血雨腥风未止，IBM公布Shamoon恶意程序攻击链细节

可怕的Shamoon恶意程序，即Disttrack，最近重现江湖。政府机构和威胁情报公司正在调查最近一系列与其相关的攻击事件。那么，Shamoon又引起了哪些血雨腥风，详情请看孙毛毛同学的报道。

[[184034]]

背景

Shamoon首秀发生在2012年8月15日，当时沙特阿拉伯石油公司Saudi Aramco对外宣布，其系统和内部网络遭遇了网络攻击。根据该公司提供的信息，Shamoon感染了3万多个工作站。

2016年12月，安全专家观察到新一波利用Shamoon恶意程序发起的网络攻击。Palo Alto Networks和Symantec的安全专家都报道了针对某个沙特阿拉伯企业的网络攻击。Shamoon的新变种，也就是所谓的Shamoon 2，会用3岁叙利亚小男孩陈尸土耳其海岸的照片改写感染设备上的MBR。

据Symantec的报道，Shamoon为何突然卷土重来，目前尚未可知。但是，因为Shamoon的payload破坏性极强，攻击者很明显是要让其目标警醒起来。

今年1月，Palo Alto Networks的研究人员发现了新的Shamoon 2恶意程序，针对的是一些可视化产品。IBM X-Force事件响应和情报服务(IRIS)的研究人员认为，Shamoon恶意程序是沙特阿拉伯和伊朗两国间信息战争的重要元素。研究人员已发现用来传输Shamoon的服务器，并已攻入攻击者使用的服务器，收集了更多信息，以研究Shamoon带来的威胁及其攻击链。

据IBM的报告，专家认为，最近攻击事件中使用Shamoon的攻击者高度依赖武器化文件，攻击者构建这些文件以利用PowerShell建立最初的据点，并发起后续的行动。

攻击过程

1. 攻击者向目标企业的员工发送钓鱼邮件。邮件中包含一个Office文档的附件。
2. 打开附件，触发PowerShell脚本，运行命令行，访问感染设备。
3. 攻击者与感染设备通信，并远程在感染设备上执行命令。
4. 攻击者利用其访问权限，部署其他工具和恶意程序至其他端点，或在网络中提升权限。
5. 攻击者连接其他系统，定位关键服务器，来研究该网络。
6. 攻击者部署Shamoon恶意程序。
7. Shamoon开始爆发，企业中所有感染设备上的硬盘数据都会被彻底删除。

攻击者一般通过冒充可信人员，比如沙特阿拉伯商务投资部或埃及软件公司IT Worx，向目标对象发起鱼叉式钓鱼攻击。通过邮件发过来的Word文档一般标记为简历、医保材料或者密码策略指南等受害者可能感兴趣的内容。文件中包含一个恶意宏，这个恶意宏就是攻击的开端。当受害者运行宏时，它会启动两个Powershell脚本。

第一个脚本通过HTTP从139.59.46.154:3485/eiloShaegae1上下载并执行令一个Powershell脚本。第二个脚本使用VirtualAlloc库调用，建立内存缓冲，并通过HTTP从45.76.128.165:4443/0w0O6上获取shell代码，拷贝至该缓冲区，并用CreateThread执行代码。这个线程会建立另一个缓冲区，然后把从45.76.128.165:4443/0w0O6上获取的一个PowerShell脚本放到这个缓冲区，并运行该脚本。

根据我们对此恶意文档的观察，我们发现后续shell会话可能与Metasploit的Meterpreter有关，部署了其他的工具和恶意程序后，再部署了三个与Shamoon有关的文件：ntertmgr32.exe、ntertmgr64.exe和vdsk911.sys。研究人员发现了用来放置这些恶意可执行文件并发起攻击的两个web域：

Ntg-sa[.]com，伪装为沙特阿拉伯石化公司Namer Trading Group合法域ntg.sa.com。

maps-modon[.]club，假冒maps.modon.gov.sa，这个网站与沙特阿拉伯工业产权机构有关。

系统管理员可根据上述信息，检查与上述域有关的连接，并加以阻止。研究人员还发现，攻击者利用感染设备，来侦察并收集网络中的信息，并盗取敏感数据。这个阶段完成后，攻击者将部署Shamoon payload。沙特阿拉伯已提醒当地企业，注意防范Shamoon恶意程序。专家认为，攻击者将临时隐身、改变战略，并继续其行动。

报告全文：

IBM：
https://securityintelligence.com/the-full-shamoon-how-the-devastating-malware-was-inserted-into-networks/

Symantec：
https://www.symantec.com/connect/blogs/shamoon-back-dead-and-destructive-ever