最近的网络安全事件研究中,1月27日,伊朗国家广播公司(IRIB)遭到黑客攻击,导致多个国营电视频道播放反动视频。2月18日,研究人员发布报告称,这是一次笨拙而简单的雨刷式(wiper)攻击。
根据网络安全行业门户「极牛网」GEEKNB.COM的梳理,此前伊朗曾发生一系列出于政治动机的攻击事件,包括7月份针对伊朗国家交通网络的雨刷式攻击。尽管早期的多起攻击被归因于伊朗APT组织Indra,但研究人员基于攻击中使用的恶意软件和工具推断,此次针对IRIB的攻击者并非Indra组织,而是一个模仿者。
伊朗最新网络攻击的时间表如下图:
研究人员发现了截取受害者屏幕截图的恶意软件、几个定制的后门,以及用于安装和配置恶意可执行文件的相关批处理脚本和配置文件。研究人员分析了IRIB网络攻击中的工具,并将它们与Indra的工具进行了比较。尽管攻击者在针对IRIB的攻击中使用了wiper,但与Indra使用的似乎不是同一个wiper。
根据网络安全行业门户「极牛网」GEEKNB.COM的梳理,针对IRIB的攻击设法绕过安全系统和网络分段,渗透到广播公司的网络。攻击者的工具质量和复杂度相对较低,并且攻击是由笨拙且有时有bug的3行批处理脚本启动的。这可能表明攻击者可能从IRIB内部获得了帮助,或者具有不同技能的不同群体之间存在未知的合作。研究人员目前仍然不确定攻击者如何获得对IRIB网络的初始访问权限。
攻击者在攻击中利用了四个后门:WinScreeny、HttpCallbackService、HttpService 和 ServerLaunch,这是一个使用 HttpService 启动的 dropper。综合起来,不同的恶意软件使攻击者能够捕获屏幕截图、从远程服务器接收命令并执行其他恶意活动。
WinScreeny是一个后门程序,主要目的是捕获受害者计算机的屏幕截图。HttpCallbackService是一种远程管理工具(RAT),它每五秒与命令和控制(C2)服务器通信以接收要执行的命令。HttpService是一个后门,它监听指定的端口,可以执行命令、操作本地文件、下载或上传文件或执行其他恶意活动。ServerLaunch释放器可以同时启动httpservice2和httpservice4,可能允许攻击者确保C2通信。
入侵还为安装擦除器铺平了道路,擦除器的主要目的是破坏存储在计算机中的文件,更不用说擦除主引导记录 ( MBR )、清除 Windows 事件日志、删除备份、终止进程和更改用户的密码。
在分析攻击中使用的wiper时,研究人员发现了两个相同的.NET样本,名为msdskint.exe,其主要目的是擦除计算机文件、驱动器和MBR,还具有清除Windows事件日志、删除备份、终止进程和更改用户密码等功能。
极牛网精选文章《伊朗国家广播公司遭重大网络攻击,导致电视台播放反动视频》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/18231.html