Shamoon-それは何でしたか？

石油会社サウジアラムコのコンピューターシステムは2012年8月15日に攻撃されましたが、詳細は明らかにされていません。 会社は10日後に通常の運用に戻ったと報告されました。 2012年10月11日にニューヨークで開催されたサイバーセキュリティに関する会議で講演したレオンパネッタ米国防長官は、サウジアラムコとカタールのガス生産会社RasGasのコンピューターがShamoonマルウェアに攻撃されたと述べました。 一部の米国政府高官は、Shamoonはイラン起源であると主張しているが、この直接の証拠はない。 一方、イラン政府は、Shamoon攻撃に対する正式な国際調査の実施を主張しています。 Akhavan Bahabadi（Mahdi Akhavan Bahabadi）-イランのサイバースペースに従事している国立センターの秘書は、彼らの意見では、アメリカ人によるそのような発言は政治的動機に関連していることを確認しました。



サウジアラムコに対する攻撃の責任は、政治的理由に動機付けられたハッキン​​ググループThe Cutting Sword of Justiceを引き受け、サウジアラビアがシリアとバーレーンで不安を組織したと非難しました。 pastedbin.comの攻撃の開始者によって伝えられた未確認の情報によると、サウジアラムコでは30,000台を超えるコンピューターが感染しました。



ShamoonサンプルはKaspersky Labの従業員によって詳細に分析され、最初の記事は8月21日に公開されました。 専門家は、攻撃はポイントのような性質のものであり、サンプルはKSN（Kaspersky Security Network）で修正されていないという結論に達しました。 VPOにはいくつかのモジュールが含まれています。 そのうちの1つに行があります。



「C：\ Shamoon \ ArabianGulf \ワイパー\リリース\ワイパー.pdb」。 プログラムの主な機能は破壊的です。 多くのオンラインメディアは、Shamoonが情報を収集してリモートサーバーに送信する誤った情報を公開しています。



Shamoonは、コマンドセンターから2チームを取ることができます。

1.サーバーからダウンロードしたファイルを実行します。

2.ファイルの「破壊」の時間を設定します。



コマンドセンターのアドレスとして、記号名「home」またはIPアドレス10.1.252.19が使用されます。 これが特別な範囲10.0.0.0/8に属するいわゆる内部アドレスであり、インターネットでは使用されないことは注目に値します。 コマンドセンターに連絡するための完全なURLは、次のようになります。 <管理サーバー > /ajax_modal/modal/data.asp?mydata = <_ iteration>＆uid = <local IP>＆state = <random number> 。 これは、インターネットインフォメーションサービスに基づいてサーバーを展開する必要があることを示している場合があります。



作成者のエラーが原因で、ダウンロード時にローカルファイルの名前が正しく形成されないため、ダウンロードしたファイルを起動する機能は動作しません。



マルウェアは定期的に特定の日付が到着したかどうかを確認します。 日付はコマンドセンターから指定できます。それ以外の場合は、コード内で指定された日付、2012年8月15日08:08 UTCが使用されます。 作者は時間をチェックする機能を実装する際にミスを犯しましたが、それでも意図したアクション、つまり特定の時間における情報の破壊を妨げないことに注意してください。 破棄するファイルのリストは、指定されたテンプレートに基づいて事前に生成されます。たとえば、ユーザープロファイル内のファイルや拡張子がiniまたはsysのファイルが検索されます。 その結果、％WINDIR％\ System32ディレクトリに2つのファイル 'f1.inf'および 'f2.inf'が作成されます。 それらには、回復不可能なゴミで満たされたファイルへのフルパスが含まれています。 ゴミは、燃えている米国の星条旗のJPEG画像の断片（192 Kバイト）であり、Googleで簡単に見つけることができます。 どうやら、これは著者が意図したものであり、攻撃の特定の「政治的背景」を示している可能性があります。 最後に、MBRが消去されます。 これには、Windows Vista以降でロックされているドライブへの直接アクセスが必要です。 それを提供するために、ShamoonはEldos RawDiskソフトウェアの合法的に署名されたドライバーを使用します。このアプローチはinsidepro.comの記事で説明されています 。 ドライバーを使用するには、認証キーが必要です。 Shamoonで使用されるキーは試用版であるため、ドライバー関数を呼び出すたびに、現在のシステム時刻が2012年8月1日から8月20日までのランダムな日付に転送されます。 これらのエラーと実装機能により、Shamoonの著者は高度なプログラマーではないと結論付けることができます。



自己配布の場合、ShamoonはデフォルトでWindowsによって作成された管理リソース（ADMIN $、C $、D $、E $）に自分自身をコピーしようとします。 成功した場合、NetScheduleJobAdd関数を使用してタスクが作成されます。これにより、リモートコンピューターでの自動実行が可能になります。 当然、これらのアクションにはドメイン管理者権限が必要です。 IPアドレスのリストは、コマンドラインパラメーターから取得するか、現在のIPアドレスから作成して、最後のオクテットの値を1〜254（列挙）の範囲で設定します。



2012年9月、シマンテックはShamoonの新しいバージョンの発見に関する情報を公開しました。変更は本質的に表面的なものです。 そのため、いくつかの行が置き換えられます。たとえば、ファイルリストは「f1.inf」と「f2.inf」ではなく「data.dat」と「s_data.dat」と呼ばれます。 McAfeeによると 、NetScheduleJobAddを介したリモートスタートメソッドはpsexec.exeに置き換えられ、イメージの一部を使用する代わりに書き込み用のガベージがランダムに生成されます。



次のバージョンを想定できます：攻撃者は組織のネットワークの境界内にあるドメインコントローラーの1つを制御し、ネットワークトポロジを調査し、IPアドレスのリストを受け取りました（ShamoonはコマンドラインパラメーターによるIPアドレスのリストの転送を提供します）。 破壊時間を制御するスクリプトは内部サーバーの1つに配置され、そのアドレス（10.1.252.19）はマルウェア内でエンコードされました。 ドメイン管理者権限の存在により、管理リソースを介したマルウェアの大量配布の問題を解決できました。 サウジアラムコがShamoonに感染し、30,000以上のコンピューターに感染した信頼できるデータはありません（たとえば、アドレス10.1.252.19はpastedbin.comに投稿されたリストにありません）ネットワークサービスの脆弱性を悪用する手段の構成。 さらに、適切な権限を持つ通常のOSツールを使用して情報を収集できるため、情報収集機能をプログラムする必要はありませんでした。 そのため、一方ではこれはAPT攻撃であり、他方では、トレーニングのレベルが十分に高くありません。