Trojan.Shamoon病毒分析報(bào)告

2019-01-03?來源：安全資訊

病毒名稱： Trojan.Shamoon 病毒類型：病毒/后門 M D5 ： 63e8259b60299aab5751e3d82ba3d697 785a1c8a78a3e38905078b137c8247ae fdf409a9755a4ac20508d903f2325aec 傳播途徑：惡意網(wǎng)頁腳本下載，內(nèi)網(wǎng)傳播。

病毒名稱：  Trojan.Shamoon
病毒類型：  病毒/后門
MD5：       63e8259b60299aab5751e3d82ba3d697
785a1c8a78a3e38905078b137c8247ae
fdf409a9755a4ac20508d903f2325aec
傳播途徑：  惡意網(wǎng)頁腳本下載，內(nèi)網(wǎng)傳播
影響系統(tǒng)： Windows XP, Windows Server 2003,Windows vista,Windows 7,Windows 8, Windows10等。

病毒介紹:
2012 年，Shamoon 首次被發(fā)現(xiàn)對沙特阿拉伯的目標(biāo)企業(yè)展開攻擊，其中的受害者，包括石油巨頭阿美石油公司（Saudi Aramco）。在針對阿美石油公司的攻擊中，Shamoon 清除了超過 3 萬臺(tái)計(jì)算機(jī)上的數(shù)據(jù)，并用一張焚燒美國國旗的圖片改寫了硬盤的主引導(dǎo)記錄。
2016年11月，出現(xiàn)新一波針對中東多個(gè)目標(biāo)的磁盤擦除器攻擊，此次攻擊使用的惡意代碼就是臭名昭著的Shamoon蠕蟲的變種。Shamoon 2.0 被發(fā)現(xiàn)是用來攻擊沙特阿拉伯各種經(jīng)濟(jì)部門和核心部門。和以前的變種一樣，Shamoon 2.0 磁盤擦除器旨在大批量的毀滅被攻擊組織內(nèi)的系統(tǒng)。
2018年12月，再次發(fā)現(xiàn)一波針對中東及歐洲南部地區(qū)多個(gè)目標(biāo)的攻擊，攻擊范圍涉及到能源公司、政府網(wǎng)站、石油、天然氣等。與之前的變種一樣，這次發(fā)現(xiàn)的shamoon 3.0仍舊采用多種躲避安全軟件檢測的技術(shù)，并且增加安全人員分析的難度和取證的難度。

江民殺毒軟件已經(jīng)全面攔截該病毒，并提醒用戶開啟文件監(jiān)控功能。

病毒危害
Shamoon是一種與Flame等APT類攻擊病毒類似的新型病毒，這種病毒的攻擊目標(biāo)是能源企業(yè)或能源部門，它能將受感染W(wǎng)indows機(jī)器中的數(shù)據(jù)永久刪除。執(zhí)行文件里包含了“wiper”字段。這一字段也曾在Flame病毒中出現(xiàn)過。
這種惡意軟件會(huì)利用JPEG圖片中的數(shù)據(jù)改寫主機(jī)上的某些文件，導(dǎo)致這些文件失效。然后還會(huì)繼續(xù)改寫硬盤上的啟動(dòng)引導(dǎo)記錄（MBR）以及分區(qū)表，致使電腦無法啟動(dòng)，直接就導(dǎo)致系統(tǒng)癱瘓，不能開機(jī)。

文件系統(tǒng)變化:
1. 創(chuàng)建惡意文件。
C:WINDOWSinfmdmnis5tQ1.pnf
C:WINDOWSinfverbh_noav.pnf
C:WindowsTempkey8854321.pub
2. 在局域網(wǎng)的共享文件夾下釋放惡意文件。
3、感染 C:WindowsSystem32 目錄下大量文件。

系統(tǒng)注冊表變化:
修改注冊表RemoteRegistry 鍵，啟動(dòng)RemoteRegistry服務(wù)。

同時(shí)，修改LocalAccountTokenFilterPolicy 鍵，注冊表路徑為：HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystemLocalAccountTokenFilterPolicy，即禁用UAC遠(yuǎn)程限制，從而避免計(jì)算機(jī)被遠(yuǎn)程操作時(shí)觸發(fā)UAC。

網(wǎng)絡(luò)癥狀:
訪問內(nèi)網(wǎng)主機(jī)共享目錄。

樣本詳細(xì)分析報(bào)告:
1、攻擊者通過制造“釣魚頁面”，使得瀏覽該網(wǎng)站的計(jì)算機(jī)執(zhí)行嵌入在網(wǎng)頁中的惡意腳本。該偽造網(wǎng)站中也會(huì)有部分頁面是用來引誘用戶輸入他們的企業(yè)賬號密碼之類的信息。
同時(shí)，惡意腳本也是被經(jīng)過混淆處理的，目的在于增加逆向的難度。惡意腳本片段如下：

執(zhí)行該代碼片段，被攻擊者的計(jì)算機(jī)會(huì)從服務(wù)器上下載powerShell腳本并建立遠(yuǎn)程shell，以便黑客后續(xù)可以控制該計(jì)算機(jī)。
可以收集被攻擊者的用戶名、密碼的代碼片段如下：

