SentinelLabs在伊朗火车系统攻击事件中，发现前所未见的资料抹除程式

在今年的7月9日，伊朗的火车系统遭到骇客入侵，骇客变更了火车站的资讯显示系统，向大众宣布火车因网络攻击而误点了，同时要求乘客打电话去投诉，但屏幕上显示的投诉电话是伊朗最高领袖阿里·哈米尼（Ayatollah Ali Khamenei）的办公室。美国资安业者SentinelLabs着手分析此一攻击事件之后，发现骇客使用了前所未见的资料抹除程式Meteor。

image: Iran International English

SentinelLabs表示，这起新闻最初并没有引起太多的关注，因为伊朗-把过错推给网络攻击，之后再澄清的事件并不罕见，不过他们还是调查了一下，才发现一个陌生的攻击手法与新的Meteor资料抹除程式，于是把此一攻击命名为MeteorExpress。

与勒索软件攻击不同，资料抹除程式并非为了获利，而是删除电脑上的档案以让它无法启动，其目的通常是为了造成混乱。

分析显示，骇客先解压缩一个由密码保护的RAR档案，再将相关档案新增到伊朗铁路网络可存取的网络共享中，继之配置Windows群组原则以执行一个setup批次档案，将这些档案复制到装置上并执行。

此一批次档会先检查装置上是否安装了卡巴斯基防毒软件，没有才会继续执行，继之将装置与网络断开，于Windows Defender中排除恶意程式，把各种恶意程式的执行档与批次档汲取至系统上，清除Windows的事件纪录档，删除AnalyzeAll任务，再将档案系统快取刷新到磁盘上，最后才执行资料抹除程式Meteor、可锁住装置的MBR locker程式，并锁住屏幕。

当程序完成之后，受害装置就无法再启动了。

图片来源_SentinelLabs

研究人员指出，整体工具包非常的零散，例如批次档案衍生其它批次档案，不同的RAR档案混杂着执行档，且就算是预期的操作也被拆分著3个酬载。不过，Meteor拥有完整功能，在此次的攻击中仅用到少数的功能，它还具备可变更所有用户密码、关闭恢复模式、建立工作排程，或者是建立程序与执行命令等能力。

SentinelLabs认为，主导MeteorExpress的骇客是一个中级玩家，不同元件的品质参差不齐，且团队内的分工可能不是很协调，很可能只是一个不择手段的佣兵团队，攻击目的只是为了瘫痪受害者的系统，而且让管理者无法轻易复原。