透视俄乌网络战之一：数据擦除软件 _恶意

数据擦除软件
数据是政府、社会和企业组织运行的关键要素。数据擦除软件可以在不留任何痕迹的情况下擦除数据并阻止操作系统恢复摧，达到摧毁或目标系统和数据的目的，具有致命的破坏性。
俄乌冲突中，各方势力使用了多种攻击工具。其中，通过数据擦除恶意软件可破坏关键信息基础设施计算机的数据，达到深度致瘫的效果，同时窃取重要敏感信息。
俄乌军事冲突中数据擦除软件
名称发现时间发现者攻击对象
1月13日
微软公司
乌克兰
2月23日
网络安全公司 ESET
乌克兰
2 月 24日
网络安全公司 ESET
乌克兰
2月 23日
乌克兰国家特殊通信和信息保护局
乌克兰
3月14日
网络安全公司 ESET
乌克兰
3月17日
乌克兰计算机应急响应小组
乌克兰
3月31日
美国网络安全公司
乌克兰
3月9日
美国网络安全公司Trend Micro
俄罗斯
1.
（1）简介
是一个冒充勒索软件的威胁性 MBR（主引导记录）擦除器，该恶意软件能够完全破坏受感染的机器，使其无法启动。
（2）分析
第一阶段
恶意软件以名为“.exe”的文件的形式放置在 C:\、C:\、C:\ 和 C:\temp 目录之一中的受感染系统上。

文章插图
为了转移人们对其真正目的的注意力，采用了勒索软件威胁中通常观察到的几个特征。它提供了一张赎金票据，声称攻击者希望获得 10,000 美元的比特币。这笔钱应该转移到提供的加密钱包地址。该说明提到，受害者可以通过提供的 Tox ID for Tox（一种加密的消息传递协议）与黑客联系。但是，当受感染的机器关闭时，会覆盖其 MBR 记录，这是硬盘驱动器中用于正确加载操作系统的部分。
通过破坏 MBR，使系统变砖，并且无法恢复其上的任何数据。勒索软件部分只是用来掩盖攻击者的真实意图。
第二阶段
在攻击的第二阶段，名为“.exe”的文件充当下载程序，从频道获取文件损坏程序。下载链接被硬编码到下载器本身。执行有效负载后，它会扫描系统上的特定目录以查找与 180 多个不同扩展名列表匹配的文件。所有目标文件的内容将被固定数量的 0xCC 字节覆盖。为操作设置的总文件大小为 1MB 。加扰文件后，破坏者将通过添加随机的四字节扩展名来更改其原始名称。
2.
（1）简介
，因其数字证书是盗取自一家名为Ltd的公司。该擦除器的显著特点是能够绕过的安全功能，，部署后不仅会破坏本地数据，还会破坏PC 的主引导记录 (MBR)，从而阻止计算机在强制重新启动后引导至操作系统。
网络安全专家认为该软件至少具备以下功能：
（2）分析
是一个32位可执行文件，其图标类似于一个礼物。
程序运行后首先提升权限：
然后获取主机处理器的位数，从PE资源段中释放对应的驱动文件：
以服务的方式加载驱动，并更改活跃状态的系统vss服务启动类型从而禁用vss服务：
在c:///目录下释放四个字母命名的驱动程序xrdr.sys并加载驱动；
创建多个线程并使用长时间的sleep来绕过沙箱的监控时间
,exe进程占用了较高的CPU使用率，并向驱动发送IOCTL控制码。随着恶意软件的执行，会发现一些应用程序将无法正常工作，这是因为某些文件（包括系统DLL）已被随机数据覆盖。
系统重启后，操作系统将无法正常工作：
3.
存在于没有签名的 DLL或EXE中，执行时会枚举所有物理和逻辑驱动器和卷标，用随机数据覆盖每个磁盘前字节，并擦除磁盘上的文件数据。