2. 該程序在內(nèi)存中會(huì)先解密出大量的字符串，通過運(yùn)行時(shí)獲取函數(shù)地址以及解密關(guān)鍵的字符串都是有效躲避安全軟件查殺的方法。0x4043F0 就是解密字符串函數(shù)。
從解密得到的字符串中，可以觀察出，攻擊者想要使目標(biāo)計(jì)算機(jī)上啟用“Remote Registry”服務(wù)。該服務(wù)的作用是能夠使遠(yuǎn)程用戶修改此計(jì)算機(jī)上的注冊表設(shè)置。同時(shí)設(shè)置“LocalAccountTokenFilterPolicy”，該鍵值與UAC有關(guān)。

3. 繼續(xù)解密字符串，得到“ADMIN$，C$WINDOWS，D$WINDOWS，E$WINDOWS”如果這些目錄存在，病毒則會(huì)拷貝自身到其中，達(dá)到傳播的目的

4. 收集受感染計(jì)算機(jī)的運(yùn)行環(huán)境。

5. 獲取關(guān)于“local service”，即本地服務(wù)賬戶的信息。本地服務(wù)帳戶是一個(gè)類似于經(jīng)過認(rèn)證的用戶帳戶的特殊的內(nèi)置帳戶。本地服務(wù)帳戶具有和 Users 用戶組成員相同級別的資源和對象訪問權(quán)。用本地服務(wù)帳戶運(yùn)行的服務(wù)使用帶有匿名證書的空會(huì)話訪問網(wǎng)絡(luò)資源。帳戶的名字是 NT AUTHORITYLocalService 。這個(gè)帳戶沒有密碼。

6. 釋放母體中三個(gè)資源文件：
MNU：通信模塊；
LNG：感染模塊，即“文件擦除器”；
PIC： 64位版本的“擦除器”。

7. 修改文件時(shí)間，此病毒把時(shí)間修改為2012年8月。修改時(shí)間是用來反取證的手段。

8. 在創(chuàng)建服務(wù)之前，先提升自身的權(quán)限。

9. 創(chuàng)建名為“MaintenaceSrv”的服務(wù)，啟動(dòng)類型為自啟動(dòng)，即在系統(tǒng)啟動(dòng)階段會(huì)被服務(wù)管理器加載，并且有獨(dú)立的進(jìn)程。

10. 該服務(wù)進(jìn)程在系統(tǒng)關(guān)鍵目錄下創(chuàng)建大量的文件，文件名均為隨機(jī)產(chǎn)生。

這些文件運(yùn)行時(shí)首先會(huì)釋放內(nèi)嵌的驅(qū)動(dòng)文件到系統(tǒng)關(guān)鍵目錄。

11. 拷貝到關(guān)鍵目錄之后，“擦除器“進(jìn)程則啟動(dòng)cmd進(jìn)程執(zhí)行命令”sc create hdv_725x type= kernel start= demand binpath= WINDOWShdv_725x.sys 2>&1 >nul”，目的是向驅(qū)動(dòng)管理器注冊該驅(qū)動(dòng)，聲明該驅(qū)動(dòng)的啟動(dòng)類型、映像文件等。

12. 最后，大量修改系統(tǒng)關(guān)鍵文件之后，強(qiáng)制重啟計(jì)算機(jī)。
重啟命令：shutdown –r –f –t 2

13. 由于是對系統(tǒng)文件進(jìn)行修改，所以在修改文件時(shí)可能發(fā)生嚴(yán)重錯(cuò)誤使計(jì)算機(jī)停止工作，或者修改完之后重啟時(shí)出現(xiàn)藍(lán)屏。
至此，目標(biāo)企業(yè)內(nèi)部計(jì)算機(jī)系統(tǒng)已被破壞。

應(yīng)對措施及建議:
1. 建立良好的安全習(xí)慣，不打開可疑郵件和可疑網(wǎng)站。
2. 備份好電腦的重要資料和文檔，定期檢查內(nèi)部的備份機(jī)制是否正常運(yùn)行。
3. 不要隨意接收聊天工具上傳送的文件以及打開發(fā)過來的網(wǎng)站鏈接。
4. 使用移動(dòng)介質(zhì)時(shí)最好使用鼠標(biāo)右鍵打開使用，必要時(shí)先要進(jìn)行掃描。
5. 現(xiàn)在有很多利用系統(tǒng)漏洞傳播的病毒，所以給系統(tǒng)打全補(bǔ)丁也很關(guān)鍵。
6. 安裝專業(yè)的防毒軟件升級到最新版本，并開啟實(shí)時(shí)監(jiān)控功能。
7. 為本機(jī)管理員賬號設(shè)置較為復(fù)雜的密碼，預(yù)防病毒通過密碼猜測進(jìn)行傳播，最好是數(shù)字與字母組合的密碼。
8. 不要從不可靠的渠道下載軟件，因?yàn)檫@些軟件很可能是帶有病毒的。

返回上級

新聞中心

Trojan.Shamoon病毒分析報(bào)告