6 марта 2017

Shamoon вернулся. И не один

Бизнес

В 2012 году мы публиковали анализ вредоноса Shamoon, способного уничтожить данные на компьютерах жертвы. Предположительно он был связан с атакой на Saudi Aramko, национальную нефтяную компанию Саудовской Аравии. Тогда атака одновременно вывела из строя около 30 тысяч рабочих станций, в результате чего компания потратила более недели на восстановление работоспособности своих информационных систем. И вот, спустя почти пять лет, обновленный Shamoon вернулся, однако на этот раз не один, а в компании еще одного вредоноса с аналогичной функциональностью, который при этом использует продвинутые технологии уклонения от обнаружения. Мы дали ему имя StoneDrill.

Shamoon 2.0 во многом похож на своего предшественника. Похоже, что применяющие его злоумышленники тщательно готовят свои атаки, детально изучая каждую цель. Они добывают администраторские учетные данные и создают уникальный вариант вредоноса для каждой жертвы, который затем использует админский пароль и логин для того, чтобы распространиться по рабочим станциям компании. Shamoon 2.0 активизируется в заранее определенный день и выводит из строя максимальное количество компьютеров в инфраструктуре жертвы. Среди целей этой атаки снова организации Саудовской Аравии, работающие в экономической сфере, и объекты критической инфраструктуры.

Теперь поговорим о StoneDrill. В чем-то он похож на Shamoon (начнем с того, что он тоже создан для уничтожения всех данных компании), однако при этом у него есть и несколько серьезных отличий. Во-первых, среди его жертв не только компании в Саудовской Аравии — мы обнаружили как минимум одну в Европе. А во-вторых, создатели этого вредоноса сделали его максимально сложным для обнаружения. Он использует несколько технологий для обхода анализа методом эмуляции. Например, он генерирует множество вызовов WinAPI с некорректными параметрами, а также не использует драйверов на фазе развертывания, вместо этого внедряя ответственный за уничтожение данных модуль в память основного браузера.

Самое опасное в StoneDrill то, что обнаружен он был только в процессе охоты на другую угрозу. Эта ситуация еще раз доказывает, что для эффективного противодействия современным киберугрозам специалисты по защите информационной инфраструктуры должны быть также экспертами и в области анализа вредоносного ПО. Поэтому мы еще раз хотели бы порекомендовать вам отправить своих безопасников на курсы по обратному инжинирингу. Например, на тренинг, который будет проходить непосредственно перед конференцией SAS. Кстати, 50-процентная скидка на посещение самой конференции для всех записавшихся на этот тренинг до сих пор актуальна.

Если вас интересуют технические детали вредоносов, включая индикаторы заражения и правила Yara, которые наши эксперты использовали для выявления угроз, ознакомьтесь с блогпостом на сайте Securelist.