Shamoon 2变体攻击虚拟产品 快照防御形同虚设

来自Palo Alto的研究人员发现Shamoon 2恶意软件的第二个变体针对虚拟化产品发动攻击，目的很可能是扩大攻击的影响并且让目标组织机构恢复文件变得更加困难。

Shamoon即Disttrack，它是一款磁盘删除恶意软件，在2012年因为损害了属于沙特阿拉伯石油和天然气公司Saudi Aramco的3.5万台电脑而广为人知。该Shamoon的变体Shamnoon 2近期针对波斯湾的多家组织机构发动攻击，包括沙特阿拉伯的民用航空综合管理局（GACA）。

研究人员发现了Shamnoon 2的两个变体，第一个变体被配置后在2016年11月7日（沙特阿拉伯工作日结束后）开始自动删除受感染系统。第二个变体在11月29日沙特阿拉伯当地时间凌晨1点30分（沙特阿拉伯多数组织机构员工基本都下班回家的时间）开始删除受感染系统。

第二个变体传播的有效负载跟第一个变体类似，但专家也发现了一些不同之处。跟第一次攻击一样，Shamnoon使用合法的域名账户凭证如用户和管理员的凭证在局域网进行传播。由于很多密码设置复杂，研究人员认为攻击者可能是从上次攻击中获取了凭证信息。

研究人员强调称Shamnoon 2变体中包含来自华为的虚拟产品也就是虚拟桌面基础架构如FusionCloud的凭证。从官方文档中可知，攻击者要么从上次攻击中收集的信息知道目标组织机构正在使用这些凭证，要么他们寄望于产品的默认凭证并未被修改。

研究人员指出，虚拟桌面基础架构解决方案能够通过加载被删除系统的快照抵御毁灭性恶意软件如Disttrack的攻击。另外，因为FusionCloud系统运行的是Linux操作系统，而这是仅适用于Windows的Disttrack恶意软件无法删除的，这可看作是对此类攻击的一种合理化应对措施。然而，如果攻击者能够通过账户凭证登录到虚拟桌面基础架构，那么攻击者就能够针对虚拟桌面基础架构部署以及快照手动实施毁灭性活动。