卡巴斯基實(shí)驗(yàn)室的IT安全研究人員發(fā)現(xiàn)一款新的惡意軟件——“StoneDrill”。這款惡意軟件針對(duì)中東的石油和天然氣公司以及歐洲的目標(biāo)起網(wǎng)絡(luò)攻擊。

“StoneDrill”軟件可以繞過(guò)防病毒檢測(cè)，并銷毀感染設(shè)備上的所有內(nèi)容?？ò退够鶎?shí)驗(yàn)室發(fā)現(xiàn)，惡意攻擊者利用StoneDrill攻擊沙特阿拉伯。這一點(diǎn)與Shamoon軟件相似。

　　StoneDrill 與 Shamoon之間的聯(lián)系紛繁復(fù)雜：

StoneDrill的構(gòu)建方式與Shamoon 2.0類似，而且StoneDrill與Shamoon的開(kāi)發(fā)人員的思維傾向和編程風(fēng)格也都很相似。但StoneDrill要比Shamoon復(fù)雜得多，而且二者使用的是不同的代碼庫(kù)。即使StoneDrill和Shamoon并未共享部分代碼，但專家發(fā)現(xiàn)Shamoon、 StoneDrill和NewsBeef（也被稱為Charming Kitten和Newscaster）這三個(gè)惡意軟件之間的風(fēng)格和組件也類似。

研究人員仍在調(diào)查感染過(guò)程。目前他們已確定StoneDrill采用了復(fù)雜的技術(shù)手段繞過(guò)安全應(yīng)用程序。雖然Shamoon在部署時(shí)使用驅(qū)動(dòng)程序，而StoneDrill卻利用內(nèi)存注入機(jī)制，將擦除模塊注入受害者的瀏覽器。但該擦除工具（Wiper）已通過(guò)新技術(shù)實(shí)現(xiàn)同時(shí)針對(duì)物理和邏輯驅(qū)動(dòng)器，并在擦除過(guò)程完成后重啟系統(tǒng)。

根據(jù)配置，此模塊使用隨機(jī)數(shù)據(jù)擦除以下一個(gè)可能的目標(biāo)：

使用設(shè)備路徑\.PhysicalDrive，擦除所有可訪問(wèn)的物理驅(qū)動(dòng)器。

使用設(shè)備路徑\.X:，擦除所有可訪問(wèn)的邏輯驅(qū)動(dòng)器。

遞歸擦除并刪除所有文件夾中的文件，除了所有可訪問(wèn)邏輯驅(qū)動(dòng)器上的“Windows”文件夾。

特別強(qiáng)調(diào)擦除磁盤root文件夾中名為““asdhgasdasdwqe%digits%”的文件。

卡巴斯基實(shí)驗(yàn)室的研究人員發(fā)現(xiàn)一個(gè)StoneDrill樣本，它是被專門設(shè)計(jì)用來(lái)在被感染的系統(tǒng)上創(chuàng)建后門。攻擊者開(kāi)發(fā)該樣本可能為了實(shí)現(xiàn)間諜目的。

專家在網(wǎng)絡(luò)間諜活動(dòng)中發(fā)現(xiàn)4個(gè)C&C服務(wù)器，這就意味著StoneDrill是使用C&C通信接收攻擊者的指令。

www.eservic [。] com
www.securityupdated [。] com
www.actdire [。] com
www.chromup [。] com

研究人員發(fā)現(xiàn)，StoneDrill與Charming Kitten使用的惡意軟件存在許多相似之處（代碼、C&C命名規(guī)范、后門命令和功能，以及Winmain簽名）。從這一點(diǎn)來(lái)看，StoneDrill可能是Charming Kitten惡意軟件的演變版。

目前尚不清楚StoneDrill如何傳遞給受害者。設(shè)備一經(jīng)感染，StoneDrill就會(huì)將自身注入受害者Web瀏覽器的內(nèi)存進(jìn)程，并使用兩個(gè)復(fù)雜的反仿真技術(shù)規(guī)避部署在受害者設(shè)備上的安全解決方案或產(chǎn)品。 之后，這款惡意軟件便開(kāi)始銷毀計(jì)算機(jī)的硬盤文件。另外，StoneDrill還作為后門運(yùn)作，顯然通過(guò)4個(gè)命令與控制服務(wù)器（C&C）執(zhí)行大規(guī)模間諜活動(dòng)，并監(jiān)控?cái)?shù)量不明的目標(biāo)。

卡巴斯基實(shí)驗(yàn)室全球研究與分析小組高級(jí)安全研究員Mohamad Amin Hasbini表示十分好奇StoneDrill 、 Shamoon、Charming Kitten這三個(gè)惡意軟件之間的異同。該研究員提出三種設(shè)想：

1、StoneDrill是Shamoon攻擊者部署的另一個(gè)擦除軟件嗎？

2、StoneDrill和Shamoon是否是兩個(gè)不同的惡意軟件，或者攻擊組織毫不相關(guān)，只是同時(shí)針對(duì)沙特阿拉伯的組織機(jī)構(gòu)發(fā)起攻擊？

3、或兩個(gè)組織是獨(dú)立的，只是目標(biāo)一致？

后者的可能性更大：就其Artifact（指軟件開(kāi)發(fā)過(guò)程的中間或最后工作產(chǎn)品,包括文檔、模型和程序。）來(lái)說(shuō)，雖然Shamoon嵌入阿拉伯語(yǔ)-也門（Arabic-Yemen）語(yǔ)言段，StoneDrill則嵌入大多數(shù)波斯語(yǔ)言段。地緣政治分析人員可能會(huì)快速斷定伊朗和也門就是伊朗沙特阿拉伯網(wǎng)絡(luò)攻擊的參與者。因?yàn)樵谏程匕⒗?，這類行動(dòng)的受害者眾多。但同時(shí)不能排除這些Artifact故意偽裝的可能性。”

雖然目前尚不清楚StoneDrill如何傳遞給受害者，考慮與其有眾多相似之處的Shamoon惡意軟件是通過(guò)把感染的文件發(fā)送給受害者，應(yīng)警惕StoneDrill也可能使用類似的手段感染不知情的用戶。

建議用戶忽略未知電子郵件，拒絕下載附件并點(diǎn)擊未知發(fā)送人發(fā)送的鏈接。減少受到StoneDril攻擊的可能性。