Meteor Wiper 惡意軟件

流星雨刷，顧名思義，是一種雨刷惡意軟件，旨在對受感染的計算機造成不可逆轉的損害。當威脅行為者不追求任何金錢收益時，就會部署此類威脅。相反，目標是要么對特定目標的操作造成盡可能多的干擾，要么使用擦除器攻擊來分散黑客的注意力，以隱藏黑客的真正目標。流星雨刷是一種以前未知的惡意軟件，作為針對伊朗鐵路系統的網絡攻擊的一部分而部署。

流星雨刷的發現

對攻擊的初步分析沒有發現雨刮器威脅的痕跡。迄今為止，黑客行為背後的威脅行為者尚未確定。儘管如此，網絡犯罪分子還是成功地攻破了伊朗的交通部並破壞了該國的火車系統。攻擊者關閉了該機構的官方網站，並通過在鐵路留言板上顯示有關網絡攻擊的消息來宣布他們的成就。顯示的幾條消息還敦促希望獲得更多事件信息的乘客撥打一個電話號碼，該號碼被確定為伊朗最高領袖阿里·哈梅內伊所有。在後台，黑客還導致多個 Windows 設備被鎖定在一個禁止訪問系統的鎖屏後面。

第一個發現還部署了 Meteor Wiper 等其他威脅的是伊朗網絡安全公司 Aman Pardaz。 SentinelOne 和研究員 Juan Andres Guerrero-Saade 的一份報告揭示了有關威脅和發現的幾個新組件的更深入信息。

攻擊鏈

在部署 Meteor Wiper 之前，攻擊者使用了幾個可執行文件和批處理文件，這些文件被傳送到每個受感染的設備，並負責為最終有效載荷準備本地環境。首先，系統會掃描特定的反惡意軟件產品，如果檢測到這些產品，則會隨後終止。然後，目標設備與網絡斷開連接。為促進惡意軟件威脅的順利運行，Windows Defender 中添加了排除項。在下一步中，將提取多個惡意軟件負載。在執行了幾個額外的任務後，比如清除 Windows 事件日誌和將文件系統緩存刷新到磁盤，最終的有效負載被啟動。其中包括以名為“env.exe”或“msapp.exe”的文件形式提供的 Meteor 擦除器、MBR（主引導記錄）儲物櫃和屏幕儲物櫃。