返回新闻列表

卡巴斯基实验室发布有关2012年4月发起针对性攻击的恶意程序Wiper的分析报告

        2012年4月,一系列由破坏性恶意程序导致的安全事件被广泛报道,该程序代码被命名为Wiper,攻击了西亚地区众多石油设施的计算机系统。2012年5月 ,由卡巴斯基实验室专家组成的调查团受国际电联委托,对上述事件进行了调查,并最终确定由该恶意程序带来的威胁与国际可持续性发展及安全性相关。

        目前,卡巴斯基实验室的专家们已经就此项调查中涉及从Wiper攻击的设备中获得了硬盘图像,并进行了数码鉴定和分析,最后发布调查报告。此次的分析对Wiper破坏计算机系统的高效手段进行了深入的研究,包括其删除样本和毁坏性行为证据的独特数据。尽管在对Wiper的搜寻工作中意外的发现了Flame,但Wiper的真面目并没有随之而揭开,其存在性也没有确定。同时,Wiper毁坏设备的高效手段却促进了一些抄袭者创建了其它具有破坏性的恶意程序,例如2012年8月出现的Shamoon。

综合调查结果:

  • 卡巴斯基实验室确认Wiper是发生在2012年4月21日– 30日之间西亚地区计算机系统遭到攻击的元凶。
  • 从受攻击计算机的硬盘图像上分析,Wiper具有一个可以删除样本的特别数据,有一个以~D为开头的恶意程序命名模块。这些调查结果都让人联想到Duqu和Stuxnet,同样也采用了以~D为开头的文件名,并都由同一个攻击平台创建,也就是大家所知的Tidled。
  • 卡巴斯基实验室已经开始通过卡巴斯基安全网络(KSN)搜寻其它以~D开头的文件,试图寻找Wiper的一些与Tilded平台关联的额外文件。
  • 在分析过程中,卡巴斯基实验室的专家们已证实在西亚地区有大量的文件被命名为~DEB93D.tmp。进一步的分析表明这些文件是另外一种恶意程序,Flame的一部分,这也是卡巴斯基实验室如何发现Flame的过程。
  • 尽管Flame是在搜寻Wiper的过程中被发现的,但是卡巴斯基实验室的研究团队相信Wiper与Flame是两个完全独立的恶意程序。
  • 尽管卡巴斯基实验室分析了Wiper感染的途径,但该恶意程序的情况还是未知 ,因为没有进一步的相关事件发生,在卡巴斯基实验室的主动防御进程中也没有发现相关的检测。
  • Wiper的攻击具有非凡的有效性,并且还鼓舞了一些抄袭者来创建新的恶意程序,像Shamoon就是一个由此引发出来的破坏性恶意程序。

对受攻击计算机的鉴定分析

        卡巴斯基实验室从受到攻击的设备中获得了硬盘图像并对其进行了分析,发现Wiper删除了针对性攻击系统中的硬盘数据,并毁灭了所有可以用于确认恶意程序的数据。被Wiper攻击的文件系统会阻止计算机重启,并导致一系列基本功能无法启用。因此,每一台受到Wiper攻击的设备中,无任何可以追查的信息,对任何数据进行重新恢复也无法进行。

        然而,卡巴斯基实验室的研究仍然揭开了Wiper的部分面纱,包括该恶意程序使用的特别删除样本手段,一切对程序组件的命名。另外,在一些事件中,注册表密钥可以显示从硬盘中删除的前文件名。这些注册表密钥全部指向开头为~D的文件名。

独特的样本删除

        对样本删除的分析揭开了一个Wiper在每台设备上惯用的伎俩。Wiper的运算法则是要让其能以最快的速度破坏尽可能多的文件,包括一次破坏几个G的文件。大约有三到四台受攻击设备中的数据被完全清除。攻击的过程是首先将硬盘中的大半数据破坏,紧接着系统化地删除余下的文件,因为需要部分文件来维持系统的正常运行,最后,才让整个系统完全崩溃。此外,我们发现Wiper攻击还针对PNF文件,但如果与删除额外的恶意程序组件没有关系的话,这个发现基本没有任何意义。但是这也是个有意思的发现,因为Duqu和Stuxnet将它们的主体程序加密在PNF文件中。

如何在搜寻Wiper中发现Flame的

        Duqu也使用了以~D开头的临时文件(TMP),跟Stuxnet一样,都使用了同样的攻击平台Tilded平台进行创建。根据这个线索,研究小组利用KSN来寻找Tilded平台上其它可能与Wiper相关的未知文件名称,KSN是卡巴斯基实验室的产品中利用云架构来汇报远端威胁的情况,并为用户即时发布最新保护机制,以黑名单和启发式规则的形式来检测到最新威胁的网络系统。在卡巴斯基实验室研究小组的分析过程中,发现西亚地区的几台计算机中包含了“~DEB93D.tmp”文件。这就是卡巴斯基实验室如何发现Flame的。然而,当时采用这种方法并没有发现Wiper,其存在也尚未确认。

        卡巴斯基实验室首次安全专家Alexander Gostev评论道:“根据我们对Wiper遗留在硬盘图像中的样本分析来看,毫无疑问这种恶意程序是存在的,并被使用在2012年4月发生在西亚地区的计算机系统攻击中,但也有可能从2011年12月的时候就开始了。尽管我们在搜寻Wiper的过程中发现了Flame,我们发现Wiper并不是Flame,而是另外一种独立的恶意程序。Wiper的破坏性行为与遗留在受攻击系统中的文件名称有关,而这些文件与使用过Tilded平台一个程序十分类似。Flame的模块架构与用来执行一个全面可持续性网络间谍活动规模是完全不同的。在我们对Flame的分析中,也没有证实Wiper具有任何上述的破坏性行为。”

        阅读Wiper的研究进展报告,请访问Securelist.com