近日,一种复杂新型恶意软件Hermetic Wiper(又名KillDisk.NCV)的攻击再一次在两国战争中受到人们的关注。该恶意软件利用Hermetica Digital Ltd证书进行签名,并调用磁盘分区合法驱动程序,绕开杀毒软件检测,破坏Windows电脑的MBR分区,影响系统正常启动,危害巨大。
病毒信息概况与样本分析
程序运行后首先提升SeBackupPrivilege权限;
之后获取主机处理器的位数,从PE资源段中释放对应的驱动文件;
以服务的方式加载驱动,并更改活跃状态的系统vss服务启动类型SERVICE_DISABLED从而禁用vss服务;
在c:/windows/system32/driver目录下释放四个字母命名的驱动程序xrdr.sys并加载驱动;
创建多个线程并使用长时间的sleep来绕过沙箱的监控时间;
xrdr.sys驱动程序同样具有数字签名但已经过期。其数字签名隶属于成都某科技有限公司,从驱动的编译时间和签名时间、PDB等信息可以推断驱动文件很可能是白文件,属于驱动的白利用。该驱动程序是 EaseUS Partition Master 软件中的合法驱动程序;
HermeticWiper,exe进程占用了较高的CPU使用率,并向驱动发送IOCTL控制码,占用很高的I/O使用率;
当手动进行重启后,由于HermeticWiper,exe更改了系统底层系统VBR,系统已经无法进行正常开机。
防范要求
一、持续关注Hermetic Wiper恶意软件相关信息,提高网络安全防范意识,避免点击不明邮件、未知链接等,谨慎下载运行可疑程序。
二、进行系统安全加固,关闭不必要端口,安装杀毒软件,更新病毒库,对主机进行病毒查杀,并开启实时监控功能,及时备份主机内重要文件。
三、加强安全监测,做好应急处置准备,发生重大网络安全事件及时处置并报告。
