新的破坏性恶意软件"流星"雨刷用于伊朗铁路袭击-技术圈

在最近针对伊朗铁路系统的攻击中，发现了一种名为“流星”的文件清除恶意软件。

背景：

本月早些时候，伊朗交通部和国家铁路系统遭受了一次网络攻击，导致该机构的网站关闭，铁路服务中断。威胁行为者还在铁路留言板上显示了消息，称火车因网络攻击而延误或取消。

其中一些信息告诉乘客拨打最高领袖阿里·哈梅内伊办公室的电话号码以获取更多信息。

除了在铁路上捣乱，威胁行为者还用锁屏锁住了网络上的Windows设备，阻止人们访问该设备。

在 SentinelOne的一份新报告中，安全研究员透露，对伊朗的网络攻击使用了一种此前未见过的文件擦除器“流星”(Meteor)。

雨刷是一种恶意软件，它会故意删除电脑上的文件，并导致电脑无法启动。

与勒索软件攻击不同，破坏性擦除器攻击不用于为攻击者创收。相反，他们的目标是在另一次攻击发生时给组织造成混乱或分散管理员的注意力。

虽然伊朗网络安全公司之前分析了雨刷器，但SentinelOne可以找到更多缺失的组件，以提供更清晰的攻击画面。

“在这个关于火车停站和油嘴滑舌的巨魔的离奇故事背后，我们发现了一个陌生袭击者的指纹。”

这种攻击本身被称为“MeteorExpress”，它利用一批文件和可执行文件的工具包来擦除系统，锁定设备的主引导记录(MBR)，并安装一个屏幕锁。

为了启动攻击，威胁行为者提取了一个受“hackemall”密码保护的 RAR 档案。攻击者随后将这些文件添加到伊朗铁路网络上的其余计算机可访问的网络共享中。

然后，攻击者配置 Windows 组策略以启动 setup.bat 批处理文件，然后将各种可执行文件和批处理文件复制到本地设备并执行它们。

作为此过程的一部分，批处理文件将执行以下步骤：

检查是否安装了卡巴斯基反病毒软件，如果发现则终止攻击。

断开设备与网络的连接。

添加 Windows Defender 排除项以防止检测到恶意软件。

将各种恶意软件可执行文件和批处理文件提取到系统中。

清除 Windows 事件日志。

删除 Windows 电源效率诊断目录下名为“AnalyzeAll”的计划任务。

使用 Sysinternals 的“同步”工具将文件系统缓存刷新到磁盘。

在计算机上启动 Meteor 雨刷器(env.exe 或 msapp.exe)、MBR锁(nti.exe)和屏幕锁(mssetup.exe)。

完成后，设备将无法启动，其文件将被删除，并在第一次重新启动计算机之前安装一个显示以下壁纸背景的屏幕锁。

虽然SentinelOne无法找到“nti.exe”MBR储物柜，但 Aman Pardaz的研究人员声称它与臭名昭著的NotPetya雨刷器有重叠。

“虽然人们的第一直觉可能是假设NotPetya运营商参与其中或者这是一次虚假标志操作的尝试，但重要的是要记住NotPetya的MBR腐败计划主要是从最初用于犯罪行动的 Petya 中抄袭而来的。”

“NotPetya”最初被认为是一场勒索软件攻击，但在2017年通过NSA的ETERNALBLUE漏洞和加密设备传播到曝光网络，在全球造成了巨大破坏。

目前，流星雨刷袭击伊朗铁路的动机尚不清楚，袭击事件也没有归咎于任何特定组织或国家。

在浓雾中，我们还看不清这个敌人的轮廓。也许这是一个不择手段的雇佣军组织。或者外部培训对一个地区新生运营商产生的潜在影响。

目前，任何形式的归因都是纯粹的猜测，有可能将多个国家之间的既得利益、手段和动机的激烈冲突简单化。

随着网络攻击逐渐“武器化”，越来越多的攻击带有更大的破坏性。尤其网络犯罪分子在发现攻击关键基础设施网络后收获颇丰，这种关系到国家和社会运转的脆弱的网络体系极易成为其目标。

没有网络安全就没有国家安全，随着我国在网络安全及数据安全上新的政策法规不断实施，企业在网络建设和数据存储方面，更要加强安全保障。尤其在应用软件开发过程中，及时检测修复软件安全漏洞，提高代码质量，不但有助于增强软件抵抗威胁的能力，同时也在加强网络安全建设。

参读链接：

https://www.bleepingcomputer.com/news/security/new-destructive-meteor-wiper-malware-used-in-iranian-railway-attack/