這是一篇針對近期發現的 GigaWiper 惡意軟體的技術分析。對於初入行的工程師來說,最重要的一點是:不要被它「勒索軟體」的外殼給騙了。這類工具的真正目的不是為了拿錢,而是為了徹底摧毀目標系統。
什麼是 GigaWiper
GigaWiper 是一個針對 Windows 系統的後門程式(Backdoor),也就是攻擊者在進入系統後,用來遠端控制電腦的通道。它是由 Go 語言(Golang)編寫的,這讓它具有良好的跨平台移植性且執行效率高。
這款惡意軟體最危險的地方在於它是一個「工具箱」。攻擊者不需要每次安裝不同的程式,只要部署 GigaWiper,就可以根據需求選擇是要「監控」、「竊密」還是「毀滅」。
毀滅系統的三種手段
GigaWiper 內建了三種不同的摧毀方式,讓攻擊者可以根據目標環境選擇最有效的方法:
第一種是物理磁碟抹除。它直接對物理硬碟進行覆寫,並清除分區表(Partition Table,即定義硬碟如何劃分空間的地圖)。這種做法跳過了單個文件的刪除,直接從底層摧毀數據,幾乎不可能恢復。
第二種是偽裝勒索軟體。它會加密文件並更改副檔名為 .candy,甚至更改桌面壁紙發出警告。但關鍵在於,它在加密後會直接丟棄解密金鑰(Key),根本沒有保存。這是一種心理戰術,讓受害者以為只要付錢就能拿回資料,實際上資料早已永久消失。
第三種是針對 Windows 系統分區的覆寫。它會多次用不同的數據模式覆寫系統盤,讓作業系統直接崩潰且無法啟動。
除了毀滅,它還能做什麼
在決定摧毀電腦之前,GigaWiper 通常會先扮演間諜的角色。它具備完整的監控功能,包括截圖、螢幕錄影,以及開啟隱藏的 VNC 會話(VNC 是一種遠端桌面協定,允許攻擊者像操作自己的電腦一樣移動鼠標和輸入文字)。此外,它還能修改登錄檔(Registry)、管理服務以及清除 Windows 事件日誌(Event Logs)來掩蓋自己的足跡。
如何逃避偵測
為了在企業網路中生存,GigaWiper 採取了非常狡猾的偽裝策略:
偽裝成合法程序。它會創建一個名為 OneDrive Update 的排程工作,每分鐘執行一次,並將自己隱藏在 OneDrive 相關的登錄檔路徑下。
利用合法服務作為通信通道。一般的惡意軟體會連接到奇怪的伺服器,容易被防火牆攔截。但 GigaWiper 使用了企業常用的合法中間件,例如 RabbitMQ(訊息隊列)、Redis(快取數據庫)和 MinIO(對象存儲)。如果公司內部本來就在使用這些工具,安全設備很難將惡意流量與正常業務流量區分開來。
防火牆掩護。它在防火牆中創建的規則名稱被偽裝成 Microsoft.Windows.CloudExperienceHost,讓管理員在查看規則時以為是系統組件。
實務上的防禦建議
面對這種後門,單靠更新補丁(Patch)是沒用的,因為它不是利用單一漏洞,而是攻擊者進入系統後的後續動作。工程師應關注以下偵測信號:
監控異常排程。檢查是否有每分鐘執行一次且名稱可疑的 OneDrive Update 任務。
流量分析。留意普通員工工作站(Desktop)是否在與 RabbitMQ 或 Redis 伺服器進行異常通信,因為這些工具通常只應出現在伺服器端。
權限變更警報。注意是否有進程在非維護時間使用 takeown 或 icacls 指令嘗試獲取 Windows 啟動文件(如 bootmgr 或 ntoskrnl.exe)的所有權。
基礎設施加固。開啟 Windows 的篡改保護(Tamper Protection)防止防毒軟體被關閉,並確保擁有離線且不可篡改的備份,因為一旦 GigaWiper 觸發抹除指令,唯有備份能救命。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。