在Shamoon惡意軟件的詳細(xì)分析報(bào)告中，研究人員已經(jīng)發(fā)現(xiàn)并確定了用來散播Shamoon的服務(wù)器。Shamoon惡意軟件的活躍度較高，在沙特阿拉伯和伊朗網(wǎng)絡(luò)戰(zhàn)中正發(fā)揮著巨大的作用。

Shamoon，這種病毒被注名為“W32.Disttrack”以及“W32.EraseMBR”，也被稱為Disttrack。Shamoon的主要能力是可以從受感染的設(shè)備上清除數(shù)據(jù)。執(zhí)行文件里包含了“wiper”字段，以及“ArabianGulf”字段。這一字段也曾在Flame病毒中出現(xiàn)過，F(xiàn)lame曾被認(rèn)為是由美國和以色列政府共同研發(fā)用以攻擊伊朗核能源部門的惡意攻擊軟件。

Shamoon惡意軟件于 2012年浮出水面，當(dāng)時(shí)感染了全球最大石油生產(chǎn)公司沙特阿美（Saudi Aramco）3萬個(gè)工作站，擦除了硬盤數(shù)據(jù)，使沙特阿美陷入恐慌。自那之后，攻擊者不斷完善該惡意軟件，持續(xù)攻擊沙特政府和行業(yè)的高價(jià)值目標(biāo)，最近一次攻擊發(fā)生在上個(gè)月。

目前，IBM X-Force事件響應(yīng)和情報(bào)服務(wù)（IRIS）團(tuán)隊(duì)的研究人員認(rèn)為，他們已經(jīng)破解了Shamoon操作人員使用的傳播技術(shù)。研究人員可能知道攻擊者如何讓惡意軟件進(jìn)入系統(tǒng)，這為IT經(jīng)理提供絕佳機(jī)會(huì)，以便IT經(jīng)理在Shamoon破壞數(shù)據(jù)之前發(fā)現(xiàn)是否存在感染問題。

首先，攻擊者會(huì)冒充受信任的人向目標(biāo)企業(yè)的員工發(fā)送電子郵件，并附加Word文檔，將其命名為簡(jiǎn)歷、健康保險(xiǎn)文件或密碼政策指南。例如，郵件消息可能顯示來自IT Worx（一家埃及軟件公司）或沙特阿拉伯商務(wù)部和投資部。

如果受害者打開附件，文件中的宏將執(zhí)行兩個(gè)Powershell腳本。第一個(gè)腳本會(huì)通過HTTP從139.59.46【.】154:3485/eiloShaegae1下載并執(zhí)行另一個(gè)Powershell腳本。第二個(gè)腳本使用VirtualAlloc庫調(diào)用創(chuàng)建內(nèi)存緩沖區(qū)，通過HTTP從45.76【.】128.165:4443/0w0O6獲取Shell代碼，將其復(fù)制到緩沖區(qū)，然后使用CreateThread執(zhí)行代碼。之后，該線程（Thread）會(huì)創(chuàng)建另一個(gè)緩沖區(qū)，通過HTTP用45【.】76.128.165:4443/0w0O6的PowerShell腳本填充緩沖區(qū)，并運(yùn)行。

IBM報(bào)告稱，“基于對(duì)惡意文件的觀察，我們發(fā)現(xiàn)后續(xù)的Shell會(huì)話可能與Metasploit的Meterpreter有關(guān)，可用來部署附加工具，并對(duì)三個(gè)與Shamoon相關(guān)的文件（ntertmgr32.exe、ntertmgr64.exe和vdsk911.sys）進(jìn)行前期部署。”

研究團(tuán)隊(duì)還識(shí)別了托管惡意可執(zhí)行文件，并用來實(shí)施攻擊的兩個(gè)Web域名。Ntg-sa.com模仿網(wǎng)站ntg.sa.com（沙特石油化工支持公司Namer Trading Group的域名），而maps-modon.club與沙特工業(yè)產(chǎn)權(quán)局（Saudi Industrial Property Authority）的域名 — maps.modon【.】gov.sa domain類似。

IBM建議，首先禁止來自這些域名和上述IP地址的連接，并掃描網(wǎng)絡(luò)，檢查是否有用戶被感染。通常，攻擊者在部署主要的Shamoon有效荷載之前，會(huì)使用這些被感染的設(shè)備進(jìn)行偵查并盜取憑證。

Shamoon繼續(xù)實(shí)施攻擊的可能性極大，因?yàn)橐晾逝c沙特阿拉伯之間似乎在通過惡意軟件博弈。伊朗指責(zé)沙特去年通過黑客事件導(dǎo)致多個(gè)石油工廠起火，而沙特阿拉伯則公開指責(zé)Shamoon出自伊朗之手。