Wiper 恶意软件随处可见，危害极大、传播广且不可恢复

LLTS

今年出现了至少 9 个家族的 Wiper 恶意软件。现在还有2个。

在过去的一年里，出现了来自不少于 9 个家族的破坏性擦除器恶意软件。在过去的一周里，研究人员至少对另外两个进行了分类，都展示了旨在造成最大破坏的高级代码库。

周一，Check Point Research 的研究人员公布了 Azov 的详细信息，这是一种以前从未见过的恶意软件，该公司将其描述为“有效、快速且不幸的是无法恢复的数据擦除器”。通过用随机数据覆盖文件，以 666 字节为单位擦除文件，保留相同大小的块完好无损，依此类推。恶意软件使用未初始化的局部变量char buffer[666]。

脚本小子不需要申请
在永久销毁受感染机器上的数据后，Azov 会显示一条以勒索软件公告风格书写的注释。该说明呼应了克里姆林宫关于俄罗斯对乌克兰战争的谈话要点，包括核打击威胁。Check Point 恢复的两个样本之一的注释错误地将这些词归因于波兰一位著名的恶意软件分析师。

尽管最初是由年轻的开发者发起的，但 Azov 绝不是老练的。在最初的定义中，它是一种计算机病毒，这意味着它会修改文件——在这种情况下，将多态代码添加到后门 64 位可执行文件中——从而攻击受感染的系统。它也完全用汇编语言编写，这是一种使用起来极其费力的低级语言，但也使恶意软件在后门过程中更加有效。除了多态代码外，Azov 还使用其他技术来增加研究人员的检测和分析难度。

“虽然 Azov 样本在第一次遇到时被认为是 skidsware（可能是因为奇怪的赎金票据），但当进一步调查时，人们发现了非常先进的技术——手工制作的程序集，将有效负载注入可执行文件以对其进行后门，以及一些反分析Check Point 研究员 Jiri Vinopal 写道：“通常保留给安全教科书或知名品牌网络犯罪工具的技巧。” “Azov 勒索软件肯定会让典型的逆向工程师比一般的恶意软件更难。”

代码中内置的逻辑炸弹会导致 Azov 在预定时间引爆。一旦触发，逻辑炸弹将遍历所有文件目录并对每个目录执行擦除例程，特定的硬编码系统路径和文件扩展名除外。截至上个月，已向 VirusTotal 提交了超过 17,000 个带后门的可执行文件，表明该恶意软件已广泛传播。

上周三，安全公司 ESET 的研究人员披露了另一个他们称为 Fantasy 的前所未见的擦除器，以及一个名为 Sandals 的横向移动和执行工具。该恶意软件是通过供应链攻击传播的，该攻击滥用了一家开发钻石行业软件的以色列公司的基础设施。在 150 分钟的时间里，Fantasy and Sandals 传播给了软件制造商从事人力资源、IT 支持服务和钻石批发的客户。目标位于南非、以色列和香港。

Fantasy 大量借鉴了 Apostle 的代码，该恶意软件最初伪装成勒索软件，然后才显示为擦除器。Apostle 与 Agrius 有联系，Agrius是一名在中东活动的伊朗威胁演员。代码重用导致 ESET 将 Fantasy 和 Sandals 归为同一组。

前所未见的恶意软件正在破坏俄罗斯法院和市长办公室的数据
Azov、Fantasy 和 Sandals 的文档是在安全公司 Kaspersky 的研究人员详细介绍 CryWiper几天后发布的，CryWiper 是一种前所未见的擦除器，曾攻击俄罗斯的法院和市长办公室。
随着这种形式的破坏性恶意软件在过去十年中变得越来越普遍，因此发现了擦除器。2012 年，一种名为 Shamoon 的破坏者对沙特阿拉伯的沙特阿美公司和卡塔尔的拉斯天然气公司造成了严重破坏。四年后，Shamoon 的新变种卷土重来，袭击了沙特阿拉伯的多个组织。

2017 年，俄罗斯最初在乌克兰释放的自我复制恶意软件在数小时内传遍了全球。被称为 NotPetya 的擦除器估计造成了 100 亿美元的损失，成为历史上损失最惨重的网络攻击。在过去的一年里，雨刷新品层出不穷。它们包括 DoubleZero、IsaacWiper、HermeticWiper、CaddyWiper、WhisperGate、AcidRain、Industroyer2 和 RuRansom。

通常，很难准确了解开发恶意软件的动机。对于 Azov，Check Point 的 Vinopal 写道：

我们不能自信地将动机归因于此恶意软件的生产和传播，但显然，我们可以排除新赎金票据中的任何内容都是善意编写的想法（我们不必这么说，但所列人员或组织均与创建此勒索软件无关）。人们可能会简单地将其视为一个心烦意乱的人的行为；尽管如果有人想将此视为意在煽动对乌克兰和更普遍的巨魔受害者的愤怒的令人震惊的虚假旗帜，他们当然也会为该假设提供大量证据。已经检测到的与亚速病毒相关的样本数量如此之大，以至于即使曾经有过一个原始目标，它也早已消失在不分青红皂白的感染噪音中。

混乱突显了加强网络安全的重要性，包括：

用于端点保护的行为文件分析安全解决方案。
托管检测和响应以及一个安全运营中心，允许及时检测入侵并采取行动响应。
动态分析邮件附件，拦截恶意文件和URL。这将使电子邮件攻击（最常见的媒介之一）变得更加困难。
定期进行渗透测试和 RedTeam 项目。这将有助于识别组织基础设施中的漏洞，保护它们，从而显着减少入侵者的攻击面。
威胁数据监控。要及时检测和阻止恶意活动，有必要掌握有关入侵者的策略、工具和基础设施的最新信息。
尽快安装关键应用程序和操作系统更新。
鉴于俄罗斯对乌克兰的持续入侵以及全球其他地缘政治的不稳定，没有理由相信扫荡者的猛攻会很快放缓。