可怕的Shamoon惡意程序，即Disttrack，最近重現江湖。政府機構和威脅情報公司正在調查最近一系列與其相關的攻擊事件。那么，Shamoon又引起了哪些血雨腥風，詳情請看孫毛毛同學的報道。

[[184034]]

背景

Shamoon首秀發生在2012年8月15日，當時沙特阿拉伯石油公司Saudi Aramco對外宣布，其系統和內部網絡遭遇了網絡攻擊。根據該公司提供的信息，Shamoon感染了3萬多個工作站。

2016年12月，安全專家觀察到新一波利用Shamoon惡意程序發起的網絡攻擊。Palo Alto Networks和Symantec的安全專家都報道了針對某個沙特阿拉伯企業的網絡攻擊。Shamoon的新變種，也就是所謂的Shamoon 2，會用3歲敘利亞小男孩陳尸土耳其海岸的照片改寫感染設備上的MBR。

據Symantec的報道，Shamoon為何突然卷土重來，目前尚未可知。但是，因為Shamoon的payload破壞性極強，攻擊者很明顯是要讓其目標警醒起來。

今年1月，Palo Alto Networks的研究人員發現了新的Shamoon 2惡意程序，針對的是一些可視化產品。IBM X-Force事件響應和情報服務(IRIS)的研究人員認為，Shamoon惡意程序是沙特阿拉伯和伊朗兩國間信息戰爭的重要元素。研究人員已發現用來傳輸Shamoon的服務器，并已攻入攻擊者使用的服務器，收集了更多信息，以研究Shamoon帶來的威脅及其攻擊鏈。

據IBM的報告，專家認為，最近攻擊事件中使用Shamoon的攻擊者高度依賴武器化文件，攻擊者構建這些文件以利用PowerShell建立最初的據點，并發起后續的行動。

攻擊過程

1. 攻擊者向目標企業的員工發送釣魚郵件。郵件中包含一個Office文檔的附件。
2. 打開附件，觸發PowerShell腳本，運行命令行，訪問感染設備。
3. 攻擊者與感染設備通信，并遠程在感染設備上執行命令。
4. 攻擊者利用其訪問權限，部署其他工具和惡意程序至其他端點，或在網絡中提升權限。
5. 攻擊者連接其他系統，定位關鍵服務器，來研究該網絡。
6. 攻擊者部署Shamoon惡意程序。
7. Shamoon開始爆發，企業中所有感染設備上的硬盤數據都會被徹底刪除。

攻擊者一般通過冒充可信人員，比如沙特阿拉伯商務投資部或埃及軟件公司IT Worx，向目標對象發起魚叉式釣魚攻擊。通過郵件發過來的Word文檔一般標記為簡歷、醫保材料或者密碼策略指南等受害者可能感興趣的內容。文件中包含一個惡意宏，這個惡意宏就是攻擊的開端。當受害者運行宏時，它會啟動兩個Powershell腳本。

第一個腳本通過HTTP從139.59.46.154:3485/eiloShaegae1上下載并執行令一個Powershell腳本。第二個腳本使用VirtualAlloc庫調用，建立內存緩沖，并通過HTTP從45.76.128.165:4443/0w0O6上獲取shell代碼，拷貝至該緩沖區，并用CreateThread執行代碼。這個線程會建立另一個緩沖區，然后把從45.76.128.165:4443/0w0O6上獲取的一個PowerShell腳本放到這個緩沖區，并運行該腳本。

根據我們對此惡意文檔的觀察，我們發現后續shell會話可能與Metasploit的Meterpreter有關，部署了其他的工具和惡意程序后，再部署了三個與Shamoon有關的文件：ntertmgr32.exe、ntertmgr64.exe和vdsk911.sys。研究人員發現了用來放置這些惡意可執行文件并發起攻擊的兩個web域：

Ntg-sa[.]com，偽裝為沙特阿拉伯石化公司Namer Trading Group合法域ntg.sa.com。

maps-modon[.]club，假冒maps.modon.gov.sa，這個網站與沙特阿拉伯工業產權機構有關。

系統管理員可根據上述信息，檢查與上述域有關的連接，并加以阻止。研究人員還發現，攻擊者利用感染設備，來偵察并收集網絡中的信息，并盜取敏感數據。這個階段完成后，攻擊者將部署Shamoon payload。沙特阿拉伯已提醒當地企業，注意防范Shamoon惡意程序。專家認為，攻擊者將臨時隱身、改變戰略，并繼續其行動。

報告全文：

IBM：
https://securityintelligence.com/the-full-shamoon-how-the-devastating-malware-was-inserted-into-networks/

Symantec：
https://www.symantec.com/connect/blogs/shamoon-back-dead-and-destructive-ever