識 破 Shamoon 2 第 二 波 惡 意 攻 擊

 

在2016年11月，Palo Alto 發現與2012年Shamoon攻擊相關的破壞性攻擊再次出現。們在《Shamoon 2：Return of the Disttrack Wiper》網誌中詳細報告了該次攻擊，該攻擊以某個沙特阿拉伯組織為目標，並打算於2016年11月17日清空該系統。

發表該篇網誌後，Palo Aloto 發現了另一個類似但不同的有效載荷，用於針對在沙特阿拉伯的另一組織，並設置於2016年11月29日清空系統。這最新的攻擊有可能嚴重衝擊其中一個主要針對清空器(wiper)攻擊的對策：虛擬桌面介面快照 (Virtual Desktop Interface snapshots)。

這次攻擊中使用的有效載荷與2016年11月17日的有效載荷非常相似，但表現出一些稍微不同的行為，而且包含了針對該新目標組織的特定硬編碼帳戶憑證。 這些硬編碼帳戶憑證能達到Windows對密碼的複雜性要求，表明了那些攻擊者通過以前的獨立攻擊成功獲得憑證，就如2016年11月17日的攻擊。
 
這個最新案例最值得注意的是，它包含了華為官方文檔有關其虛擬桌面基礎架構 (Virtual Desktop Infrastructure， VDI) 解決方案如FusionCloud的多個用戶名及密碼。
 
VDI 解決方案有加載已清空系統的快照能力，可以抵擋Disttrack之類的破壞性惡意軟件，為系統提供適當保護。 現在Shamoon攻擊者擁有這些用戶名和密碼，表明他們可能打算侵入目標組織獲得這些技術，以增加其破壞性攻擊的影響力。 若此推斷屬實，這對攻擊者而言是一個重要的進展，企業組織應考慮增添額外的防禦措施，以保護與其VDI部署相關的憑證。

 

---

<<  節錄 Palo Alto Networks 威脅情報團隊 Unit 42 分析員 Robert Falcone 網誌 >>