PathWiper 恶意软件
一种名为 PathWiper 的新型破坏性恶意软件被发现出现在针对乌克兰关键基础设施的网络攻击中。其主要目标明确:扰乱并削弱乌克兰境内的作战能力。
目录
通过合法工具进行秘密部署
攻击者使用合法的终端管理工具部署了 PathWiper 有效载荷。这种交付方式表明,威胁行为者已通过先前的入侵获得了目标系统的管理访问权限,凸显了此次攻击背后的复杂性和计划性。
归因:熟悉的对手回归
调查此事件的网络安全研究人员高度肯定地将此次攻击归咎于与俄罗斯相关的高级持续性威胁 (APT)。观察到的战术、技术和程序 (TTP) 与 Sandworm 组织非常相似,Sandworm 是一个已知威胁组织,曾在乌克兰部署过 HermeticWiper。
PathWiper:HermeticWiper 的继任者
PathWiper 与 HermeticWiper 有显著的相似之处,这表明它可能是早期恶意软件的进化版。两者都旨在通过破坏关键系统数据来造成最大破坏,而行为上的重叠意味着它们涉及相同或密切相关的威胁集群。
多阶段攻击链
该恶意软件通过多阶段过程执行:
- Windows 批处理文件触发恶意 VBScript(uacinstall.vbs)。
- 该脚本删除并执行核心有效负载(sha256sum.exe),伪装成合法的管理工具以逃避检测。
高级驱动器枚举和卷破坏
与专注于枚举物理驱动器的 HermeticWiper 不同,PathWiper 更进一步,它以编程方式识别所有连接的驱动器,包括本地、网络和已卸载的卷。然后,它利用 Windows API 卸载这些卷,以准备进行破坏。
该恶意软件会为每个卷生成线程来覆盖基本 NTFS 结构,从而导致系统无法运行。
针对核心系统文件的破坏
PathWiper 损坏的系统组件包括:
- MBR(主引导记录):包含引导加载程序和分区表。
- $MFT(主文件表):维护所有文件和目录的索引。
- $LogFile:跟踪完整性和恢复的变化。
- $Boot:存储引导扇区和文件系统信息。
此外,其他五个关键的 NTFS 元数据文件也被随机字节覆盖,进一步确保受影响的系统无法恢复。
没有赎金,没有要求——只有毁灭
值得注意的是,PathWiper 的攻击并未包含任何形式的勒索或赎金要求。这证实了其主要目标是:彻底破坏运营,而非获取经济利益。
擦除器:混合战争中反复出现的工具
自乌克兰战争爆发以来,数据擦除器已成为俄罗斯网络行动的标志性工具。这些工具已在多起攻击活动中部署,造成了毁灭性的影响。其他在已检测到的攻击活动中使用的数据擦除器包括: CaddyWiper 、 HermeticWiper 、 IsaacWiper 、 AcidRain等等。
这些都在通过网络战破坏乌克兰基础设施的更广泛战略中发挥了作用。
结论:PathWiper 标志着一次危险的演变
PathWiper 是针对乌克兰的破坏性网络工具不断升级的典型案例。它拥有先进的规避技术、深度系统级破坏能力,且追踪到已知的俄罗斯 APT 攻击,在现代网络冲突格局中构成了重大威胁。
