據外媒報導，網路安全公司SentinelOne的研究人員在一份新報告中重建了最近對伊朗火車系統的網路攻擊並發現了一種新的威脅因素–他們將其命名為MeteorExpress–這是一種以前從未見過的wiper。

7月9日，當地媒體開始報導針對伊朗火車系統的網路攻擊，駭客在火車站的顯示幕上塗鴉以要求乘客撥打伊朗最高領袖哈梅內伊辦公室的電話號碼”64411″。

火車服務中斷僅一天之後，駭客就關閉了伊朗運輸部的網站。 據路透社報導，在網路攻擊目標成為道路與城市發展部的電腦后，該部門的入口網站和副門戶網站都發生了癱瘓。

SentinelOne首席威脅分析師Juan Andres Guerrero-Saade在他的調查中指出，襲擊背後的人將這種從未見過的wiper稱為Meteor並在過去三年開發了它。

Guerrero-Saade指出：”目前，我們還無法將這一活動跟先前確定的威脅組織或其他攻擊聯繫起來。 “他補充稱，多虧了安全研究員Anton Cherepanov和一家伊朗反病毒公司，他們才得以重建這次攻擊。” 儘管缺乏具體指標的妥協，我們能恢復在帖子中描述的大部分攻擊元件以及他們錯過的額外元件。 在這個關於火車停站和油嘴滑舌的網路巨魔的離奇故事背後，我們發現了一個陌生攻擊者的指紋。 ”

Guerrero-Saade表示，Padvish安全研究人員的早期分析是SentinelOne重建的關鍵，同時”恢復的攻擊者偽造物包括更長的元件名稱清單”。

“攻擊者濫用Group Police來分發cab文件進行攻擊。 整個工具包由批處理文件組合而成，這些批處理文件協調了從RAR檔案中刪除的不同元件，”Guerrero-Saade解釋道。

“檔案用攻擊者提供的Rar.exe解壓，密碼為’hackemall’。 攻擊元件是按功能劃分的：Meteor基於加密配置加密文件系統，nti.exe破壞MBR，mssetup.exe則鎖定系統。 ”

SentinelOne發現，大多數攻擊是通過一組批處理檔嵌套在各自的元件旁邊並在連續執行中連結在一起。

該批檔通過伊朗鐵路網共用的CAB檔複製了最初的部件。 在那裡，批處理檔使用自己的WinRAR副本從而從三個額外的檔案檔解壓額外的元件，這裡使用了一個精靈寶可夢主題的密碼”hackemall”，這也是在攻擊期間在其他地方引用的。

“此時，執行開始分裂成其他腳本。 第一個是『cache.bat』，它專注於使用Powershell清除障礙併為後續元素做好準備。 “Guerrero-Saade說道，”‘cache.bat’執行三個主要功能。 首先，它將斷開受感染設備跟網路的連接。 然後它檢查機器上是否安裝了卡巴斯基殺毒軟體，在這種情況下它會退出。 最後，『cache.bat』將為其所有元件創建Windows Defender排除並有效地掃清了成功感染的障礙。 ”

報告解釋稱，這個特定的腳本對重建攻擊鏈具有指導意義，因為它包括一個攻擊元件清單，能讓研究人員可以搜索特定的東西。

在部署了兩個批處理檔，機器會進入無法引導並清除事件日誌的狀態。 在一系列其他操作之後，update.bat將調用”msrun.bat”，它將”Meteor wiper executable as a parameter”。

Guerrero-Saade指出，另一個批處理檔msrun.bat在一個螢幕鎖和Meteor wiper的加密配置中移動。 名為”mstask”的腳本創建了一個計劃任務，然後設置它在午夜前5分鐘執行Meteor wiper。

“整個工具包存在一種奇怪的分裂程度。 批處理檔生成其他批處理檔，不同的rar檔案包含混雜的可執行檔，甚至預期的操作被分成三個有效載荷：Meteor清除文件系統、MSInstall .exe鎖定使用者、nti.exe可能破壞MBR，”Guerrero-Saade寫道。

“這個複雜的攻擊鏈的主要有效載荷是放在’env.exe’或’msapp.exe’下的可執行檔。 在內部，程式師稱它為”Meteor”。 雖然Meteor的這個例子遭遇了嚴重的OPSEC故障，但它是一個具有廣泛功能的外部可配置wiper。 ”

據報導，Meteor wiper只提供了一個參數，一個加密的JSON配置檔”msconf.conf”。

Meteor wiper刪除檔時，它從加密配置刪除陰影副本並採取一個機器出域複雜的補救。 據報導，這些只是Meteor能力的冰山一角。

雖然在襲擊伊朗火車站時沒有使用，但wiper可以更改所有用戶的密碼、禁用螢幕保護程式、基於目標進程清單終止進程、安裝螢幕鎖、禁用恢復模式、更改啟動策略錯誤處理、創建計劃任務、註銷本地會話、刪除影子副本、更改鎖定螢幕圖像和執行要求。

Guerrero-Saade指出，wiper的開發人員為該wiper創造了完成這些任務的多種方式。 “然而，操作人員顯然在編譯帶有大量用於內部測試的調試字串的二進位檔時犯了一個重大錯誤。 後者表明，儘管開發人員擁有先進的實踐，但他們缺乏健壯的部署管道以確保此類錯誤不會發生。 此外要注意的是，該樣本是在部署前6個月編製的且沒有發現錯誤。 其次，這段代碼是自定義代碼的奇怪組合，其封裝了開源元件（cppt . httplib v0.2）和幾乎被濫用的軟體（FSProLabs的Lock My PC 4）。 這跟外部可配置的設計並列從而允許對不同操作的有效重用。 ”

當SentinelOne的研究人員深入研究Meteor時，他們發現，冗餘證明wiper是由多個開發人員添加不同元件創建的。

報告還稱，wiper的外部可配置特性表明它不是為這種特殊操作而設計的。 他們還沒有在其他地方看到任何其他攻擊或變種Meteor wiper。

研究人員無法將攻擊歸咎於特定的威脅行為者，但他們指出，攻擊者是一個中級水準的玩家。

Guerrero-Saade繼續說道，SentinelOne”還不能在迷霧中辨認出這個對手的形態”並推斷它是一個不道德的雇傭軍組織或有各種動機的國家支持的行動者。

儘管他們無法確定攻擊的原因，但他們指出，攻擊者似乎熟悉伊朗鐵路系統的總體設置以及目標使用的Veeam備份，這意味著威脅行為者在發動攻擊之前在該系統中待過一段時間。

據路透社報導，襲擊發生時，伊朗官員沒有證實是否有人索要贖金也沒有證實他們認為誰是襲擊的幕後黑手。