如今,人類信息技術的向前發展, “千里眼、順風耳”的神話早已成為現實,信息戰更是成為現代戰爭的焦點之一。近日,一種復雜新型惡意軟件Hermetic Wiper(又名KillDisk.NCV)的攻擊再一次在兩國戰爭中受到人們的關注。該惡意軟件利用Hermetica Digital Ltd證書進行簽名,并調用磁盤分區合法驅動程序,繞開殺毒軟件檢測,破壞Windows電腦的MBR分區,影響系統正常啟動,危害巨大。
如果說網絡攻擊在國家間是一場沒有硝煙的戰爭,那么對于企業而言,網絡攻擊就更是形同生與死的抗爭。網絡攻擊中可能存在隱秘性攻擊,如竊取情報、破壞重要數據、癱瘓通信系統等一系列問題。
天融信從邊界出發,逐步筑牢多維度網絡安全防線,構建邊界到終端的立體化防御體系,并提供全面的安全保護,有效阻止該惡意軟件蔓延。經驗證,天融信下一代防火墻、EDR、病毒過濾網關以及僵木蠕檢測系統等系列產品均可精確檢測并查殺該惡意軟件。
病毒信息概況與樣本分析

下滑查看樣本完整分析▽▽▽
程序運行后首先提升SeBackupPrivilege權限;

之后獲取主機處理器的位數,從PE資源段中釋放對應的驅動文件;

以服務的方式加載驅動,并更改活躍狀態的系統vss服務啟動類型SERVICE_DISABLED從而禁用vss服務;

在c:/windows/system32/driver目錄下釋放四個字母命名的驅動程序xrdr.sys并加載驅動;

創建多個線程并使用長時間的sleep來繞過沙箱的監控時間;

xrdr.sys驅動程序同樣具有數字簽名但已經過期。其數字簽名隸屬于成都某科技有限公司,從驅動的編譯時間和簽名時間、PDB等信息可以推斷驅動文件很可能是白文件,屬于驅動的白利用。該驅動程序是 EaseUS Partition Master 軟件中的合法驅動程序;

HermeticWiper,exe進程占用了較高的CPU使用率,并向驅動發送IOCTL控制碼,占用很高的I/O使用率;

當手動進行重啟后,由于HermeticWiper,exe更改了系統底層系統VBR,系統已經無法進行正常開機。

邊界側 雙重防御無遺漏
一重防御
作為整體防毒的第一道防線,天融信過濾網關針對多種協議流量進行病毒檢測過濾,有效防御通過文件、郵件、網頁等方式捆綁傳播的病毒于內網之外,實現主動性、持續性、合規性的病毒防御,快速檢測并處置各類惡意軟件或代碼。
針對HermeticWiper惡意軟件,天融信過濾網關檢測處置分為三步,即可提供持續性不間斷的病毒檢測處置服務,并輔以實時提示告警、病毒爆發報警、詳細的日志、可視化報表。
一、升級到最新病毒特征庫

二、啟用病毒掃描服務

三、選擇病毒處理方式

已購買天融信過濾網關系統(TopFilter)的客戶,可通過以下路徑升級最新病毒庫。
病毒庫版本號:kav-v2022.03.01.tir;
下載地址:ftp://ftp.topsec.com.cn/防病毒網關(Top-Filter)/病毒庫脫機升級包/檢測病毒庫;
二重防御
天融信僵尸網絡木馬和蠕蟲監測與處置系統(TopTVD),集攻擊檢測、DDoS檢測、僵木蠕檢測、惡意程序檢測、APT檢測、WEB安全檢測、虛擬沙箱、元數據提取、流量分析九大功能為一體;首創應用TAI-1智慧引擎+虛擬沙箱技術,擁有嵌入式威脅情報庫;實現多種威脅全面檢測,打破了傳統特征庫匹配技術束縛,是發現未知威脅特別是APT攻擊的有力工具。
目前,天融信僵尸網絡木馬和蠕蟲監測與處置系統已可以針對此惡意軟件攻擊進行安全檢測。已購買天融信僵尸網絡木馬和蠕蟲監測與處置系統(TopTVD)的客戶,可以升級威脅情報庫進行有效監測防護。
威脅情報庫版本號:ti-v2022.03.01.001.tor;
下載地址:ftp://ftp.topsec.com.cn/天融信下一代入侵防御系統(NGIDP)/威脅情報庫/ ti-v2022.03.01.001.tor。


終端側 全方位保護防篡改
在終端側,天融信EDR通過預防、防御、檢測、響應的一體化安全體系賦予終端威脅防御能力,通過持續地防御和檢測分析,更精準地識別各種勒索病毒對終端的入侵,產品結合多維度病毒防御、系統加固、微隔離及主動響應等技術,全方位防御病毒。
針對HermeticWiper惡意軟件,當該惡意軟件未被觸發,天融信EDR通過病毒掃描即可對其進行精準識別與處理;當該惡意軟件被觸發,則會對系統目錄進行篡改破壞磁盤,天融信EDR客戶端系統加固技術可對系統關鍵位置進行重點監控,防止被惡意篡改,清除或破壞系統數據。同時,若該惡意軟件通過U盤、郵件、網頁、通信工具等方式傳播,天融信EDR則可以通過U盤保護、郵件保護、惡意網站攔截、文件實施監控等多維度病毒防御,全面杜絕惡意軟件落地終端。

天融信EDR獲取方式:
天融信EDR企業版試用:可通過天融信各地分公司獲取(查詢網址:http://www.pandorauk.cn/contact/)
天融信EDR單機版下載地址:http://edr.topsec.com.cn
針對安全事件頻發,天融信建議可通過以下幾個方法進行防范:
不要打開來歷不明的網頁、電子郵件鏈接或附件,這些很可能隱藏著大量的病毒、木馬,一旦打開,會自動進入電腦并隱藏在電腦中,造成文件丟失損壞甚至導致系統癱瘓;
定期備份電腦中的重要文件資料,以防止在意外情況下造成的文件信息丟失問題;
操作系統密碼采用高強度組合,同時不定期的更換密碼,如果密碼一成不變的話,極易引起系統的安全性問題;
及時修復系統漏洞,漏洞就像是計算機脆弱的后門,病毒和惡意軟件可以通過這個脆弱的后門乘虛而入。