在今年的7月9日,伊朗的火车系统遭到黑客入侵,黑客变更了火车站的信息显示系统,向大众宣布火车因网络攻击而误点了,同时要求乘客打电话去投诉,但屏幕上显示的投诉电话是伊朗最高领袖阿里·哈米尼(Ayatollah Ali Khamenei)的办公室。美国安全企业SentinelLabs着手分析该攻击事件之后,发现黑客使用了前所未见的资料抹除程序Meteor。
image: Iran International English
SentinelLabs表示,这起新闻最初并没有引起太多的关注,因为伊朗政府把过错推给网络攻击,之后再澄清的事件并不罕见,不过他们还是调查了一下,才发现一个陌生的攻击手法与新的Meteor资料抹除程序,于是把该攻击命名为MeteorExpress。
与勒索软件攻击不同,资料抹除程序并非为了获利,而是删除计算机上的文件以让它无法启动,其目的通常是为了造成混乱。
分析显示,黑客先解压缩一个由密码保护的RAR文件,再将相关文件添加到伊朗铁路网络可访问的网络共享中,之后配置Windows群组原则以执行一个setup批次文件,将这些文件复制到设备上并执行。
该批次档会先检查设备上是否安装了卡巴斯基杀毒软件,没有才会继续执行,之后将设备与网络断开,于Windows Defender中排除恶意程序,把各种恶意程序的执行文件与批次档汲取至系统上,清除Windows的事件记录文件,删除AnalyzeAll任务,再将文件系统缓存刷新到磁盘上,最后才执行资料抹除程序Meteor、可锁住设备的MBR locker程序,并锁住屏幕。
当程序完成之后,受害设备就无法再启动了。
图片来源_SentinelLabs
研究人员指出,整体工具包非常的零散,例如批次文件衍生其它批次文件,不同的RAR文件混杂着执行文件,且就算是预期的操作也被拆分着3个酬载。不过,Meteor拥有完整功能,在此次的攻击中仅用到少数的功能,它还具备可变更所有用户密码、关闭恢复模式、创建工作调度,或者是创建程序与执行命令等能力。
SentinelLabs认为,主导MeteorExpress的黑客是一个中级玩家,不同组件的品质参差不齐,且团队内的分工可能不是很协调,很可能只是一个不择手段的佣兵团队,攻击目的只是为了瘫痪受害者的系统,而且让管理者无法轻易恢复。