图1 被连续通报中的Hermetic Wiper
-------分析-------
Hermetic Wiper重点逻辑如下:
-
给自身程序添加备份特权以在后续摧毁动作中忽略文件系统的安全检查
-
在系统Drivers目录写入zip文件,使用LzxxxAPIs解压出驱动程序,添加加载驱动特权后,注册服务后加载后并删除
-
遍历物理磁盘,获取物理磁盘0至物理磁盘100的文件还原与系统还原目录根节点与叶节点的NTFS文件记录A0属性(索引分配,俗称大目录属性,每个索引块为4k),通过被利用的合法数字签名驱动程序,对其注册的设备进行随机数据写入,实施破坏性摧毁,使得系统无法进行还原。
-
使用过程3的方法函数摧毁所有用户历史记录信息(APPDATA目录内)、NTUSER.DAT相关信息、桌面、文档目录,销毁非系统分区$Bitmap、$Logfile文件,后卸载卷
-
使用过程3的方法函数摧毁操作系统日志后退出
-
由于没有添加关机特权,Hermetic Wiper的重启计划未能够真实的实现
图2 数据摧毁逻辑
图3 添加备份特权相关代码
图4 释放驱动相关代码
图5 添加加载驱动特权并注册启动驱动程序相关代码
图6 遍历物理磁盘相关代码
图7 获取相关文件或目录的NTFS文件记录相关代码
图8 破坏文件记录叶节点相关代码
图9 被破坏后系统还原无法使用
图10 销毁系统日志数据库相关代码
图11 Windows事件查看器无法正常查看日志数据
图12 元文件损坏导致磁盘无法使用,其实文件并未损毁,可数据恢复
图13 重启后用户配置被重新初始化
图14 未成功执行的重启操作
-------锐眼点评-------
被该网络武器摧毁的数据是具备可恢复性的,但由于发生在瞬息万变的网络战争中,出于快速作战的目的,被用于瞬间摧毁敌方业务系统的可应用性,故仅斩断了文件系统节点的连接性,使得业务系统瞬间瘫痪。就该网络武器本身而言,实现全面销毁数据是可完成的,但速度会慢很多,从该网络武器编译时间来看,前期是做了备战预案的。
-------IOCs-------
md5:
3F4A16B29F2F0532B7CE3E7656799125
84BA0197920FD3E2B7DFA719FEE09D2F
yara:
rule ADV_HermeticWiper_a{meta:description = "Wiper group"thread_level = 10in_the_wild = truestrings:$a = "DeviceIoControl"$b = "GetFileInformationByHandle"$d = {68 68 00 09 00}$c = {68 03 00 02 80 6A 01 6A 01 6A 00 6A 00 6A 00 FF 15}$e = "winevt"condition:(uint16(0) == 0x5A4D) and (uint32(uint32(0x3C)) == 0x00004550) and $a and $b and $c and $d and $e}
-------题外话-------
顺手测试了一下2015年的微点主防,Hermetic Wiper盗用的驱动加载后,被动执行数据破坏操作时候被拦截并杀死,报警Rootkit,数据未被破坏,符合预期。然而这柄早年国家863的网络安全重器却因江湖厮杀而损毁,中间过程像极了金庸先生的著名小说《笑傲江湖》,感兴趣的朋友可以翻阅一下。
图15 老微点能防住,新杀毒为啥防不住?
扫描二维码关注我们
原文始发于微信公众号(暗影安全):网战中的金手指:阴间驱动擦除器
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论