Meteor Wiper 恶意软件

流星雨刷，顾名思义，是一种雨刷恶意软件，旨在对受感染的计算机造成不可逆转的损害。当威胁行为者不追求任何金钱收益时，就会部署此类威胁。相反，目标是要么对特定目标的操作造成尽可能多的干扰，要么使用擦除器攻击来分散黑客的注意力，以隐藏黑客的真正目标。流星雨刷是一种以前未知的恶意软件，作为针对伊朗铁路系统的网络攻击的一部分而部署。

流星雨刷的发现

对攻击的初步分析没有发现雨刮器威胁的痕迹。迄今为止，黑客行为背后的威胁行为者尚未确定。尽管如此，网络犯罪分子还是成功地攻破了伊朗的交通部并破坏了该国的火车系统。攻击者关闭了该机构的官方网站，并通过在铁路留言板上显示有关网络攻击的消息来宣布他们的成就。显示的几条消息还敦促希望获得更多事件信息的乘客拨打一个电话号码，该号码被确定为伊朗最高领袖阿里·哈梅内伊所有。在后台，黑客还导致多个 Windows 设备被锁定在一个禁止访问系统的锁屏后面。

第一个发现还部署了 Meteor Wiper 等其他威胁的是伊朗网络安全公司 Aman Pardaz。 SentinelOne 和研究员 Juan Andres Guerrero-Saade 的一份报告揭示了有关威胁和发现的几个新组件的更深入信息。

攻击链

在部署 Meteor Wiper 之前，攻击者使用了几个可执行文件和批处理文件，这些文件被传送到每个受感染的设备，并负责为最终有效载荷准备本地环境。首先，系统会扫描特定的反恶意软件产品，如果检测到这些产品，则会随后终止。然后，目标设备与网络断开连接。为促进恶意软件威胁的顺利运行，Windows Defender 中添加了排除项。在下一步中，将提取多个恶意软件负载。在执行了几个额外的任务后，比如清除 Windows 事件日志和将文件系统缓存刷新到磁盘，最终的有效负载被启动。其中包括以名为“env.exe”或“msapp.exe”的文件形式提供的 Meteor 擦除器、MBR（主引导记录）储物柜和屏幕储物柜。