Иногда они возвращаются!

(Ди Карло Мазели)
25/02/19

После двухлетнего отсутствия разрушительное вредоносное ПО Shamoon (W32, Distortack B) вновь появился декабрьский 10 в новой волне атак на цели на Ближнем Востоке. Эти последние атаки Shamoon были вдвойне разрушительными, так как они включали в себя новый «wiper» (троянец. Filerase) который отвечает за удаление файлов с зараженных компьютеров перед заражением Shamoon изменить основную загрузочную запись.

Новости об атаках впервые появились 10 декабря, когда несколько нефтегазовых компаний заявили, что они подверглись кибератаке на их инфраструктуру на Ближнем Востоке.
В отличие от предыдущих атак ShamoonЭти последние атаки включают в себя новое, второстепенное вредоносное ПО (Trojan. Filerase). Эта вредоносная программа, как уже упоминалось, удаляет и перезаписывает файлы на зараженном компьютере. А пока Shamoon удалите основную загрузочную запись компьютера, сделав ее непригодной для использования.

Дополнение стеклоочистителя Filerase делает эти атаки более разрушительными, чем использование только вредоносных программ Shamoon, Пока компьютер заражен Shamoon это может быть невозможно, файлы на вашем жестком диске могут быть восстановлены. Однако, если файлы сначала удаляются вредоносной программой Filerase, восстановление становится невозможным.

Filerase он распространяется через сеть жертвы с исходного компьютера с использованием списка удаленных компьютеров. Этот список представлен в виде текстового файла и уникален для каждой жертвы, что означает, что злоумышленники могут собирать эту информацию на этапе разведки до вторжения. Этот список сначала копируется из компонента с именем OCLC.exe, а затем передается другому инструменту под названием spreader.exe.
Никогда не следует забывать, что метод атаки следует, однако, всегда классической цепочке атак.

История:
Shamoon (W32.Disttrack) впервые появился в 2012 году, когда он использовался в серии подрывных атак на энергетический сектор Саудовской Аравии.

Microsoft Threat Intelligence выявила существенные сходства между этой недавней атакой и атакой в ​​отдаленном 2012, которая затронула десятки тысяч машин компаний энергетического сектора.

За этими атаками Microsoft Threat Intelligence определил группу, известную как TERBIUM, имя, присвоенное самой Microsoft в соответствии с критерием, в котором используемая терминология относится к названиям химических элементов.

Microsoft Threat Intelligence обнаружила, что вредоносное ПО, используемое TERBIUM под названием «Depriz», повторно использует различные компоненты и методы, уже обнаруженные в атаках 2012, и было тщательно настроено для каждой организации.
В любом случае компоненты вредоносного ПО являются 3 и были расшифрованы следующим образом:

PKCS12 - компонент деструктивного дискового стеклоочистителя
PKCS7 - коммуникационный модуль
X509 - 64-бит-вариант трояна / имплантата

Поскольку учетные данные были включены в вредоносную программу, конечно, есть подозрение, что сами учетные данные были украдены ранее.

Как только TERBIUM получает доступ к организации, цепочка заражения начинается с записи исполняемого файла на диске, который содержит все компоненты, необходимые для выполнения операции удаления данных. Эти компоненты кодируются в исполняемые файлы в виде ложных изображений.

Даже если масштабы ущерба, причиненного этой атакой, во всем мире до сих пор неизвестны, как и во многих других случаях, можно снизить риск атаки, используя системы, процессы и решения, использующие новые технологии и гарантирующие повышение уровня безопасность и знать в режиме реального времени, что происходит в системах.
Поэтому необходимо определить стратегию безопасности, которая охватывает каждую из областей атаки Kill Chain Attack, и, прежде всего, не думать о защите себя системами, в которых не используются решения для анализа угроз, основанные на искусственном интеллекте и машинном обучении. В сильно изменившемся сценарии, в котором злоумышленники используют новые и передовые технологии, больше невозможно защитить себя, используя системы с аналогичной мощностью.

Поскольку атаки проводились на архитектурах на основе Microsoft, я чувствую себя обязанным предоставить решения, которые Microsoft предлагает в этих случаях. Очевидно, что каждый может использовать аналогичные решения других производителей. Однако важно всегда помнить

  • защитить идентичность, включив как минимум многофакторную аутентификацию;
  • защищать услуги аутентификации с использованием систем поведенческого анализа;
  • защищать конечные точки с помощью систем, способных контролировать боковое перемещение, повышение привилегий, попытки кражи личных данных и кражи билетов;
  • обновить операционные системы до последней версии модели Enterprise, включив все функции безопасности;
  • защитить почту с помощью антифишинговых решений, основанных на концепции песочницы;
  • там, где есть гибридные архитектуры, используйте системы CASB (Cloud Access Broker).

По-прежнему ясно, что решений и продуктов недостаточно, но они также служат и, прежде всего, обучением, чувствительностью к теме, которая, к сожалению, присутствует в повседневной жизни, и готовностью изменить подход к проблеме, наиболее подходящий для сценария. тока.