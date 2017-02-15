由 IBM X-Force 事件响应与情报服务 (IRIS) 团队撰写。
IBM X-Force 事件响应与情报服务 (IRIS) 团队的研究人员，在近期针对海湾国家组织的 Shamoon 恶意软件攻击活动中，识别出了威胁参与者操作中一个缺失的环节。这些攻击发生在 2016 年 11 月和 2017 年 1 月，据报道影响了沙特阿拉伯及海湾国家其他地区多个政府和民间组织的数千台计算机。Shamoon 旨在通过不可恢复地擦除主引导记录 (MBR) 和数据来破坏计算机硬盘，这与勒索软件不同，后者是以数据为质索要赎金。
通过近期调查，我们的取证分析师精准定位了导致破坏性 Shamoon 恶意软件在目标基础设施上部署的初始入侵向量和入侵后操作。值得一提的是，根据 X-Force IRIS 的分析，初始入侵发生在实际启动和激活 Shamoon 的数周之前。
由于 Shamoon 事件具有针对性攻击的渗透与升级阶段特征，X-Force IRIS 响应人员努力寻找攻击者的入口点。他们的发现指向了攻击者使用的、似乎是初始入侵点的载体：一个包含恶意宏的文档。该文档在获准执行后，会通过 PowerShell 建立与攻击者服务器的 C2 通信和远程 Shell。
该文档并非近期攻击波次中发现的唯一一例。X-Force IRIS 研究人员此前一直在追踪与类似恶意、包含 PowerShell 代码的文档相关的早期活动，这些文档以简历和人力资源文件为主题，其中部分涉及沙特阿拉伯的组织。这项研究识别出了过去几个月发生的数轮攻击活动，揭示了相似的操作方法：攻击者通过网络服务器向目标投递恶意文档和其他恶意软件可执行文件，以在目标网络中建立初始立足点。
尽管 Shamoon 恶意软件在之前的研究博客中已有过记载，但在已报告的案例中，导致攻击的具体网络入侵方法仍不明确。X-Force IRIS 研究人员研究了 Shamoon 的攻击生命周期，并观察了其在沙特组织和私营企业中的攻击手法。这项研究使他们相信，在最近的攻击中使用 Shamoon 的攻击者，严重依赖于构建的武器化文档，这些文档利用 PowerShell 来建立其初始的网络立足点并执行后续操作：
图 1：Shamoon 攻击——事件逻辑流程
X-Force IRIS 识别出以下恶意文档：
我们的研究人员检查了托管首个恶意文件的域名 mol.com-ho[.]me。根据该域名的 WHOIS 记录，一位匿名的注册人于 2016 年 10 月注册了 com-ho[.]me，并利用它来提供具有类似 宏激活功能的恶意文档。上述文档列表包括：
这些文件很可能是通过网络钓鱼邮件投递，诱使员工在不知情的情况下启动恶意载荷。
对文件名的进一步审查发现了“IT Worx”和“MCI”。搜索 IT Worx 这个名字，会找到一家总部位于埃及的全球软件专业服务组织。MCI 是沙特阿拉伯的商业与投资部。这些名称很可能被用在网络钓鱼邮件中，因为它们对沙特当地的员工显得无害，从而诱使他们打开附件。
X-Force IRIS 研究人员进一步发现，这些恶意文档背后的威胁参与者使用了一种 URL 缩短方案来投递许多文档，其模式如下：briefl[.]ink/{a-z0-9}[5]。
下图直观展示了员工在打开为准备 Shamoon 攻击而发送给他们的恶意 Word 文件时可能遇到的情况：
图 2：为准备 Shamoon 恶意软件攻击而投递的恶意 Word 文档（来源：X-Force IRIS）
对与 Shamoon 攻击相关的通信域进行被动 DNS 分析，揭示了相关的网络基础设施，识别出威胁参与者使用的其他域名。
X-Force IRIS 发现，威胁参与者至少在 ntg-sa[.]com 上托管的服务器上存放了一个恶意可执行文件。此文件诱骗目标，使其相信这是一个 Flash 播放器安装程序，但实际会释放一个 Windows 批处理文件，以调用 PowerShell 连接到同一个 C2 服务器。
对威胁参与者的一份文档进行分析发现，如果宏执行，它会启动两个独立的 PowerShell 脚本。第一个脚本执行一个从 hxxp://139.59.46.154:3485/eiloShaegae1 提供的 PowerShell 脚本。该主机可能与投递 Pupy RAT（一个公开可用的跨平台远程访问工具）的攻击有关。
第二个脚本调用 VirtualAlloc 创建一个缓冲区，使用 memset 将与 Metasploit 相关的 shellcode 加载到该缓冲区中，并通过 CreateThread 执行它。Metasploit 是一个开源框架，作为针对远程目标机器开发和执行漏洞利用代码的工具而广受欢迎。该 shellcode 在距其起始位置一定偏移处对 4 个字节进行 DWORD 异或操作，修改代码以创建一个循环，从而使异或操作持续 0x57 次。
如果此执行成功，它将使用 VirtualAlloc 创建一个缓冲区，并循环调用 InternetReadFile，直到从 hxxp://45.76.128.165:4443/0w0O6 检索到全部文件内容。然后，这些内容作为字符串返回到 PowerShell，并由 PowerShell 对其调用 invoke-expression (iex)，这表明预期的有效载荷是 PowerShell 脚本。
值得注意的是，该宏包含一个 DownloadFile() 函数，该函数会使用 URLDownloadToFileA，但此函数实际上从未被调用。
基于对恶意文档的关联观察，我们发现了后续的 Shell 会话，这些会话很可能与 Metasploit 的 Meterpreter 相关，并促成了在部署三个与 Shamoon 相关的文件（ntertmgr32.exe、ntertmgr64.exe 和 vdsk911.sys）之前，部署额外的工具和恶意软件。
尽管 Shamoon 的完整受害者名单并未公开，但据彭博社报道，其中一个案例中，沙特民航总局总部的数千台计算机被破坏，关键数据被擦除，业务运营因此停滞数日。
X-Force IRIS 观察到的近期 Shamoon 攻击者活动，迄今为止已检测到两波，但自 2016 年底以来这些案件引发的公众关注，很可能会使活动逐渐平息。
沙特阿拉伯向当地组织发布了有关Shamoon恶意软件的警告，警告了潜在的攻击，并建议各组织做好准备。对 Shamoon 的分析和警告正促使目标方加强准备，而攻击者很可能暂时隐匿并改变战术，直到下一波攻击来临。
有关此项研究的技术细节和相关入侵指标，请参阅 X-Force Exchange 上的 X-Force 安全通告。