เมื่อวันที่ 23 กุมภาพันธ์ เพื่อนของเราที่ Symantec และการวิจัยของ ESET ได้ทวีตแฮชที่เกี่ยวข้องกับการโจมตีแบบ Wiper ในยูเครน รวมถึงแฮชที่ไม่เปิดเผยต่อสาธารณะในขณะที่เขียนบทความนี้ เราเริ่มวิเคราะห์มัลแวร์ Wiper ตัวใหม่นี้ โดยเรียกมันว่า 'HermeticWiper' โดยอ้างอิงถึงใบรับรองดิจิทัลที่ใช้ในการลงนามในตัวอย่าง ใบรับรองดิจิทัลออกภายใต้ชื่อบริษัท 'Hermetica Digital Ltd' และมีผลเมื่อเดือนเมษายน 2021 ในขณะนี้ เราไม่พบไฟล์ที่ถูกต้องตามกฎหมายใดๆ ที่ลงนามด้วยใบรับรองนี้ เป็นไปได้ว่าผู้โจมตีใช้บริษัทเชลล์หรือจัดสรรบริษัทที่เลิกใช้แล้วเพื่อออกใบรับรองดิจิทัลนี้ ลายเซ็นดิจิตอล HermeticWiper นี่เป็นความพยายามขั้นต้นในการวิเคราะห์ตัวอย่างแรกที่มีให้ของ HermeticWiper เราตระหนักดีว่าสถานการณ์ในยูเครนกำลังพัฒนาอย่างรวดเร็ว และหวังว่าเราจะสามารถมีส่วนเล็กๆ ของเราในการวิเคราะห์ร่วมกันได้ บทวิเคราะห์ทางเทคนิค เมื่อมองแวบแรก HermeticWiper ดูเหมือนจะเป็นแอปพลิเคชันที่เขียนขึ้นเองโดยมีฟังก์ชันมาตรฐานน้อยมาก ตัวอย่างมัลแวร์มีขนาด 114KBs และประมาณ 70% ของมัลแวร์นั้นประกอบด้วยทรัพยากร นักพัฒนาซอฟต์แวร์กำลังใช้เทคนิคที่ทดลองและทดสอบแล้วของมัลแวร์ที่ปัดน้ำฝน โดยใช้ไดรเวอร์การจัดการพาร์ติชั่นที่ไม่เป็นพิษเป็นภัย เพื่อดำเนินการส่วนประกอบที่สร้างความเสียหายมากขึ้นของการโจมตี ทั้ง Lazarus Group ( Destover ) และ APT33 ( Shamoon ) ใช้ประโยชน์จาก Eldos Rawdisk เพื่อให้ผู้ใช้เข้าถึงระบบไฟล์ได้โดยตรงโดยไม่ต้องเรียกใช้ Windows API HermeticWiper ใช้เทคนิคที่คล้ายกันโดยใช้ไดรเวอร์อื่นในทางที่ empntdrv.sys. ทรัพยากร HermeticWiper ที่มีไดรเวอร์ EaseUS Partition Manager สำเนาของไดรเวอร์เป็นทรัพยากรที่บีบอัดด้วย ms มัลแวร์ปรับใช้หนึ่งในสิ่งเหล่านี้ขึ้นอยู่กับเวอร์ชันของระบบปฏิบัติการ bitness และการเปลี่ยนเส้นทาง SysWow64 การเลือกทรัพยากรไดรเวอร์ EaseUS ไดรเวอร์ EaseUS ที่ไม่เป็นพิษเป็นภัยถูกนำไปใช้ในทางที่ผิดเพื่อแบ่งเบาภาระงานหนักเมื่อต้องเข้าถึง Physical Drives โดยตรง...
Read More