以色列-哈马斯战争中使用的BiBi雨刷器现在在Windows上运行
总结
10月30日,总部位于以色列的事件响应公司SecurityJoes张贴的以色列-哈马斯战争中亲哈马斯黑客行动主义者使用的Linux系统新雨刷恶意软件的调查结果。该公司目前正在追踪恶意软件BiBi-Linux Wiper。
第二天,黑莓研究和情报小组找到一个变体目标是Windows系统,我们将其标记为BiBi-Windows雨刷器.
上下文
遵循哈马斯对以色列的恐怖袭击10月7日,哈马斯和以色列之间的实体战争已突破网络领域。一个涉嫌与哈马斯有关联的黑客组织在全国范围内闯入以色列公司,使互联网主机无法访问其网络,并部署了一种新的高度特定的网络武器,明显企图破坏这些公司的基础设施。新的恶意软件BiBi-Linux Wiper被一个为以色列公司提供援助的IR(事件响应)团队发现。
此次攻击没有赎金通知单或指挥控制(C2)服务器,这导致响应者猜测BiBi-Linux恶意软件是一个雨刷,部署的唯一原因是造成数据破坏。经过分析,该小组发现,以色列总理常用的绰号,比比(又名本杰明·内塔尼亚胡(Benjamin Netanyahu))被硬编码在恶意软件中,并在每个被破坏文件的扩展中。
SecurityJoes的团队推测,雨刷可能是“一群隶属于哈马斯的黑客创建的,目的是在战争背景下制造混乱。”
黑莓检测到的Windows变体证实了创建雨刷的威胁因素正在继续构建恶意软件,并表明攻击扩展到目标终端用户机器和应用程序服务器。通过使目标系统多样化,攻击者很可能会诱捕在Windows上运行的其他机器,在编写本文时,Windows是一种当前负责的操作系统全球68%的台式机用户而使用Linux的用户仅占2.9%。
BiBi-Window雨刷器的技术分析
MD5公司
|
e26bba0304f14ef96beb60376791d32c
|
SHA256型
|
40417e937cd244b2f928150cae6fa0eff5551fdb401ea072f6ecdda67a747e17
|
文件名
|
比比埃克斯
|
文件大小
|
203.00 KB(207872字节)
|
文件类型
|
赢PE x64
|
编译器
|
Visual Studio(2019)
|
BiBi-Windows Wiper上的时间戳表明,该植入物是在2023年10月21日星期六编译的,就在哈马斯首次对以色列发动恐怖袭击14天后。恶意软件示例是使用Visual Studio 2019编译的x64 Windows可移植可执行文件(PE),文件大小为203KB。
图1:BiBi-Windows-Wiper的时间戳
虽然感染媒介目前未知,但一旦植入完成,它会检查处理器架构和预期受害者系统中的线程数。为了实现最快的销毁操作,该恶意软件运行12个线程和8个处理器内核。在执行过程中,雨刮器将结果输出到控制台。
图2:BiBi的控制台输出
此示例销毁所有文件,但扩展名为.exe、.dll和.sys的文件除外,因为这些类型的文件对计算机的操作至关重要。这些扩展被硬编码在跳过的代码中,以便恶意软件可以运行其破坏过程。
执行擦除过程时,会用随机字节填充目标文件,基本上会导致文件无法使用和恢复。然后,文件被重命名为由10个字符组成的随机字母序列,扩展名为BiBi1型从1添加到5。典型的文件名将遵循以下结构:[文件名]。BiBi[编号].
该植入还从系统中删除卷影副本,防止用户恢复其文件,除非他们手边有离线备份。卷影复制是Windows中包含的一种技术,它可以创建计算机文件或卷的备份副本或快照,即使这些文件或卷正在使用中也是如此。
cmd.exe/c vssadmin删除阴影/qulet/all cmd.exe/c wmic卷影副本删除 |
它还禁用系统在启动时调用错误恢复屏幕的触发器。
cmd.exe/c bcdedit/set{default}引导状态策略ignoreallfailures
|
最后,它会关闭Windows恢复功能,因此系统可能无法恢复。
cmd.exe/c bcdedit/set{default}恢复启用否
|
代码中的所有CMD命令都使用从右向左的技术存储,以绕过传统防病毒产品通常使用的简单模式检测规则。
图3:BiBi-Windows-Wiper的命令以从右向左的方式存储
最后,BiBi Windows Wiper依赖于重启管理器及其Rstrtmgr.dll文件满足流程直至结束。
结论
随着以色列-哈马斯战争的不断升级,无论是物理领域还是数字领域似乎都没有安全港。雨刷器通常用于地缘政治事件引发的攻击,因为雨刷器的目标是简单明了的破坏,而不是激发传播非雨刷恶意软件或勒索软件的攻击者的金钱目标。
随着冲突的继续,我们可能会看到更多此类袭击。
妥协指标(IoC)
文件名
|
大小
|
SHA256型
|
比比埃克斯
|
203.00 KB(207872字节)
|
40417e937cd244b2f928150cae6fa0eff5551fdb401ea072f6ecdda67a747e17
|
狩猎雅拉规则
规则BIBI_Wiper_Windows{
元:
description=“加沙战争中使用的BiBi-Windows-Wiper” author=“黑莓研究与情报团队” date=“2023-10-31” hash=“40417e937cd244b2f928150cae6fa0eff5551fdb401ea072f6ecdda67a747e17” 版本=“1.0”
字符串:
$a1=“[+]Stats:”ascii宽 $a2=“C:\\Users”ascii宽 $a3=“[!]等待队列”ascii宽度 $a4=“[+]圆”ascii宽 $a5=“[+]路径:”ascii宽 $a6=“[+]CPU内核:”ascii宽
条件: uint16(0)==0x5a4d和((文件大小<2000KB)以及所有($a*)) }
|
相关阅读: