研究人员详细介绍了一个新的威胁行为者使用一种名为 Meteor 的可重复使用的雨刷器对伊朗火车系统和交通部进行的前所未见的攻击

网络安全公司 SentinelOne 的研究人员在一份新报告中重构了最近对伊朗火车系统的网络攻击，发现了一个新的威胁行为者——他们将其命名为“MeteorExpresss”——以及一个前所未见的雨刷器。 7 月 9 日，当地新闻媒体开始报道针对伊朗火车系统的网络攻击，黑客通过要求乘客拨打伊朗最高领袖哈梅内伊办公室的电话号码“64411”来破坏火车站的显示屏。火车服务中断，仅一天后，黑客就关闭了伊朗交通部的网站。据路透社报道，在道路和城市发展部的计算机遭到攻击后，该部的门户网站和子门户网站瘫痪。在他的检查中，SentinelOne 首席威胁分析师 Juan Andres Guerrero-Saade 解释说，这次攻击背后的人称这种前所未见的雨刷器为“Meteor”，并在过去三年中开发了它。 Guerrero-Saade 说：“目前，我们无法将此活动与先前确定的威胁组或其他攻击联系起来，”并补充说，由于安全研究员 Anton Cherepanov 和伊朗防病毒软件，他们能够重建攻击公司。 “尽管缺乏具体的妥协指标，我们还是能够恢复帖子中描述的大部分攻击组件以及他们遗漏的其他组件。在这个关于停止的火车和流氓巨魔的古怪故事背后，我们发现了一个不熟悉的人的指纹攻击者。” Guerrero-Saade 表示，对 Padvish 安全研究人员的早期分析是 SentinelOne 重建的关键，以及“恢复的攻击者工件，其中包括更长的组件名称列表”。

“攻击者滥用组策略来分发 cab 文件来进行攻击。整个工具包由批处理文件的组合组成，这些批处理文件编排了从 RAR 档案中删除的不同组件，”Guerrero-Saade 解释说。 “使用攻击者提供的 Rar.exe 副本和密码 'hackemall' 解压档案。擦除器组件按功能拆分：Meteor 基于加密配置加密文件系统，nti.exe 破坏 MBR，以及 mssetup。 exe 锁定系统。” SentinelOne 发现，大部分攻击是“通过一组嵌套在其各自组件旁边并在连续执行中链接在一起的批处理文件进行策划的”。据报道，批处理文件通过伊朗铁路网络内网络共享中的 CAB 文件复制初始组件。从那里，批处理文件使用自己的 WinRAR 副本从三个使用 Pokemon 主题密码的附加档案中解压缩附加组件，“hackemall”在攻击期间在其他地方也被引用。 “在这一点上，执行开始分叉到其他脚本中。第一个是 'cache.bat'，它专注于清除障碍并使用 Powershell 为后续元素做好准备，”Guerrero-Saade 说。 “'cache.bat'执行三个主要功能。首先，它会将受感染设备与网络断开连接。然后它会检查机器上是否安装了卡巴斯基防病毒软件，在这种情况下它会退出。最后，'cache.bat'。 bat' 将为其所有组件创建 Windows Defender 排除项，有效地为成功感染扫清障碍，而不会遇到任何障碍。”该报告解释说，这个特定的脚本在重建攻击链方面具有指导意义，因为它包含一个攻击组件列表，为研究人员提供了要搜索的特定内容。

部署了两个批处理文件，使机器无法启动并清理事件日志。在一系列其他操作之后，update.bat 将调用“msrun.bat”，它传递“Meteorwiper 可执行文件作为参数”。 Guerrero-Saade 解释说，另一个批处理文件——msrun.bat——移动到一个屏幕锁和 Meteor 雨刷器的加密配置中。计划任务由名为“mstask”的脚本创建，然后设置为在午夜前五分钟执行流星雨刷。 “整个工具包存在一种奇怪的碎片化程度。批处理文件产生其他批处理文件，不同的 rar 存档包含混合的可执行文件，甚至预期的操作也分为三个有效负载：流星擦除文件系统，mssetup.exe 将用户锁定，并且 nti.exe 可能会破坏 MBR，”Guerrero-Saade 写道。 “这个错综复杂的攻击链的主要有效载荷是一个位于‘env.exe’或‘msapp.exe’下的可执行文件。在内部，编码人员将其称为‘Meteor’。而这个特定的 Meteor 实例遭受了严重的 OPSEC 故障（包含可能用于内部测试的详细调试字符串），它是一个具有广泛功能集的外部可配置擦除器。”根据该报告，Meteor 雨刷器带有一个参数，即加密的 JSON 配置文件“msconf.conf”。 Meteor 在从加密配置移动时擦除文件删除卷影副本并将机器从域中取出以使修复复杂化。报告称，这些只是触及了 Meteor 功能的皮毛。尽管未用于对伊朗火车站的攻击，但擦除器能够更改所有用户的密码、禁用屏幕保护程序、根据目标进程列表终止进程、安装屏幕锁、禁用恢复模式、更改启动策略错误处理、创建计划任务、注销本地会话、删除卷影副本、更改锁定屏幕图像和执行需求。

Guerrero-Saade 指出，wiper 的开发人员为wiper 创造了多种方法来完成这些任务中的每一个“但是，操作员显然在编译带有大量用于内部测试的调试字符串的二进制文件时犯了一个重大错误。后者是这表明尽管开发人员在他们的武器库中有任何先进的实践，但他们缺乏确保此类错误不会发生的强大部署管道。此外，请注意，此示例是在部署前六个月编译的，并且没有发现错误，“报告发现。 “其次，该代码是自定义代码的奇异混合体，其中包含开源组件 (cpp-httplib v0.2) 和几乎古老的滥用软件（FSProLabs 的 Lock My PC 4）。虽然这可能表明 Meteor 雨刷器是内置的是一次性的，或用于单个操作，这与外部可配置设计并列，允许对不同操作进行有效重用。”当 SentinelOne 研究人员深入研究 Meteor 时，他们发现冗余证明了擦除器是由添加不同组件的多个开发人员创建的。该报告补充说，“擦除器的外部可配置特性”表明它不是为这个特定操作而创建的。他们还没有在野外看到流星雨刷的任何其他攻击或变种。研究人员无法将这次攻击归因于特定的威胁行为者，但解释说，攻击者是“中级玩家，其不同的操作组件从笨拙和简陋到精巧而发达。” “一方面，我们有一个新的外部可配置擦除器，其中充满了有趣的功能，涉及成熟的开发过程，以及实现目标的冗余手段。甚至他们的批处理脚本也包括广泛的错误检查，这是部署脚本很少遇到的功能.他们的攻击旨在削弱受害者的系统，无法通过域管理或恢复卷影副本进行简单的补救，”格雷罗-萨德写道。

“另一方面，我们看到一个对手还没有处理他们的部署管道，使用他们的恶意软件样本，其中包含与此特定操作无关的广泛调试功能和刻录功能。” Guerrero-Saade 继续说 SentinelOne “尚无法在迷雾中辨认出这个对手的形状”，并推测它是“一个肆无忌惮的雇佣军团体”或具有各种动机的国家支持的演员。尽管他们无法确定此次袭击的原因，但他们指出，攻击者似乎熟悉伊朗铁路系统的一般设置和目标使用的 Veeam 备份，这意味着威胁行为者在发动攻击之前在该系统中度过了一段时间。据路透社报道，在袭击发生时，伊朗官员没有确认是否有赎金要求或他们认为袭击的幕后黑手是谁。 《以色列时报》指出，在 2010 年臭名昭著的 Stuxnet 攻击之后，伊朗切断了其大部分基础设施与互联网的连接。