度。批處理文件生成其他批處理文件,不同的rar檔案包含混雜的可執行文件,甚至預期的操作被分成三個有效載荷:Meteor清除文件系統、MSInstall .exe鎖定用戶、nti.exe可能破壞MBR,”Guerrero-Saade寫道。
“這個複雜的攻擊鏈的主要有效載荷是放在’env.exe’或’msapp.exe’下的可執行文件。在內部,程序員稱它為“Meteor”。雖然Meteor的這個例子遭遇了嚴重的OPSEC故障,但它是一個具有廣泛功能的外部可配置wiper。”
據報道,Meteor wiper只提供了一個參數,一個加密的JSON配置文件”msconf.conf”。
Meteor wiper刪除文件時,它從加密配置刪除陰影副本並採取一個機器出域複雜的補救。據報道,這些只是Meteor能力的冰山一角。
雖然在襲擊伊朗火車站時沒有使用,但wiper可以更改所有用戶的密碼、禁用屏幕保護程序、基於目標進程列表終止進程、安裝屏幕鎖、禁用恢復模式、更改啟動策略錯誤處理、創建計劃任務、註銷本地會話、刪除影子副本、更改鎖定屏幕圖像和執行要求。
Guerrero-Saade指出,wiper的開發人員為該wiper創造了完成這些任務的多種方式。“然而,操作人員顯然在編譯帶有大量用於內部測試的調試字符串的二進制文件時犯了一個重大錯誤。後者表明,儘管開發人員擁有先進的實踐,但他們缺乏健壯的部署管道以確保此類錯誤不會發生。此外要注意的是,該樣本是在部署前6個月編製的且沒有發現錯誤。其次,這段代碼是自定義代碼的奇怪組合,其封裝了開源組件(cppt . httplib v0.2)和幾乎被濫用的軟件(FSProLabs的Lock My PC 4)。這跟外部可配置的設計並列從而允許對不同操作的有效重用。”
當SentinelOne的研究人員深入研究Meteor時,他們發現,冗餘證明wiper是由多個開發人員添加不同組件創建的。
報告還稱,wiper的外部可配置特性表明它不是為這種特殊操作而設計的。他們還沒有在其他地方看到任何其他攻擊或變種Meteor wiper。
研究人員無法將攻擊歸咎於特定的威脅行為者,但他們指出,攻擊者是一個中級水平的玩家。
Guerrero-Saade繼續說道,SentinelOne“還不能在迷霧中辨認出這個對手的形態”並推斷它是一個不道德的雇傭軍組織或有各種動機的國家支持的行動者。
儘管他們無法確定攻擊的原因,但他們指出,攻擊者似乎熟悉伊朗鐵路系統的總體設置以及目標使用的Veeam備份,這意味着威脅行為者在發動攻擊之前在該系統中待過一段時間。
據路透社報道,襲擊發生時,伊朗官員沒有證實是否有人索要贖金也沒有證實他們認為誰是襲擊的幕後黑手。