IBM раскрывает метод атаки вредоносного ПО Shamoon

Shamoon — вредоносное ПО, которое уже некоторое время находится в поле зрения экспертов по информационной безопасности. Вредоносное ПО, которое в основном атаковало объекты в странах Персидского залива, Shamoon злобно уничтожает жесткие диски с помощью основной загрузочной записи (MBR) и стирания данных. Известные атаки с участием Shamoon происходили с 2012 года и совсем недавно, в январе 2017 года. Хотя механизмы самой вредоносной программы и то, как она атакует систему, были раскрыты, фактическая точка входа до сих пор остается загадкой.

По крайней мере, так было до недавнего времени, когда группа IBM X-Force Incident Response and Intelligence Services (IRIS) опубликовала отчет с подробным описанием своего исследования. В этом отчете команда IBM подробно описывает, как заражение Shamoon вызвано «документом, содержащим вредоносный макрос, который после утверждения для выполнения активировал связь C2 с сервером злоумышленника и удаленной оболочкой через PowerShell».

Макрос, о котором идет речь, обычно отправляется по электронной почте, а именно в фишинговом электронном письме. Причина, по которой эта довольно очевидная точка входа не была обнаружена ранее, связана с тем, как злоумышленники развернули Shamoon. Под этим я подразумеваю, что вместо того, чтобы сразу заражать машину, хакеры будут проводить тщательную разведку машины отправить Shamoon на жесткий диск. Графика из отчета IBM объясняет весь процесс, как показано ниже:

Эта атака имеет тенденцию идти вразрез с обычными методами заражения. Возьмем, к примеру, программы-вымогатели. Как только вредоносный.exe-файл открывается, вредоносное ПО переходит к атаке файлов или самого жесткого диска. В этом случае субъекты угрозы проводят большую разведку после заражения, прежде чем развертывать крайне разрушительное вредоносное ПО. IBM смогла прийти к такому выводу после изучения огромного количества случаев, когда Shamoon был развернут с 2012 года. Только тогда была установлена связь между первоначальным макросом и гораздо более поздним заражением Shamoon.

Теперь, когда точка входа определена, что должны сделать специалисты по кибербезопасности, чтобы предотвратить заражение Shamoon? Помимо очевидного, а именно обучения сотрудников идентификации целевого фишинга, исследователи IBM указывают на свои выводы как на путь к защитным мерам. В интервью SC Media Кевин Альбано, глобальный руководитель отдела анализа угроз в IBM X-Force IRIS, сказал, что обнаружение методов, которые используют хакеры, поможет организациям «определить, подверглись ли они воздействию, что раньше было невозможно, потому что индикаторы до сих пор не публиковались».

Хотя атаки Shamoon были изолированы от стран Персидского залива, мы все знаем, что вредоносное ПО быстро распространяется (особенно через Даркнет). Будьте бдительны, независимо от того, в каком регионе мира вы проводите кибербезопасность.