今天还不是愚人节,所以请认真看此文章

综述

2016年11月,网上一系列与2012年Shamoon攻击活动类似的破坏性攻击行为被发现,随后便有文章表示一种新型的Disttrack

恶意样本被发现用于一种全新的攻击活动。该攻击活动的目标包括在特定时间清空一个沙乌地阿拉伯的机构的系统,此机构与早在2012年出现的Shamoon的攻击目标一致。这一最新攻击被称为Shamoon2,有可能严重危害到虚拟桌面界面快照策略,此为对抗清除器(Wiper)的重要防护手段。攻击者可以利用之前Shamoon攻击中获得的信息来进入到组织内部的计算机内,随后通过内部域名与受感染PC的IP所在子网,继续感染其他远程主机,最后清空受感染的系统。由于该攻击的最终目的为清空受感染系统的数据,因此对受感染的用户危害极大。

相关连结:

传播与感染

样本可利用盗取的受攻击组织的证书进入到组织内部的计算机内。一台PC感染后,可通过内部域名和受感染PC的IP所在子网,继续感染其他远程主机。

样本分析

分析环境

文件结构

文件列表如下表所示:

检测与防护方法

用户自我检测与防护

查看以下文件是否存在:

C:\Windows\system32

tssrvr64.exe

C:\Windows\System32

tssrvr32.exe

C:\Windows\System32\Drivers\drdisk.sys

C:\Windows\System32

etinit.exe

C:\Windows\inf

etimm173.pnf;

C:\Windows\inf\usbvideo324.pnf

查看是否包含以下服务:

NtsSrv

註册表中的项为HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\NtsSrv

发送的http请求,形如:

?shinu=;

使用TCP协议连接CCServer:1.1.1.1:8080

删除上述的文件,服务以及註册表项即可清除该恶意软体。

绿盟科技木马专杀解决方案

(1)短期服务:绿盟科技工程师现场木马后门清理服务(人工服务+IPS+TAC+终端防护(金山V8+))。确保第一时间消除网络内相关风险点,控制事件影响范围,提供事件分析报告。

(2)中期服务:提供3-6个月的风险监控与巡检服务(IPS+TAC+人工服务)。长期对此恶意样本进行检测,保护客户系统安全。

(3)长期服务:基于行业业务风险解决方案(威胁情报+攻击溯源+专业安全服务)

总结

此样本是针对特定物理位置的复合样本,且覆盖的平台包含windows的32位和64位作业系统;当特定组织的区域网用户中有一台机器感染了此样本,则样本通过窃取到的证书信息能够快速在区域网范围内传播,同时样本的恶意功能是清除数据,因此一旦受到感染,将具有非常大的影响。

附录

MicrosoftLocaleIDValues:(WinEmbedded.10).aspx

其他参考连结:

完整内容请点击「阅读原文」

请点击屏幕右上方「…」

关注绿盟科技公众号

NSFOCUS-weixin

↑↑↑长按二维码,下载绿盟云APP