7月9日，當(dāng)?shù)孛襟w開始報(bào)道針對伊朗火車系統(tǒng)的網(wǎng)絡(luò)攻擊，黑客在火車站的顯示屏上涂鴉以要求乘客撥打伊朗最高領(lǐng)袖哈梅內(nèi)伊辦公室的電話號碼“64411”。

[[414475]]

火車服務(wù)中斷僅一天之后，黑客就關(guān)閉了伊朗運(yùn)輸部的網(wǎng)站。據(jù)路透社報(bào)道，在網(wǎng)絡(luò)攻擊目標(biāo)成為道路與城市發(fā)展部的電腦后，該部門的門戶網(wǎng)站和副門戶網(wǎng)站都發(fā)生了癱瘓。

SentinelOne首席威脅分析師Juan Andres Guerrero-Saade在他的調(diào)查中指出，襲擊背后的人將這種從未見過的wiper稱為Meteor并在過去三年開發(fā)了它。

Guerrero-Saade指出：“目前，我們還無法將這一活動(dòng)跟先前確定的威脅組織或其他攻擊聯(lián)系起來。”他補(bǔ)充稱，多虧了安全研究員Anton Cherepanov和一家伊朗反病毒公司，他們才得以重建這次攻擊。“盡管缺乏具體指標(biāo)的妥協(xié)，我們能恢復(fù)在帖子中描述的大部分攻擊組件以及他們錯(cuò)過的額外組件。在這個(gè)關(guān)于火車停站和油嘴滑舌的網(wǎng)絡(luò)巨魔的離奇故事背后，我們發(fā)現(xiàn)了一個(gè)陌生攻擊者的指紋。”

Guerrero-Saade表示，Padvish安全研究人員的早期分析是SentinelOne重建的關(guān)鍵，同時(shí)“恢復(fù)的攻擊者偽造物包括更長的組件名稱列表”。

“攻擊者濫用Group Police來分發(fā)cab文件進(jìn)行攻擊。整個(gè)工具包由批處理文件組合而成，這些批處理文件協(xié)調(diào)了從RAR檔案中刪除的不同組件，”Guerrero-Saade解釋道。

“檔案用攻擊者提供的Rar.exe解壓，密碼為'hackemall'。攻擊組件是按功能劃分的：Meteor基于加密配置加密文件系統(tǒng)，nti.exe破壞MBR，mssetup.exe則鎖定系統(tǒng)。”

SentinelOne發(fā)現(xiàn)，大多數(shù)攻擊是通過一組批處理文件嵌套在各自的組件旁邊并在連續(xù)執(zhí)行中鏈接在一起。

該批文件通過伊朗鐵路網(wǎng)共享的CAB文件復(fù)制了最初的部件。在那里，批處理文件使用自己的WinRAR副本從而從三個(gè)額外的檔案文件解壓額外的組件，這里使用了一個(gè)精靈寶可夢主題的密碼“hackemall”，這也是在攻擊期間在其他地方引用的。

“此時(shí)，執(zhí)行開始分裂成其他腳本。第一個(gè)是'cache.bat'，它專注于使用Powershell清除障礙并為后續(xù)元素做好準(zhǔn)備。”Guerrero-Saade說道，“'cache.bat'執(zhí)行三個(gè)主要功能。首先，它將斷開受感染設(shè)備跟網(wǎng)絡(luò)的連接。然后它檢查機(jī)器上是否安裝了卡巴斯基殺毒軟件，在這種情況下它會(huì)退出。最后，'cache.bat'將為其所有組件創(chuàng)建WindowsDefender排除并有效地掃清了成功感染的障礙。”

報(bào)告解釋稱，這個(gè)特定的腳本對重建攻擊鏈具有指導(dǎo)意義，因?yàn)樗ㄒ粋€(gè)攻擊組件列表，能讓研究人員可以搜索特定的東西。

在部署了兩個(gè)批處理文件，機(jī)器會(huì)進(jìn)入無法引導(dǎo)并清除事件日志的狀態(tài)。在一系列其他操作之后，update.bat將調(diào)用"msrun.bat"，它將"Meteor wiper executable as a parameter"。

