Wipe系统中Shamoon攻击分析
字数 2247 2025-08-18 11:36:57

Shamoon恶意软件分析与防御指南

1. Shamoon恶意软件概述

Shamoon是一种具有高度破坏性的模块化恶意软件,主要针对中东和南欧的石油、天然气、能源、电信和政府组织。该恶意软件首次出现于2012年,并在2016年和2018年出现了更新版本。

1.1 主要特点

  • 破坏性:通过覆盖文件导致系统无法运行
  • 针对性攻击:主要针对特定行业和组织
  • 模块化设计:各组件可独立运作
  • 持久性威胁:自2012年以来多次更新迭代

2. Shamoon攻击流程分析

2.1 攻击阶段

  1. 初始入侵:通过未知方式获得系统访问权限
  2. 信息收集:收集系统信息并确定系统架构(32/64位)
  3. 组件部署:解密并安装恶意组件
  4. 权限提升:使用多种技术提升权限
  5. 服务创建:创建恶意服务实现持久化
  6. 破坏执行:覆盖文件并强制重启系统
  7. 网络传播:扫描本地网络尝试传播(可选)

2.2 主要组件

2.2.1 Dropper(投放器)

  • 功能:解密并安装其他组件
  • 行为特征:
    • 需要参数才能运行
    • 解密内存中的字符串收集系统信息
    • 创建临时文件c:\Windows\Temp\key8854321.pub
    • 解密用户文件:
      • C:\Windows\inf\mdmnis5tQ1.pnf
      • C:\Windows\inf\averbh_noav.pnf
    • 启用RemoteRegistry服务
    • 禁用远程用户帐户控制(LocalAccountTokenFilterPolicy)

2.2.2 Wiper(擦除器)

  • 核心破坏组件
  • 工作流程:
    1. 从资源中解密驱动程序ElRawDisk.sys
    2. 创建驱动程序服务: 
      sc create hdv_725x type= kernel start= demand binpath= WINDOWS\hdv_725x.sys
    3. 覆盖c:\Windows\System32中的所有文件
    4. 强制重启系统: 
      Shutdown -r -f -t 2
  • 覆盖方式:
    • 用垃圾数据覆盖文件(2018版本)
    • 用文件覆盖(Shamoon 1和2版本)
    • 加密文件和引导记录(未在2018版本中使用)

2.2.3 Worm(蠕虫)

  • 传播组件(在2018版本中未使用)
  • 功能:
    • 扫描本地网络
    • 连接到控制服务器
    • 传播dropper

3. 技术细节分析

3.1 规避技术

  • 时间伪造:将文件时间设置为2012年8月
  • 服务名称拼写错误:使用"MaintenaceSrv"(正确应为MaintenanceSrv)
  • 反调试:使用混淆技术阻碍分析

3.2 权限提升技术

  1. 使用LogonUserImpersonateLoggedOnUser
  2. 使用ImpersonateNamedPipeClient函数
  3. 修改系统token提升权限

3.3 服务创建细节

  • 服务名称:MaintenaceSrv
  • 启动类型:Autostart(StartType:2)
  • 服务类型:使用自己的进程(ServiceType:0x10)

4. 检测与防御措施

4.1 检测指标(IOCs)

文件/组件 MD5哈希值
Original dropper df177772518a8fcedbbc805ceed8daecc0f42fed
Wiper x86ceb7876c01c75673699c74ff7fac64a5ca0e67a1
Worm module 43ed9c1309d8bb14bd62b016a5c34a2adbe45943
key8854321.pub bf3e0bc893859563811e9a481fde84fe7ecd0684
RawDisk driver 10411f07640edcaa6104f078af09e2543aa0ca07

4.2 防御建议

  1. 监控关键文件和目录

    • 特别关注System32目录的异常修改
    • 监控临时目录中的key8854321.pub文件创建

  2. 服务监控

    • 检测异常服务创建(MaintenaceSrv)
    • 监控服务配置的异常更改

  3. 网络防护

    • 限制不必要的网络共享访问(ADMIN\(, C\)\WINDOWS等)
    • 监控本地网络扫描行为

  4. 权限控制

    • 限制RemoteRegistry服务使用
    • 监控权限提升行为

  5. 备份策略

    • 实施离线备份方案
    • 定期测试备份恢复流程

  6. 终端防护

    • 部署能够检测以下签名的安全产品:
      • Trojan-Wiper!DE07C4AC94A5
      • RDN/Generic.dx
      • Trojan-Wiper

5. 应急响应指南

5.1 感染迹象

  • 系统突然重启并出现蓝屏
  • 大量文件被修改或损坏
  • 发现异常服务MaintenaceSrv
  • 系统时间被修改为2012年8月

5.2 响应步骤

  1. 隔离系统:立即断开受感染系统的网络连接
  2. 取证分析
    • 收集内存转储
    • 检查系统日志和服务
    • 查找IOCs中列出的文件
  3. 恢复系统
    • 从干净备份恢复
    • 完全重装系统(必要时)
  4. 根源分析
    • 确定初始入侵途径
    • 检查其他系统是否受影响
  5. 加固防护
    • 实施4.2节中的防御措施
    • 更新安全策略

6. 总结与展望

Shamoon恶意软件代表了针对特定行业的高级持续性威胁(APT)。其模块化设计使得wiper组件可以被其他恶意软件利用,增加了威胁的广泛性。虽然2018版本存在一些错误,表明可能处于测试阶段,但其破坏能力不容忽视。

