俄乌观察|面对网络战，我们应该做好哪些准备

乌克兰的多个国家机关网站受到恶意攻击，导致用户访问异常以及访问某些资源时出现包含挑衅内容的图片信息。攻击团伙在攻击的最后阶段使用了一个名为“WhisperGate”的数据破坏程序，该程序会执行多个阶段的攻击流程，其中至少使用了两种破坏性的恶意软件分别用于擦除系统主引导记录（BootPatch）和破坏指定后缀的文件数据（WhisperKill）。该恶意程序攻击活动大致可以分为以下四个阶段：

阶段一，使用BootPatch程序擦除系统主引导记录（MBR），并将其替换为假的勒索软件赎金记录。

阶段二，使用WhisperGate程序从硬编码的URL中下载阶段三的DLL文件（WhisperPack）并执行。

阶段三，在本地释放第四阶段的数据擦除文件，并执行。

阶段四，遍历A-Z的所有驱动器，擦除指定后缀的文件数据。

重写MBR引导数据后，系统不会自动重启，而是等待用户手动重启后在电脑屏幕上显示伪装成勒索软件的赎金信息。它与其它勒索软件最主要的区别是MBR主引导数据遭到破坏后是无法恢复的，结合后续阶段的恶意组件，其主要功能就是破坏用户重要数据，而非常规勒索软件以勒索赎金为主要目的。

HermeticWiper是比WhisperGate 危害性更强的数据擦除工具。

该数据擦除器以勒索软件为饵，专注于破坏Windows系统盘的主引导记录(MBR)，HermeticWiper使用 EaseUS 分区管理器驱动程序，在重新启动计算机之前损坏受感染设备的文件。数据擦除器还会破坏设备的主引导记录，使所有受感染的设备无法启动。攻击主要包含以下六个步骤：

步骤一，提升自身权限，使后续操作得以进行；

步骤二， 判断系统版本和架构，从资源中释放sys文件并解压；

步骤三，将释放的sys文件作为服务运行，后续会使用该sys文件与磁盘进行交互；

步骤四，关闭系统卷影服务，防止恢复；

步骤五，擦除各种文件，包括MBR，MFT，所有驱动器上的$Bitmap,$LogFile等等；

步骤六，系统重新启动。

此外，该恶意软件与大多数恶意软件完全不同，它不会窃取信息，只会破坏信息，清除存储在关键人员电脑中的重要数据，甚至可以在不留任何攻击痕迹的情况下摧毁系统恢复工具，擦除Windows数据并阻止操作系统恢复，具有严重的致命性和破坏性。

DDoS攻击策略侧重于通过众多“僵尸主机”向受害主机发送大量看似合法的网络包，从而造成网络阻塞或服务器资源耗尽而导致拒绝服务。本次DDoS攻击的表现形式主要有两种，一种为流量攻击，主要是针对网络带宽的攻击，即大量攻击包导致网络带宽被阻塞，合法网络包被虚假的攻击包淹没而无法到达主机；另一种为资源耗尽攻击，主要是针对服务器主机的攻击，即通过大量攻击包导致主机的内存被耗尽或CPU被内核及应用程序占完而造成无法提供网络服务。

在对乌克兰银行和政府机构的网络资源进行的DDoS攻击中，发现僵尸网络Mirai和Meris（恶意信息流）通过数千个存在漏洞的Mikrotik路由器发送以及许多其他使用ACL进行源过滤的物联网设备。以及对DNS服务器进行DDoS攻击来阻止访问政府网站中的Web资源，导致对大量政府Web资源的访问暂时中断。

俄乌冲突中，双方通过向对方的重要网站和关键基础服务发动DDoS攻击，一方面可以有效的使对手的重要服务在一段时间内失能，从而为冲突的推进争取时间；另一方面，对重要网站的攻击也会影响民众的日常生活，助长恐慌情绪的蔓延。即使被攻击方能够很快的恢复下线的服务，攻击本身也能够给对方政府起到一定的威慑作用。

钓鱼攻击，即网络钓鱼攻击，通过向大量受害者发送伪装成正常邮件的恶意邮件，引诱受害者运行恶意文件；或者诱导受害者打开伪装成正常网站的恶意网站，并输入用户名和密码，从而窃取受害者的信息，或者控制受害者的机器等。而鱼叉式网络钓鱼，是指针对特定目标进行网络钓鱼攻击的一种手法，通常带有很强的目的性和指向性，从而使攻击者可以更加精细于逼真的构造伪装的邮件或网站，更容易获得受害者的信任，使攻击的成功率大大加强。

从2021年年末开始，大量乌克兰用户遭到了疑似俄罗斯APT组织的恶意文档鱼叉钓鱼攻击，该组织针对乌克兰政府网站进行克隆，克隆对象包括司法部，总统办公室等，构建了虚假政府和总统办公室网站，诱骗政府人员登录钓鱼网站，获取账号密码，进而向重要机构投递精心构建的鱼叉攻击邮件，攻击者利用诱饵文档释放并执行vbs脚本，通过创建计划任务的方式完成恶意文件的驻留。此举意在投放恶意软件，传播数据擦除恶意软件、窃取重要敏感数据，以此破坏乌克兰政府机构和关键信息基础设施计算机的数据，达到深度致瘫的效果。