网战中的金手指:阴间驱动擦除器

admin 2022年3月8日17:09:12评论101 views字数 1535阅读5分7秒阅读模式
Hermetic Wiper在近期的网络战争中出名了,导致国内各种行业通告预警,Hermetic Wiper盗用了某我数据恢复程序的驱动,导致利用者可随意对磁盘指定扇区进行读写操作,对数据安全造成了极大的危害。

网战中的金手指:阴间驱动擦除器

图1 被连续通报中的Hermetic Wiper


-------分析-------

Hermetic Wiper重点逻辑如下:

  1. 给自身程序添加备份特权以在后续摧毁动作中忽略文件系统的安全检查

  2. 在系统Drivers目录写入zip文件,使用LzxxxAPIs解压出驱动程序,添加加载驱动特权后,注册服务后加载后并删除

  3. 遍历物理磁盘,获取物理磁盘0至物理磁盘100的文件还原与系统还原目录根节点与叶节点的NTFS文件记录A0属性(索引分配,俗称大目录属性,每个索引块为4k),通过被利用的合法数字签名驱动程序,对其注册的设备进行随机数据写入,实施破坏性摧毁,使得系统无法进行还原。

  4. 使用过程3的方法函数摧毁所有用户历史记录信息(APPDATA目录内)、NTUSER.DAT相关信息、桌面、文档目录,销毁非系统分区$Bitmap、$Logfile文件,后卸载卷

  5. 使用过程3的方法函数摧毁操作系统日志后退出

  6. 由于没有添加关机特权,Hermetic Wiper的重启计划未能够真实的实现

网战中的金手指:阴间驱动擦除器

图2 数据摧毁逻辑


网战中的金手指:阴间驱动擦除器

图3 添加备份特权相关代码

网战中的金手指:阴间驱动擦除器

图4 释放驱动相关代码

网战中的金手指:阴间驱动擦除器

图5 添加加载驱动特权并注册启动驱动程序相关代码

网战中的金手指:阴间驱动擦除器

图6 遍历物理磁盘相关代码

网战中的金手指:阴间驱动擦除器

网战中的金手指:阴间驱动擦除器

网战中的金手指:阴间驱动擦除器

图7 获取相关文件或目录的NTFS文件记录相关代码

网战中的金手指:阴间驱动擦除器

图8 破坏文件记录叶节点相关代码

网战中的金手指:阴间驱动擦除器

图9 被破坏后系统还原无法使用

网战中的金手指:阴间驱动擦除器

图10 销毁系统日志数据库相关代码

网战中的金手指:阴间驱动擦除器

图11 Windows事件查看器无法正常查看日志数据

网战中的金手指:阴间驱动擦除器

网战中的金手指:阴间驱动擦除器

图12 元文件损坏导致磁盘无法使用,其实文件并未损毁,可数据恢复

网战中的金手指:阴间驱动擦除器

图13 重启后用户配置被重新初始化

网战中的金手指:阴间驱动擦除器

图14 未成功执行的重启操作


-------锐眼点评-------

被该网络武器摧毁的数据具备可恢复性的,但由于发生在瞬息万变的网络战争中,出于快速作战的目的,被用于瞬间摧毁敌方业务系统的可应用性,故仅斩断了文件系统节点的连接性,使得业务系统瞬间瘫痪。就该网络武器本身而言,实现全面销毁数据是可完成的,但速度会慢很多,从该网络武器编译时间来看,前期是做了备战预案的。


-------IOCs-------

md5:

3F4A16B29F2F0532B7CE3E7656799125

84BA0197920FD3E2B7DFA719FEE09D2F

yara:

rule ADV_HermeticWiper_a{    meta:        description = "Wiper group"        thread_level = 10        in_the_wild = true    strings:    $a = "DeviceIoControl"    $b = "GetFileInformationByHandle"    $d = {68 68 00 09 00}    $c = {68 03 00 02 80 6A 01 6A 01 6A 00 6A 00 6A 00 FF 15}    $e = "winevt"    condition:        (uint16(0) == 0x5A4D) and  (uint32(uint32(0x3C)) == 0x00004550) and $a and $b and $c and $d and $e}


-------题外话-------

顺手测试了一下2015年的微点主防,Hermetic Wiper盗用的驱动加载后,被动执行数据破坏操作时候被拦截并杀死,报警Rootkit,数据未被破坏,符合预期。然而这柄早年国家863的网络安全重器却因江湖厮杀而损毁,中间过程像极了金庸先生的著名小说《笑傲江湖》,感兴趣的朋友可以翻阅一下。

网战中的金手指:阴间驱动擦除器

图15 老微点能防住,新杀毒为啥防不住?


扫描二维码关注我们

网战中的金手指:阴间驱动擦除器


原文始发于微信公众号(暗影安全):网战中的金手指:阴间驱动擦除器

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年3月8日17:09:12
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   网战中的金手指:阴间驱动擦除器http://cn-sec.com/archives/822016.html

发表评论

匿名网友 填写信息