E安全1月12日讯 Palo Alto Networks的研究人员发现Shamoon 2恶意软件的第二个变种，针对虚拟化产品展开攻击。

Shamoon，这种病毒被注名为“W32.Disttrack”以及“W32.EraseMBR”，也被称为Disttrack。Shamoon的主要能力是可以从受感染的设备上清除数据。执行文件里包含了“wiper”字段，以及“ArabianGulf”字段。这一字段也曾在Flame病毒中出现过，Flame曾被认为是由美国和以色列政府共同研发用以攻击伊朗核能源部门的恶意攻击软件。2012年，Shamoon首次被发现对沙特阿拉伯的目标企业展开攻击，其中的受害者，包括石油巨头阿美石油公司（Saudi Aramco）。

在针对阿美石油公司的攻击中，Shamoon清除了超过3万台计算机上的数据，并用一张焚烧美国国旗的图片改写了硬盘的主引导记录（Master Boot Record，MBR）

卡巴斯基实验室首次发现这款恶意软件，并分析了威胁的一些实例。

Shamoon的分析人员Seculert发现，该恶意软件还有能力改写设备的MBR。将受感染的计算机变得无法使用之前，Shamoon会收集受害者的数据，窃取信息，从Windows计算机的用户（Users）、文件和设置（Documents and Settings）、System32/Drivers和System32/Config文件夹中获取数据，并将数据发送至相同内网上的另一台受感染的计算机。

去年12月，Palo Alto Networks和赛门铁克的恶意软件研究人员发现Shamoon变种，将其称之为“Shamoon 2”。攻击者利用该变种对沙特阿拉伯民用航空管理局（Saudi Arabia’s General Authority of Civil Aviation，GACA）发起有针对性的攻击。

赛门铁克报告称，“Shamoon在四年沉寂之后突然回归，其原因不明。但是，凭借极具破坏性的有效载荷，很显然，攻击者希望目标对它刮目相看。”

Palo Alto Networks发布分析报告表示，“上周，威胁情报小组Unit 42发现Disttrack新样本被用来实施升级版攻击。这起攻击的受害者至少包含一个沙特阿拉伯组织机构，这与Shamoon攻击的初始目标符合。似乎，新Disttrack样本集中实施破坏，因为这些样本配置了不可操作的命令与控制服务器，报告并设定于2016年11月17日20:45开始擦除数据。新Disttrack样本与Shamoon还存在另一相似之处，攻击时间为沙特阿拉伯的工作周结束之时（他们的工作时间从周日到周四），这款恶意软件可能在整个周末进行散播。Shamoon攻击发生在“吉庆夜”（Lailat al Qadr，穆斯林国家一年之中最神圣的夜晚）。”

Shamoon 2的第二个变种经配置开始在11月29日凌晨1:30（沙特阿拉伯时间）清除被感染系统的数据，这个时间段，目标机构的员工可能在家休息。

经专家分析，Shamoon 2的第一个变种进行了默认配置，在沙特阿拉伯当地时间11月17日晚上8:45执行磁盘清除操作。考虑到沙特阿拉伯的工作日是从周日到周四，攻击者设法利用空档，将攻击效果最大化。

两个变种的有效载荷相似，但专家经过分析后发现存在不同之处。

Shamoon 2的第二个变种包含华为虚拟产品凭证，针对的目标是虚拟桌面基础架构（Virtual Desktop Infrastructure，VDI）产品，例如华为云计算解决方案FusionCloud。

虚拟机感染Disttrack Wiper后无法引导

这种情况表明，攻击者意识到目标机构在使用这款虚拟化产品。黑客使用产品官方文档中记录的默认凭证，这意味着黑客希望目标机构未做改动。专家表示，威胁攻击者可能访问了托管基础架构的设备。

Palo Alto Networks发表博文表示，“VDI解决方案能通过加载被抹系统的快照，以此保护系统免遭破坏性恶意软件（如Disttrack）破坏。此外，因为FusionCloud系统运行的是Linux操作系统， Windows Disttrack恶意软件不易清除它的数据，这可以被看作是应对Shamoon这类攻击的合理对策。”

“但是，如果攻击者能使用账号凭证登录VDI管理界面，他们便能对VDI部署和快照展开破坏活动。”

研究人员发现，威胁使用的通信模式没有配置命令与控制服务器（C2），该模块在配置内完全缺乏C2 服务器的IP地址或域名。