SentinelOne的安全研究人員偶然發(fā)現(xiàn)了一種迄今未知的數(shù)據(jù)清除惡意軟件，它可能是本月早些時(shí)候針對(duì)伊朗鐵路系統(tǒng)的破壞性網(wǎng)絡(luò)攻擊的一部分。SentinelLabs的研究人員能夠重建攻擊鏈的大部分，其中包括一個(gè)有趣的從未見過(guò)的擦除器軟件。OPSEC的錯(cuò)誤讓研究人員知道，攻擊者稱這個(gè)雨刷為“流星”，這促使研究者將該攻擊活動(dòng)命名為MeteorExpress。目前，還無(wú)法將此次活動(dòng)與先前確認(rèn)的威脅組織聯(lián)系起來(lái)，也無(wú)法將其與其他襲擊聯(lián)系起來(lái)。然而，初步分析表明，這個(gè)擦除器是在過(guò)去三年開發(fā)的，是為重用而設(shè)計(jì)的。為了鼓勵(lì)進(jìn)一步發(fā)現(xiàn)這一新的威脅行為者，研究人員共享了攻擊指標(biāo)，鼓勵(lì)其他安全研究人員共同探尋真相。

7月9日，不明原因的網(wǎng)絡(luò)攻擊導(dǎo)致伊朗火車系統(tǒng)癱瘓。攻擊者嘲笑伊朗政府，因?yàn)楸缓诳腿肭值娘@示器指示乘客將投訴指向伊朗最高領(lǐng)袖哈梅內(nèi)伊辦公室的電話號(hào)碼。

　　惡意軟件攻擊導(dǎo)致伊朗鐵路系統(tǒng)癱瘓的神秘事件曝光之后，SentinelOne威脅追蹤者重建了攻擊鏈，發(fā)現(xiàn)了一個(gè)破壞性擦除器組件，可以用來(lái)從受感染的系統(tǒng)中刪除數(shù)據(jù)。

　　擦除器被認(rèn)為是所有惡意軟件中最具破壞性的一種，在中東地區(qū)的攻擊中發(fā)現(xiàn)最多，2012年針對(duì)沙特阿美（Saudi Aramco）石油公司的Shamoon攻擊就是最突出的例子。

　　在一份研究報(bào)告中，SentinelOne威脅研究機(jī)構(gòu)的胡安·安德烈斯·格雷羅-薩德（Juan Andres Guerrero-Saade）表示，這款之前從未見過(guò)的擦除器惡意軟件是在過(guò)去三年開發(fā)出來(lái)的，似乎是為了在多個(gè)行動(dòng)中重復(fù)使用而設(shè)計(jì)的。

　　根據(jù)惡意軟件文件中發(fā)現(xiàn)的構(gòu)件，SentinelOne使用MeteorExpress的代號(hào)來(lái)標(biāo)識(shí)該擦除器惡意軟件。

　　格雷羅-薩德說(shuō)：“（這有）一個(gè)陌生攻擊者的指紋?！彼赋?，他的團(tuán)隊(duì)無(wú)法捕獲與惡意軟件擦除器組件相關(guān)的所有文件。

　　“雖然我們能夠?yàn)椴脸鞴艋謴?fù)數(shù)量驚人的文件，但有些文件還是逃過(guò)了我們的追蹤。MBR（主引導(dǎo)記錄）破壞程序‘ nti.exe ’是這些缺失的組件中最引人注目的，”格雷羅解釋說(shuō)。

　　他說(shuō)，整個(gè)工具包是幾個(gè)批處理文件的組合，從RAR壓縮文檔中刪除了不同的組件。擦除器組件按照功能進(jìn)行分工：Meteor基于加密配置對(duì)文件系統(tǒng)進(jìn)行加密，nti.exe破壞MBR， mssetup.exe鎖定系統(tǒng)。

　　Guerrero-Saade還指出，整個(gè)工具包存在“奇怪的分裂程度”。他指出，批處理文件生成其他批處理文件，不同的rar檔案包含混合的可執(zhí)行文件，甚至預(yù)期的操作被分成三個(gè)有效載荷。