预计未来Shamoon将继续演进,可能出现以下变化:

  • 更完善的规避技术
  • 更精确的针对性攻击
  • 更隐蔽的传播机制

组织应保持警惕,持续更新防御措施,特别是关键基础设施和敏感行业。

Shamoon恶意软件分析与防御指南 1. Shamoon恶意软件概述 Shamoon是一种具有高度破坏性的模块化恶意软件,主要针对中东和南欧的石油、天然气、能源、电信和政府组织。该恶意软件首次出现于2012年,并在2016年和2018年出现了更新版本。 1.1 主要特点 破坏性 :通过覆盖文件导致系统无法运行 针对性攻击 :主要针对特定行业和组织 模块化设计 :各组件可独立运作 持久性威胁 :自2012年以来多次更新迭代 2. Shamoon攻击流程分析 2.1 攻击阶段 初始入侵 :通过未知方式获得系统访问权限 信息收集 :收集系统信息并确定系统架构(32/64位) 组件部署 :解密并安装恶意组件 权限提升 :使用多种技术提升权限 服务创建 :创建恶意服务实现持久化 破坏执行 :覆盖文件并强制重启系统 网络传播 :扫描本地网络尝试传播(可选) 2.2 主要组件 2.2.1 Dropper(投放器) 功能:解密并安装其他组件 行为特征: 需要参数才能运行 解密内存中的字符串收集系统信息 创建临时文件 c:\Windows\Temp\key8854321.pub 解密用户文件: C:\Windows\inf\mdmnis5tQ1.pnf C:\Windows\inf\averbh_noav.pnf 启用RemoteRegistry服务 禁用远程用户帐户控制(LocalAccountTokenFilterPolicy) 2.2.2 Wiper(擦除器) 核心破坏组件 工作流程: 从资源中解密驱动程序 ElRawDisk.sys 创建驱动程序服务: 覆盖 c:\Windows\System32 中的所有文件 强制重启系统: 覆盖方式: 用垃圾数据覆盖文件(2018版本) 用文件覆盖(Shamoon 1和2版本) 加密文件和引导记录(未在2018版本中使用) 2.2.3 Worm(蠕虫) 传播组件(在2018版本中未使用) 功能: 扫描本地网络 连接到控制服务器 传播dropper 3. 技术细节分析 3.1 规避技术 时间伪造 :将文件时间设置为2012年8月 服务名称拼写错误 :使用"MaintenaceSrv"(正确应为MaintenanceSrv) 反调试 :使用混淆技术阻碍分析 3.2 权限提升技术 使用 LogonUser 和 ImpersonateLoggedOnUser 使用 ImpersonateNamedPipeClient 函数 修改系统token提升权限 3.3 服务创建细节 服务名称:MaintenaceSrv 启动类型:Autostart(StartType:2) 服务类型:使用自己的进程(ServiceType:0x10) 4. 检测与防御措施 4.1 检测指标(IOCs) | 文件/组件 | MD5哈希值 | |----------|----------| | Original dropper | df177772518a8fcedbbc805ceed8daecc0f42fed | | Wiper | x86ceb7876c01c75673699c74ff7fac64a5ca0e67a1 | | Worm module | 43ed9c1309d8bb14bd62b016a5c34a2adbe45943 | | key8854321.pub | bf3e0bc893859563811e9a481fde84fe7ecd0684 | | RawDisk driver | 10411f07640edcaa6104f078af09e2543aa0ca07 | 4.2 防御建议 监控关键文件和目录 特别关注 System32 目录的异常修改 监控临时目录中的 key8854321.pub 文件创建 服务监控 检测异常服务创建(MaintenaceSrv) 监控服务配置的异常更改 网络防护 限制不必要的网络共享访问(ADMIN$, C$\WINDOWS等) 监控本地网络扫描行为 权限控制 限制RemoteRegistry服务使用 监控权限提升行为 备份策略 实施离线备份方案 定期测试备份恢复流程 终端防护 部署能够检测以下签名的安全产品: Trojan-Wiper !DE07C4AC94A5 RDN/Generic.dx Trojan-Wiper 5. 应急响应指南 5.1 感染迹象 系统突然重启并出现蓝屏 大量文件被修改或损坏 发现异常服务MaintenaceSrv 系统时间被修改为2012年8月 5.2 响应步骤 隔离系统 :立即断开受感染系统的网络连接 取证分析 : 收集内存转储 检查系统日志和服务 查找IOCs中列出的文件 恢复系统 : 从干净备份恢复 完全重装系统(必要时) 根源分析 : 确定初始入侵途径 检查其他系统是否受影响 加固防护 : 实施4.2节中的防御措施 更新安全策略 6. 总结与展望 Shamoon恶意软件代表了针对特定行业的高级持续性威胁(APT)。其模块化设计使得wiper组件可以被其他恶意软件利用,增加了威胁的广泛性。虽然2018版本存在一些错误,表明可能处于测试阶段,但其破坏能力不容忽视。 预计未来Shamoon将继续演进,可能出现以下变化: 更完善的规避技术 更精确的针对性攻击 更隐蔽的传播机制 组织应保持警惕,持续更新防御措施,特别是关键基础设施和敏感行业。