![](https://hfnxjk.com/statics/images/logo.png)
卡巴斯基實驗室的IT安全研究人員發(fā)現(xiàn)一款新的惡意軟件——“StoneDrill”。這款惡意軟件針對中東的石油和天然氣公司以及歐洲的目標起網(wǎng)絡攻擊。
“StoneDrill”軟件可以繞過防病毒檢測,并銷毀感染設備上的所有內容。卡巴斯基實驗室發(fā)現(xiàn),惡意攻擊者利用StoneDrill攻擊沙特阿拉伯。這一點與Shamoon軟件相似。
StoneDrill 與 Shamoon之間的聯(lián)系紛繁復雜:
StoneDrill的構建方式與Shamoon 2.0類似,而且StoneDrill與Shamoon的開發(fā)人員的思維傾向和編程風格也都很相似。但StoneDrill要比Shamoon復雜得多,而且二者使用的是不同的代碼庫。即使StoneDrill和Shamoon并未共享部分代碼,但專家發(fā)現(xiàn)Shamoon、 StoneDrill和NewsBeef(也被稱為Charming Kitten和Newscaster)這三個惡意軟件之間的風格和組件也類似。
研究人員仍在調查感染過程。目前他們已確定StoneDrill采用了復雜的技術手段繞過安全應用程序。雖然Shamoon在部署時使用驅動程序,而StoneDrill卻利用內存注入機制,將擦除模塊注入受害者的瀏覽器。但該擦除工具(Wiper)已通過新技術實現(xiàn)同時針對物理和邏輯驅動器,并在擦除過程完成后重啟系統(tǒng)。
根據(jù)配置,此模塊使用隨機數(shù)據(jù)擦除以下一個可能的目標:
使用設備路徑\.PhysicalDrive,擦除所有可訪問的物理驅動器。
使用設備路徑\.X:,擦除所有可訪問的邏輯驅動器。
遞歸擦除并刪除所有文件夾中的文件,除了所有可訪問邏輯驅動器上的“Windows”文件夾。
特別強調擦除磁盤root文件夾中名為““asdhgasdasdwqe%digits%”的文件。
卡巴斯基實驗室的研究人員發(fā)現(xiàn)一個StoneDrill樣本,它是被專門設計用來在被感染的系統(tǒng)上創(chuàng)建后門。攻擊者開發(fā)該樣本可能為了實現(xiàn)間諜目的。
專家在網(wǎng)絡間諜活動中發(fā)現(xiàn)4個C&C服務器,這就意味著StoneDrill是使用C&C通信接收攻擊者的指令。
www.eservic [。] com
www.securityupdated [。] com
www.actdire [。] com
www.chromup [。] com
研究人員發(fā)現(xiàn),StoneDrill與Charming Kitten使用的惡意軟件存在許多相似之處(代碼、C&C命名規(guī)范、后門命令和功能,以及Winmain簽名)。從這一點來看,StoneDrill可能是Charming Kitten惡意軟件的演變版。
目前尚不清楚StoneDrill如何傳遞給受害者。設備一經(jīng)感染,StoneDrill就會將自身注入受害者Web瀏覽器的內存進程,并使用兩個復雜的反仿真技術規(guī)避部署在受害者設備上的安全解決方案或產品。 之后,這款惡意軟件便開始銷毀計算機的硬盤文件。另外,StoneDrill還作為后門運作,顯然通過4個命令與控制服務器(C&C)執(zhí)行大規(guī)模間諜活動,并監(jiān)控數(shù)量不明的目標。
卡巴斯基實驗室全球研究與分析小組高級安全研究員Mohamad Amin Hasbini表示十分好奇StoneDrill 、 Shamoon、Charming Kitten這三個惡意軟件之間的異同。該研究員提出三種設想:
1、StoneDrill是Shamoon攻擊者部署的另一個擦除軟件嗎?
2、StoneDrill和Shamoon是否是兩個不同的惡意軟件,或者攻擊組織毫不相關,只是同時針對沙特阿拉伯的組織機構發(fā)起攻擊?
3、或兩個組織是獨立的,只是目標一致?
后者的可能性更大:就其Artifact(指軟件開發(fā)過程的中間或最后工作產品,包括文檔、模型和程序。)來說,雖然Shamoon嵌入阿拉伯語-也門(Arabic-Yemen)語言段,StoneDrill則嵌入大多數(shù)波斯語言段。地緣政治分析人員可能會快速斷定伊朗和也門就是伊朗沙特阿拉伯網(wǎng)絡攻擊的參與者。因為在沙特阿拉伯,這類行動的受害者眾多。但同時不能排除這些Artifact故意偽裝的可能性。”
雖然目前尚不清楚StoneDrill如何傳遞給受害者,考慮與其有眾多相似之處的Shamoon惡意軟件是通過把感染的文件發(fā)送給受害者,應警惕StoneDrill也可能使用類似的手段感染不知情的用戶。
建議用戶忽略未知電子郵件,拒絕下載附件并點擊未知發(fā)送人發(fā)送的鏈接。減少受到StoneDril攻擊的可能性。