针对以哈网络战Wiper攻击武器的详细分析

原文首发出处：

https://xz.aliyun.com/t/13961

先知社区 作者：熊猫正正

随着全球网络安全战的爆发，各种Wiper类型的恶意软件被大量应用到了国与国之间的网络战，成为网络战的重要攻击武器，专门针对敌对国的基础设施进行网络攻击行动，破坏敌国的各种关键基础设施，此前俄乌网络战的期间就使用了大量的Wiper攻击武器进行网络攻击。

此前Google安全团队发布了以色列与哈马斯网络战争相关报告，报告下载链接：

https://services.google.com/fh/files/misc/tool-of-first-resort-israel-hamas-war-cyber.pdf，有兴趣的朋友可以下载研究一下，同时提供了相关的IOCS，IOCS链接：

https://github.com/google/threat-team/tree/main/2024/2024-02-14-tool-of-first-resort-israel-hamas-war-cybert，笔者针对以哈网络战中使用的几种Wiper攻击武器进行了详细分析。

2.1 CHILLWIPE Wiper恶意软件

CHILLWIPE恶意软件是一款SH脚本类型的攻击样本，主要针对Linux系统，伪装成F5漏洞更新程序，如下所示：

删除系统包含的文件，如下所示：

最后重启系统。

2.2 COOLWIPE Wiper恶意软件

COOLWIPE恶意软件是一款使用C#编写的NET类型的攻击样本，如下所示：

点击Update按钮之后，会在系统目录下生成一个恶意软件，如下所示：

2.3 DUNE BiBi Wiper恶意软件

DUNE BiBi Wiper恶意软件包含Windows和Linux两个平台的攻击样本，笔者分别对这两个平台攻击样本进行详细分析。

2.3.1 Windows平台恶意软件

判断是否带有参数，参数为系统目录路径，如果带参数，则遍历参数目录下的文件，如下所示：

相关命令，如下：

cmd.exe /c vssadmin delete shadows /quIet /all

cmd.exe /c wmic shadowcopy delete

cmd.exe /c bcdedit /set {default} bootstatuspolicy ignoreallfailures

cmd.exe /c bcdedit /set {default} recoveryenabled no

遍历目录下的文件，重命名文件并损坏文件，通过写入与目标文件长度相同的随机数据替换原文件内容，如下所示：

2.3.2 Linux平台恶意软件

Linux平台DUNE BiBi Wiper恶意软件的功能与Windows平台的类似，恶意样本运行之后，如下所示：

通过上面的分析，可以发现Wiper类型的攻击样本与勒索类型的攻击样本非常相似，区别在于勒索类型的攻击样本按特定的方式和黑客的密钥加密文件，加密后的文件可以通过黑客的私钥解密，同时会留下勒索提示信息文件供受害者联系，交赎金之后提供解密工具解密文件，但大部分Wiper类型的攻击样本，主要作用就是破坏系统文件，通过直接删除或擦除改写磁盘系统文件内容达到破坏主机系统文件的目的，不要求支付赎金，也不会生成勒索提示信息文件，被破坏的系统文件一般也很难恢复。

未来可能还会有更多的国与国之间会发起网络安全战，这些网络安全战中Wiper攻击武器起到了至关重要的作用，同时也是网络安全战最重要的攻击武器，通过些攻击武器可以破坏敌对国家的重要基础设施。

恶意软件、勒索、APT、黑产明年仍然是全球企业面临的最大的安全威胁，同时也是全球网络犯罪的最主要经济来源，是最需要安全厂商密切关注和研究的方向，未来攻击者仍然会不断的开发新的恶意软件，研究各种新的攻击技术，使用新的攻击手法，进行更复杂的攻击活动，这将会不断增加安全威胁分析和情报人员分析溯源应急响应的难度，安全研究人员需要不断提升自己的安全能力，更好的应对未来各种威胁挑战，安全对抗会持续升级，这是一个长期的过程，也正如笔者一直说的，做安全不是一个结果，做安全是一个过程，因为永远没有结果，各种网络安全威胁会不断变化和升级，我们需要快速应对这些威胁。