情境示意圖,Photo by Alex Heuvink on unsplash

在今年的7月9日,伊朗的火車系統遭到駭客入侵,駭客變更了火車站的資訊顯示系統,向大眾宣布火車因網路攻擊而誤點了,同時要求乘客打電話去投訴,但螢幕上顯示的投訴電話是伊朗最高領袖阿里·哈米尼(Ayatollah Ali Khamenei)的辦公室。美國資安業者SentinelOne著手分析此一攻擊事件之後,發現駭客使用了前所未見的資料抹除程式Meteor。

image: Iran International English

SentinelOne表示,這起新聞最初並沒有引起太多的關注,因為伊朗政府把過錯推給網路攻擊,之後再澄清的事件並不罕見,不過他們還是調查了一下,才發現一個陌生的攻擊手法與新的Meteor資料抹除程式,於是把此一攻擊命名為MeteorExpress。

與勒索軟體攻擊不同,資料抹除程式並非為了獲利,而是刪除電腦上的檔案以讓它無法啟動,其目的通常是為了造成混亂。

分析顯示,駭客先解壓縮一個由密碼保護的RAR檔案,再將相關檔案新增到伊朗鐵路網路可存取的網路共享中,繼之配置Windows群組原則以執行一個setup批次檔案,將這些檔案複製到裝置上並執行。

此一批次檔會先檢查裝置上是否安裝了卡巴斯基防毒軟體,沒有才會繼續執行,繼之將裝置與網路斷開,於Windows Defender中排除惡意程式,把各種惡意程式的執行檔與批次檔汲取至系統上,清除Windows的事件紀錄檔,刪除AnalyzeAll任務,再將檔案系統快取刷新到磁碟上,最後才執行資料抹除程式Meteor、可鎖住裝置的MBR locker程式,並鎖住螢幕。

當程序完成之後,受害裝置就無法再啟動了。

圖片來源_SentinelOne

研究人員指出,整體工具包非常的零散,例如批次檔案衍生其它批次檔案,不同的RAR檔案混雜著執行檔,且就算是預期的操作也被拆分著3個酬載。不過,Meteor擁有完整功能,在此次的攻擊中僅用到少數的功能,它還具備可變更所有用戶密碼、關閉恢復模式、建立工作排程,或者是建立程序與執行命令等能力。

SentinelOne認為,主導MeteorExpress的駭客是一個中級玩家,不同元件的品質參差不齊,且團隊內的分工可能不是很協調,很可能只是一個不擇手段的傭兵團隊,攻擊目的只是為了癱瘓受害者的系統,而且讓管理者無法輕易復原。

熱門新聞

Advertisement