针对欧洲工业的StoneDrill磁盘擦除恶意软件被发现

磁盘清除恶意软件能够永久清除目标机器上所有硬盘驱动器和外部存储的数据，从而削弱任何组织，造成巨大的财务和声誉损失。

莫斯科防病毒提供商卡巴斯基实验室的安全研究人员发现了这种新型雨刷石钻在研究去年11月再次出现的Shamoon恶意软件（Shamoon 2.0）攻击时；11月发生了两起袭击，1月底发生了一起。

Shamoon 2.0是Shamoon恶意软件的更高级版本，据报道，它攻击了世界各地的15个政府机构和组织，清除数据并控制计算机的启动记录，防止计算机重新启动。

与此同时，卡巴斯基的研究人员发现，新发现的StoneDrill雨刮器恶意软件的“风格”与Shamoon 2.0相似，但代码库并不完全相同。

卡巴斯基的研究人员在一篇博客文章中说：“在欧洲发现石钻雨刮器是该组织正在中东以外地区扩大破坏性袭击的一个重要迹象”。“袭击目标似乎是一家大型公司，在石化行业有广泛的活动领域，与沙特阿拉伯没有明显的联系或兴趣”。

研究人员还注意到，去年11月，Shamoon 2.0和StoneDrill的样本也被多次上传到沙特阿拉伯的在线多扫描防病毒引擎。

以下是StoneDrill恶意软件的工作原理：

StoneDrill被设计为一种服务，针对组织内连接到Windows域的所有系统。为了传播，恶意软件依赖于一系列硬编码的、以前被盗的用户名和密码，这些用户名和密码属于目标域的管理员。

一旦感染，StoneDrill会自动生成一个自定义的雨刮器恶意软件模块，而无需连接到任何命令和控制服务器，从而使受感染的机器完全无法运行。

StoneDrill雨刷恶意软件还包括以下特征：

新的规避技术

StoneDrill具有令人印象深刻的逃避检测和避免沙箱执行的能力。与Shamoon不同，StoneDrill在安装过程中不使用磁盘驱动程序。

相反，StoneDrill依赖于将数据擦除模块的内存注入受害者的首选浏览器。

StoneDrill还使用Visual Basic脚本来运行自删除脚本，而Shamoon没有使用任何外部脚本。

后门能力

与Shamoon一样，StoneDrill还包括用于间谍活动的后门功能，以及屏幕截图和上传功能。

卡巴斯基的研究人员确定了至少四台指挥与控制（CC）服务器，攻击者利用这些服务器监视和窃取未知数量目标的数据。

此外，StoneDrill使用命令和控制通信与恶意软件交互，而不是像2017年1月分析的Shamoon攻击那样使用“杀戮时间”，该攻击没有实施任何CC交流。

勒索软件组件

除了清除功能，新的恶意软件还包括勒索软件组件。

然而，该功能目前处于非活动状态，但攻击者可以在未来的攻击中利用该平台的这一部分将受害者扣为人质，以获取经济或理想利益。

与Shamoon 2.0一样，据报道StoneDrill于2016年10月和11月编译。

虽然StoneDrill主要针对沙特阿拉伯的组织，但卡巴斯基的研究人员也在欧洲发现了恶意软件受害者，这意味着攻击者可能正在扩大他们的活动范围。