Guerrero-Saade指出，另一個(gè)批處理文件msrun.bat在一個(gè)屏幕鎖和Meteor wiper的加密配置中移動(dòng)。名為"mstask"的腳本創(chuàng)建了一個(gè)計(jì)劃任務(wù)，然后設(shè)置它在午夜前5分鐘執(zhí)行Meteor wiper。

“整個(gè)工具包存在一種奇怪的分裂程度。批處理文件生成其他批處理文件，不同的rar檔案包含混雜的可執(zhí)行文件，甚至預(yù)期的操作被分成三個(gè)有效載荷：Meteor清除文件系統(tǒng)、MSInstall .exe鎖定用戶、nti.exe可能破壞MBR，”Guerrero-Saade寫道。

“這個(gè)復(fù)雜的攻擊鏈的主要有效載荷是放在'env.exe'或'msapp.exe'下的可執(zhí)行文件。在內(nèi)部，程序員稱它為“Meteor”。雖然Meteor的這個(gè)例子遭遇了嚴(yán)重的OPSEC故障，但它是一個(gè)具有廣泛功能的外部可配置wiper。”

據(jù)報(bào)道，Meteor wiper只提供了一個(gè)參數(shù)，一個(gè)加密的JSON配置文件"msconf.conf"。

Meteor wiper刪除文件時(shí)，它從加密配置刪除陰影副本并采取一個(gè)機(jī)器出域復(fù)雜的補(bǔ)救。據(jù)報(bào)道，這些只是Meteor能力的冰山一角。

雖然在襲擊伊朗火車站時(shí)沒有使用，但wiper可以更改所有用戶的密碼、禁用屏幕保護(hù)程序、基于目標(biāo)進(jìn)程列表終止進(jìn)程、安裝屏幕鎖、禁用恢復(fù)模式、更改啟動(dòng)策略錯(cuò)誤處理、創(chuàng)建計(jì)劃任務(wù)、注銷本地會(huì)話、刪除影子副本、更改鎖定屏幕圖像和執(zhí)行要求。

Guerrero-Saade指出，wiper的開發(fā)人員為該wiper創(chuàng)造了完成這些任務(wù)的多種方式。“然而，操作人員顯然在編譯帶有大量用于內(nèi)部測試的調(diào)試字符串的二進(jìn)制文件時(shí)犯了一個(gè)重大錯(cuò)誤。后者表明，盡管開發(fā)人員擁有先進(jìn)的實(shí)踐，但他們?nèi)狈训牟渴鸸艿酪源_保此類錯(cuò)誤不會(huì)發(fā)生。此外要注意的是，該樣本是在部署前6個(gè)月編制的且沒有發(fā)現(xiàn)錯(cuò)誤。其次，這段代碼是自定義代碼的奇怪組合，其封裝了開源組件(cppt . httplib v0.2)和幾乎被濫用的軟件(FSProLabs的Lock My PC 4)。這跟外部可配置的設(shè)計(jì)并列從而允許對不同操作的有效重用。”

當(dāng)SentinelOne的研究人員深入研究Meteor時(shí)，他們發(fā)現(xiàn)，冗余證明wiper是由多個(gè)開發(fā)人員添加不同組件創(chuàng)建的。

報(bào)告還稱，wiper的外部可配置特性表明它不是為這種特殊操作而設(shè)計(jì)的。他們還沒有在其他地方看到任何其他攻擊或變種Meteor wiper。

研究人員無法將攻擊歸咎于特定的威脅行為者，但他們指出，攻擊者是一個(gè)中級水平的玩家。

Guerrero-Saade繼續(xù)說道，SentinelOne“還不能在迷霧中辨認(rèn)出這個(gè)對手的形態(tài)”并推斷它是一個(gè)不道德的雇傭軍組織或有各種動(dòng)機(jī)的國家支持的行動(dòng)者。

盡管他們無法確定攻擊的原因，但他們指出，攻擊者似乎熟悉伊朗鐵路系統(tǒng)的總體設(shè)置以及目標(biāo)使用的Veeam備份，這意味著威脅行為者在發(fā)動(dòng)攻擊之前在該系統(tǒng)中待過一段時(shí)間。

據(jù)路透社報(bào)道，襲擊發(fā)生時(shí)，伊朗官員沒有證實(shí)是否有人索要贖金也沒有證實(shí)他們認(rèn)為誰是襲擊的幕后黑手。