ASERT( Arbor 安全工程响应小组 )研究员对恶意软件 Shamoon 2 进行了分析发现 C&C 基础设施以及感染过程的更多细节。
2012 年,Shamoon 首次被发现对沙特阿拉伯的目标企业展开攻击,其中的受害者,包括石油巨头阿美石油公司(Saudi Aramco)。在针对阿美石油公司的攻击中,Shamoon 清除了超过 3 万台计算机上的数据,并用一张焚烧美国国旗的图片改写了硬盘的主引导记录( Master Boot Record,MBR )
Shamoon 2 则在 2016 年 11 月被首次发现,今年 1 月安全公司 Palo Alto Networks 发现它的新变种可针对虚拟化产品展开攻击。
研究员对 X-Force 的恶意软件样本进行分析发现,攻击者使用恶意宏文件传播恶意软件,并通过 PowerShell 命令连接 C&C 服务器。研究员在 IP 上执行了被动 DNS 查找发现,get.adobe.go-microstf[.]com 托管在 04.218.120[.]128 上,这个通信活动发生在 2016 年 11 月。go-microstf[.]com 托管在 45.63.10[.]99 上,该域名最初设置为伪装成 Google Analytics 登录页面。
研究员还发现 X-Force 的恶意软件样本创建了一个新文件“ sloo.exe ”,该文件存储在 C:\Documents and Settings\Admin\Local Settings\Temp\sloo.exe 中。该样本还与 104.238.184[.]252 连接并执行 PowerShell 命令。
本文由 HackerNews.cc 翻译整理,封面来源于网络。
转载请注明“转自 HackerNews.cc ” 并附上原文链接。0day
文章评论