7月9日,当地媒体开始报道伊朗列车系统遭受网络攻击事件。黑客在火车站显示屏上涂鸦,要求乘客拨打伊朗最高领袖哈梅内伊办公室的电话号码为“64411”。在火车服务中断一天后,黑客就关闭了伊朗交通部的网站。据路透社报道,在针对道路和城市发展部计算机的网络攻击之后,该部门的门户网站及其子门户网站均已关闭。SentinelOne首席威胁分析师JuanAndresGuerrero-Saade在他的调查中指出,这次攻击的幕后黑手称其为前所未见的擦除器Meteor,并在过去三年中开发了它。Guerrero-Saade指出:“目前,我们无法将此活动与之前确定的威胁组织或其他攻击联系起来,”并补充说,多亏了安全研究员AntonCherepanov和一家伊朗反病毒公司,他们才能够重建这次攻击。攻击。“尽管缺乏具体的妥协指标,但我们能够恢复帖子中描述的大部分攻击组件,以及他们遗漏的其他组件。在这个关于火车停靠和油嘴滑舌的互联网巨魔的离奇故事背后,我们发现了一个奇怪的攻击袭击者的指纹。”Guerrero-Saade表示,Padvish安全研究人员的早期分析是SentinelOne重建的关键,而“恢复的攻击者伪造文件包括更长的组件名称列表。”Guerrero-Saade解释说:“攻击者滥用GroupPolice为他们的攻击分发cab文件。整个工具包由批处理文件组装而成,这些批处理文件协调从RAR存档中删除的不同组件。””压缩文件使用攻击者提供的Rar.exe解压,密码为‘hackemall’。攻击组件按功能划分:Meteor基于加密配置对文件系统进行加密,nti.exe破坏MBR,mssetup。exe锁定系统。”SentinelOne发现,大多数攻击都是通过一组嵌套在各自组件旁边并按顺序执行的批处理文件进行的。这批通过伊朗铁路网共享的CAB文件复制了原始组件。在那里,批处理文件使用它自己的WinRAR副本从三个额外的档案中提取额外的组件,这里使用口袋妖怪主题的密码“hackemall”,在攻击期间其他地方也引用了这个密码。“此时,执行开始拆分成其他脚本。第一个是‘cache.bat’,它专注于使用Powershell清除块并为后续元素做准备,”Guerrero-Saade说。“'cache.bat'执行三个主要功能。首先,它会断开受感染设备与网络的连接。然后,它会检查机器上是否安装了卡巴斯基反病毒软件,如果安装成功,它就会退出。最后,'cache.bat'将被它的所有组件都创建了WindowsDefender,以排除并有效地为成功感染扫清道路。”报告解释说,这个特定的脚本对重建攻击链具有指导意义,因为它包含一个攻击组件列表,允许研究人员搜索特定的东西。部署两个批处理文件后,机器进入无法启动状态并清除事件日志。在一系列其他操作之后,update.bat将调用“msrun.bat”,它将“Meteorwiper可执行文件作为参数”。Guerrero-Saade指出,另一个批处理文件msrun.bat在屏幕锁和Meteorwiper的加密配置。一个名为“mstask”的脚本创建了一个计划任务,然后将其设置为在午夜前5分钟执行Meteor擦除器。“整个工具包中存在一种奇怪的碎片化程度。批处理文件生成其他批处理文件,不同的rar存档包含混乱的可执行文件,甚至预期的操作也分为三个有效负载:Meteor清理文件系统、MSInstall。exe锁定用户,nti.exe可以破坏MBR,”Guerrero-Saade写道。“这个复杂攻击链的主要有效载荷是放置在'env.exe'或'msapp.exe'下的可执行文件。在内部,程序员称它为“流星”。虽然Meteor的这个例子遭受严重的OPSEC失败,但它是一个外部可配置的擦除器,具有广泛的功能。据介绍,Meteorwiper只提供一个参数,一个加密的JSON配置文件“msconf.conf”。当Meteorwiper删除该文件时,它会从加密配置中删除卷影副本,并将一台机器带出域,从而使修复变得复杂。据介绍,这些只是Meteor能力的冰山一角。虽然在袭击伊朗火车站期间没有使用,但擦除器可以更改所有用户的密码、禁用屏幕保护程序、根据目标进程列表杀死进程、安装屏幕锁、禁用恢复模式、更改启动策略错误处理、创建预定任务、注销本地会话、删除卷影副本、更改锁屏图像和执行要求。Guerrero-Saade指出,雨刷的开发人员为雨刷创造了多种方法来完成这些任务。”然而,运营商显然在编译带有大量调试字符串的二进制文件以供内部测试时犯了一个重大错误。后者表明,尽管开发人员拥有先进的实践,但他们缺乏强大的部署管道来确保不会发生此类错误。另请注意,此示例是在部署前6个月编译的,未发现任何错误。其次,此代码是封装开源组件(cppt.httplibv0.2)和几乎被滥用的软件(FSProLabs的LockMyPC4)的自定义代码的奇怪组合。这与外部可配置设计并列,允许有效地重用不同的操作。当SentinelOne研究人员深入挖掘Meteor时,他们发现冗余证明擦除器是由多个开发人员添加不同组件创建的。该报告还表示,雨刮器的外部可配置性质表明它不是为这种特定操作而设计的。他们在其他地方没有看到流星雨刮器的任何其他攻击或变种。研究人员无法将攻击归因于特定的威胁参与者,但他们注意到攻击者是一名中级玩家。Guerrero-Saade继续说道,SentinelOne“还无法在迷雾中辨别出这个对手的形态”,并推断它是一个不择手段的雇佣军团体或国家支持的具有各种动机的演员。虽然他们无法确定攻击的原因,但他们指出,攻击者似乎熟悉伊朗铁路系统的一般设置和目标使用的Veeam备份,这意味着威胁者一直在系统在发起攻击前一段时间。据路透社报道,伊朗官员没有证实袭击发生时是否有人参与。赎金要求也没有证实他们认为谁是袭击的幕后黑手。
