Destruktiv wiper malware har utviklet seg svært lite siden "Shamoon"-viruset lammet rundt 30,000 XNUMX klient- og serversystemer på Saudi Aramco mer enn 10 år siden. Likevel er det fortsatt en like sterk trussel som noen gang for bedriftsorganisasjoner, ifølge en ny studie.
Max Kersten, en malware-analytiker hos Trellix, analyserte nylig mer enn 20 viskerfamilier som trusselaktører har utplassert i ulike angrep siden begynnelsen av dette året – dvs. skadevare som gjør filer uopprettelige eller ødelegger hele datasystemer. Han presenterte et sammendrag av funnene sine på Black Hat Middle East & Africa-arrangementet på tirsdag under en "Wipermania"-økt.
En sammenligning av vindusviskere i naturen
Kerstens analyse inkluderte en sammenligning av de tekniske aspektene ved de forskjellige vindusviskerne i studien, inkludert paralleller og forskjeller mellom dem. For sin analyse inkluderte Kersten vindusviskere som trusselaktører brukte mye mot ukrainske mål, spesielt rett før Russlands invasjon av landet, samt mer generiske vindusviskere i naturen.
Analysen hans viste utviklingen av vindusviskere, siden Shamoon, er svært forskjellig fra andre typer skadevareverktøy. Der, for eksempel, skadevare som trusselaktører bruker i spionasjekampanjer har blitt stadig mer sofistikert og kompleks med årene, har viskere utviklet seg svært lite, selv om de forblir like destruktive som alltid. Mye av det har å gjøre med hvordan og hvorfor trusselaktører bruker dem, sier Kersten til Dark Reading.
I motsetning til spionprogrammer og annen skadelig programvare for målrettede angrep og nettspionasje, har motstandere lite insentiv til å utvikle ny funksjonalitet for å skjule vindusviskere på et nettverk når de først har klart å snike det inn der. Per definisjon jobber viskere for å slette eller overskrive data på datamaskiner og er derfor støyende og lett oppdaget når de først er lansert.
"Ettersom viskerens oppførsel ikke trenger å forbli ubemerket i seg selv, er det ingen reell insentiv for utvikling," sier Kersten. Det er vanligvis bare når skadelig programvare trenger å forbli skjult over en lengre periode at trusselaktører utvikler avanserte teknikker og utfører grundige tester før de distribuerer skadevare.
Men vindusviskere trenger ikke være så kompliserte, og heller ikke godt testet, bemerker han. For de fleste trusselaktører som bruker vindusviskere, "fungerer de nåværende metodene og krever lite eller ingen justeringer, annet enn å lage en ny visker som skal brukes i et neste angrep."
Kersten fant ut at en wiper kan være like enkelt som et skript for å fjerne alle filer fra disken, eller så komplisert som en flertrinns skadevare som endrer filsystemet og/eller oppstartsposter. Som sådan kan tiden for en malware-forfatter å utvikle en ny vindusvisker variere fra bare noen få minutter til en betydelig lengre periode for de mer komplekse vindusviskerne, sier han.
En nyansert trussel
Kersten tar til orde for at bedriftssikkerhetsteam har noen få faktorer i bakhodet når de evaluerer forsvar mot vindusviskere. Det viktigste er å forstå trusselaktørens mål og mål. Selv om vindusviskere og løsepengeprogramvare begge kan forstyrre datatilgjengeligheten, har løsepengevareoperatører en tendens til å være økonomisk motiverte, mens målene til en angriper som bruker wiper-malware har en tendens til å være mer nyanserte.
Kerstens analyse viste for eksempel at aktivister og trusselaktører som jobbet til støtte for strategiske nasjonalstatsinteresser var de som hovedsakelig satte inn viskere i nettangrep i år. I mange av angrepene rettet trusselaktører seg mot organisasjoner i Ukraina, spesielt i perioden rett før Russland invasjonen av landet i februar.
Eksempler på vindusviskere som trusselaktører brukte i disse kampanjene inkluderte WhisperGate og HermeticWiper, som begge ble utgitt som løsepengevare, men faktisk skadet Master Boot Record (MBR) på Windows-systemer og gjorde dem ubrukelige.
Andre vindusviskere som angripere satte inn mot mål i Ukraina i år inkluderer RURansom, IsaacWiper og CaddyWiper, et verktøy som Russlands beryktede Sandworm-gruppe forsøkte å distribuere på Windows-systemer knyttet til Ukrainas strømnett. I mange av disse angrepene ser det ut til at trusselaktørene som faktisk utførte dem, har hentet viskerne fra forskjellige forfattere.
En annen faktor som sikkerhetsresponderere må huske på er at viskere ikke alltid sletter filer fra målsystemet; noen ganger kan vindusviskere lamme et målsystem ved å overskrive filer også. Dette kan gjøre en forskjell når du prøver å gjenopprette filer etter et viskerangrep.
"Sletting av en fil etterlater ofte filen på disken som den er mens den markerer størrelsen som gratis å bruke for nye skriveoperasjoner,” skrev Kersten i et blogginnlegg om forskningen sin, utgitt i takt med Black Hat-foredraget hans 15. november. Dette gjør det mulig å gjenopprette filer i mange tilfeller, sa han.
Når et viskerverktøy ødelegger filer ved å overskrive dem, kan filene være vanskeligere å gjenopprette. I blogginnlegget pekte Kersten på WhisperGate-viskeren, som korrumperte filer ved å gjentatte ganger overskrive den første megabyten av hver fil med 0xCC. Andre vindusviskere som RURansom bruker en tilfeldig krypteringsnøkkel for hver fil mens noen vindusviskere overskriver filer med kopier av selve skadelig programvare. I slike tilfeller kan filene forbli ubrukelige.
Den viktigste takeawayen er at organisasjoner må forberede seg på vindusviskere på omtrent samme måte som de forbereder seg på ransomware-infeksjoner, sier Kersten. Dette inkluderer å ha sikkerhetskopier på plass for alle kritiske data og testing av gjenopprettingsprosesser ofte og i stor skala.
"Nesten hver visker er i stand til å ødelegge et system til det punktet at enten alle filer går tapt eller maskinen ikke vil fungere ordentlig lenger.," bemerker han. "Siden vindusviskere er enkle å bygge, kan angripere bygge en ny daglig om nødvendig."
Så fokuset for organisasjoner er på motstanderens taktikk, teknikker og prosedyrer (TTP-er) - for eksempel sidebevegelser - i stedet for skadelig programvare i seg selv.
"Det er bedre å ruste seg for støt [fra et vindusviskerangrep] når det ikke er noen," sier Kersten, "enn å bli truffet med full kraft uten forvarsel."
