“沙虫”黑客组织使用WinRAR擦除乌克兰国家机构的数据
背景
安天微博:乌克兰政府计算机应急响应小组(CERT-UA)表示,俄罗斯黑客使用未受多因素身份验证保护的VPN帐户访问乌克兰国家网络中的关键系统。一旦获得网络访问权,他们就会使用脚本来使用WinRAR压缩软件擦除Windows和Linux机器上的文件。在Windows上,“沙虫”使用的BAT脚本是“RoarBat”,它会在磁盘和特定目录中搜索文件类型,例如doc、docx、rtf、txt、xls、xlsx、ppt、pptx、vsd、vsdx、pdf、png、jpeg、jpg、zip、rar、7z、mp4、sql、php、vbk、vib、vrb、p7s、sys、dll、exe、bin和dat,并使用WinRAR程序将它们压缩。
原文:https://weibo.cn/sinaurl?u=https%3A%2F%2Fcert.gov.ua%2Farticle%2F4501891
攻击过程
a.入口点:俄罗斯黑客使用未受多因素身份验证保护的VPN帐户访问乌克兰国家网络中的关键系统。
b.执行:恶意脚本是使用计划任务启动的,根据初步信息,该任务由组策略 (GPO) 创建和集中分发。
??? 具体实现 ???c.运行 Windows 的计算机:使用了 BAT 脚本
c1.它会在磁盘和特定目录中搜索文件类型 (.doc, .docx, .rtf, .txt, .xls, .xlsx, .ppt, .pptx, .vsd, .vsdx, .pdf, .png, .jpeg, .jpg, .zip, .rar, .7z, .mp4, .sql, .php, .vbk, .vib, .vrb, .p7s та .sys, .dll, .exe, .bin, .dat)
c2.使用合法程序 WinRAR 带有选项“-df”进行存档,该选项规定删除原始文件,随后删除创建的存档。d.运行 Linux 的计算机的故障是使用 BASH 脚本执行的,
d1.该脚本确保使用标准实用程序“dd”覆盖零字节的文件。
技术细节:
WinRAR.exe a -df my.rar test.txt
WinRAR 带有选项“-df”进行存档,该选项规定删除原始文件
SDelete.exe -r -s -q test.txt
SDelete v2.04 https://learn.microsoft.com/zh-cn/sysinternals/downloads/sdelete
SDelete 是一款安全的、不可恢复的删除文件和擦除剩余空间 的Windows 安全和实用工具
1 | # CMD写shell |