　　“Meteor會(huì)清除文件系統(tǒng)，mssetup.exe會(huì)鎖定用戶，而nti.exe可能會(huì)破壞MBR，”他說(shuō)，研究團(tuán)隊(duì)提供了有關(guān)惡意軟件內(nèi)部工作的技術(shù)文檔。

　　“在其最基本的功能中，MeteorExpress從加密配置中獲取一組路徑，并在這些路徑上搜索，清除文件。它還確保刪除影子副本，并將機(jī)器從域中移除，以避免使用快速修復(fù)的方法?！彼f(shuō)。

　　這種擦除器還可以用來(lái)更改所有用戶的口令、禁用屏保、根據(jù)目標(biāo)進(jìn)程列表終止進(jìn)程、安裝屏幕鎖、禁用恢復(fù)模式或創(chuàng)建計(jì)劃任務(wù)。

　　Guerrero-Saade在Meteor擦除器中發(fā)現(xiàn)了一些線索，指出了一種外部可配置的設(shè)計(jì)，可以在不同的操作中有效重用?！安脸鞯耐獠颗渲眯再|(zhì)決定了它不是為這種特殊操作而設(shè)計(jì)的?！?/p>

　　研究團(tuán)隊(duì)在報(bào)告結(jié)論中指出，網(wǎng)絡(luò)空間的沖突充斥著越來(lái)越多無(wú)恥的威脅行為者。在這個(gè)史詩(shī)般的噴子的藝術(shù)背后，隱藏著一個(gè)令人不安的現(xiàn)實(shí)：一個(gè)以前不為人知的威脅行為者愿意利用擦除器惡意軟件攻擊公共鐵路系統(tǒng)。攻擊者是一個(gè)中級(jí)水平的玩家，其不同的操作組件從笨拙和初級(jí)到靈活和發(fā)達(dá)，急劇振蕩。

　　一方面，有一個(gè)新的外部可配置的擦除器，它充滿了有趣的功能，包括一個(gè)成熟的開發(fā)過(guò)程，以及實(shí)現(xiàn)目標(biāo)的冗余手段。甚至他們的批處理腳本也包括廣泛的錯(cuò)誤檢查，這是部署腳本很少遇到的特性。他們的攻擊旨在削弱受害者的系統(tǒng)，使其無(wú)法通過(guò)域管理或影子副本恢復(fù)進(jìn)行簡(jiǎn)單的補(bǔ)救。

　　另一方面，研究人員看到一個(gè)對(duì)手還沒(méi)有處理的部署管道，他們的惡意軟件樣本中包含與此特定操作無(wú)關(guān)的大量調(diào)試功能。不同的攻擊組件之間存在功能冗余，這表明團(tuán)隊(duì)之間的職責(zé)分工不協(xié)調(diào)。文件以笨拙、冗長(zhǎng)和雜亂無(wú)章的方式分發(fā)，這與高級(jí)攻擊者不相稱。

　　在濃霧中，我們還不能看清這個(gè)對(duì)手的輪廓。也許這是一個(gè)不擇手段的雇傭軍組織。目前，任何形式的歸因都是純粹的猜測(cè)，有可能將多個(gè)國(guó)家之間的既得利益、手段和動(dòng)機(jī)的激烈沖突簡(jiǎn)單化。

　　在這個(gè)史詩(shī)般的巨魔/令人震驚的挑釁背后，有更多的發(fā)現(xiàn)，了解背后的攻擊者。應(yīng)該記住，攻擊者已經(jīng)熟悉其目標(biāo)的一般設(shè)置、域控制器的特性以及目標(biāo)的備份系統(tǒng)（Veeam）的選擇。這意味著一個(gè)完全在雷達(dá)下飛行的偵察階段，以及尚未發(fā)現(xiàn)的大量間諜工具。

　　SentinelOne發(fā)布了攻擊指標(biāo)（IOCs）和YARA規(guī)則，以鼓勵(lì)對(duì)這個(gè)神秘的威脅行為者進(jìn)行進(jìn)一步研究。