科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道Palo Alto Networks最新披露:Shamoon 2第二轮恶意攻击已被识破

Palo Alto Networks最新披露:Shamoon 2第二轮恶意攻击已被识破

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

Palo Alto Networks披露Shamoon 2第二轮恶意攻击,

来源:ZD至顶网安全频道2017-01-12 13:59:17

关键字: Palo Alto 恶意攻击

  • 评论
  • 分享微博
  • 分享邮件

——作者: Palo Alto Networks 威胁情报小组Unit 42工程师Robert Falcone

博文内容节选如下:

2016年11月,我们注意到一个与2012年Shamoon攻击相关的破坏性攻击再次出现,稍后我们在《Shamoon 2:Return of the Disttrack Wiper》博文中对此次攻击进行了详细介绍。该攻击以某个沙特阿拉伯组织为目标,并计划于2016年11月17日清空该系统。该博文发表后,我们发现了另一个类似但不同的有效载荷,用于攻击沙特的另一组织,并设置于2016年11月29日清空系统。这一最新攻击有可能严重影响其中一个主要针对擦除器(wiper)攻击的对策:虚拟桌面界面快照(Virtual Desktop Interface snapshots)。

这次攻击中使用的有效载荷与2016年11月17日的有效载荷非常相似,但在行为方面也稍稍表现出某些不同,而且包含了针对该新目标组织的特定硬编码帐户凭证。 这些硬编码帐户凭证能达到Windows对密码的复杂性要求,这表明攻击者已经通过此前的独立攻击获得了凭证,就如2016年11月17日的攻击那样。

这个案例最值得注意的是,它包含了华为官方文件中有关其虚拟桌面基础架构(Virtual Desktop Infrastructure, VDI)解决方案如FusionCloud的多个用户名及密码。

VDI解决方案可对已擦除系统加载快照功能,可保护系统免受Disttrack之类恶意软件的破坏。 现在Shamoon攻击者拥有这些用户名和密码,表明他们可能有计划侵入目标组织获得这些技术,以增强其破坏性攻击的影响力。 若此推断属实,这对攻击者而言是一个重要的进展,企业组织应考虑增添额外防御措施,以保护与其VDI部署相关的凭证。

目前,我们尚未弄清之前Shamoon攻击是如何获得凭证的, 我们也没有掌握这次攻击中所使用的相似但不同于Disttrack的新的有效载荷的传输细节。

如欲了解更多细节,敬请阅读博客全文: 

http://researchcenter.paloaltonetworks.com/2017/01/unit42-second-wave-shamoon-2-attacks-identified/

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    相关文章
    最新文章