零零利
網絡安全研究人員傾向於將最高級的黑客組織標記為APT(高級持久威脅)。政府經常僱用APT進行幕後行動。但是,並非所有的APT都是政府贊助的,許多APT都是自己運作的,追求自己的議程。大多數APT團體要么以收集目標信息為目標進行攻擊,要么發起純粹出於財務目的的行動。但是,某些APT的目的是造成盡可能多的破壞,並造成盡可能多的破壞。磁盤擦除器是此類威脅性活動中最常用的惡意軟件。磁盤擦除器的目的是破壞存儲在目標硬盤驅動器和可移動存儲設備中的數據。如果文件備份不可用,並且您成為磁盤擦除器的受害者,則無法恢復數據。
目錄
與Shamoon雨刮器有相似之處
最近,惡意軟件研究人員在野外發現了一個新的磁盤擦除器。這種全新威脅的名稱是ZeroCleare。在學習ZeroCleare雨刷,專家們發現了一些顯著的相似性與最流行的磁盤雨刷之一- Shamoon 。但是,這並不意味著ZeroCleare刮水器是Shamoon威脅的副本,因為它也存在各種重要差異。這意味著這些威脅不屬於同一惡意軟件家族,但是ZeroCleare抽頭的作者可能已經從臭名昭著的Shamoon威脅中藉用了代碼。
覆蓋MBR
為了入侵目標主機,攻擊者似乎利用了安全性較差的遠程桌面連接和網絡帳戶,因此非常脆弱。感染計算機後,只有在威脅的操作者使用其他惡意軟件家族之後,才會啟動ZeroCleare擦除程序。攻擊者選擇使用名為'EldoS RawDisk'的真正工具包來進行威脅操作。通常,諸如" EldoS RawDisk"之類的合法工具包會用於網絡攻擊,因為它們會使攻擊者逃避安全檢查和反惡意軟件措施。啟動ZeroCleare惡意軟件時,它將開始覆蓋MBR(主啟動記錄),並銷毀用戶的數據。
惡意軟件專家無法確定哪個APT正在傳播ZeroCleare抽頭,或其最終目標是什麼。一些研究人員認為,ZeroCleare雨刮器背後的威脅者可能是在代表外國政府行事。
當涉及到惡意軟件威脅使受感染的系統混亂時,受到威脅影響的計算機用戶往往會深入了解導致系統混亂的原因。事實證明,ZeroCleare是一種特殊的威脅,似乎已經被黑客或網絡騙子利用來對行業進行攻擊。根據IBM的Security Intelligence公司的說法,僅在過去的一年中,其X-Force IRIS團隊在幫助公司應對此類案件的實例中,破壞性攻擊的數量增加了200%。 ZeroCleare是一種威脅,主要用於攻擊能源和工業部門,近年來,攻擊性和復雜惡意軟件的攻擊穩步增長。
歐洲和中東的許多地區都受到ZeroCleare和其他類似威脅的大量攻擊。雖然ZeroCleare攻擊不僅限於特定區域,但由於動機因素可能最終影響競爭對手國家的經濟,網絡騙子希望在這些區域發動攻擊。
ZeroCleare的複雜性使其更加危險
ZeroCleare的複雜性是巨大的。黑客創建ZeroZleare的方式是繞過Windows操作系統內的某些安全措施,主要是防止未簽名的驅動程序在某些系統上運行的措施。對於ZeroCleare,在受到ZeroCleare攻擊時,64位Windows計算機及其使用驅動程序簽名強制(DSE)防止未簽名驅動程序的能力基本上是無效的。這樣,ZeroCleare顯然可以自由地利用64位系統,有人認為它比32位系統更安全。無論哪種方式,ZeroCleare都容易引起重大問題,並可能導致受感染的計算機癱瘓,並在影響主啟動記錄後幾乎無用。
始終敦促計算機用戶採取預防措施,以避免受到ZeroCleare等威脅的攻擊。在攻擊性勒索軟件和其他從根本上造成存儲數據丟失的威脅的情況下,安全公司無法充分強調採取積極措施避免ZeroCleare攻擊的重要性,因為它可能不會為恢復受損系統留出太多空間。
