如今，人類信息技術的向前發(fā)展， “千里眼、順風耳”的神話早已成為現(xiàn)實，信息戰(zhàn)更是成為現(xiàn)代戰(zhàn)爭的焦點之一。近日，一種復雜新型惡意軟件Hermetic Wiper（又名KillDisk.NCV）的攻擊再一次在兩國戰(zhàn)爭中受到人們的關注。該惡意軟件利用Hermetica Digital Ltd證書進行簽名，并調(diào)用磁盤分區(qū)合法驅(qū)動程序，繞開殺毒軟件檢測，破壞Windows電腦的MBR分區(qū)，影響系統(tǒng)正常啟動，危害巨大。

如果說網(wǎng)絡攻擊在國家間是一場沒有硝煙的戰(zhàn)爭，那么對于企業(yè)而言，網(wǎng)絡攻擊就更是形同生與死的抗爭。網(wǎng)絡攻擊中可能存在隱秘性攻擊，如竊取情報、破壞重要數(shù)據(jù)、癱瘓通信系統(tǒng)等一系列問題。

天融信從邊界出發(fā)，逐步筑牢多維度網(wǎng)絡安全防線，構建邊界到終端的立體化防御體系，并提供全面的安全保護，有效阻止該惡意軟件蔓延。經(jīng)驗證，天融信下一代防火墻、EDR、病毒過濾網(wǎng)關以及僵木蠕檢測系統(tǒng)等系列產(chǎn)品均可精確檢測并查殺該惡意軟件。

病毒信息概況與樣本分析

下滑查看樣本完整分析▽▽▽

程序運行后首先提升SeBackupPrivilege權限；

之后獲取主機處理器的位數(shù)，從PE資源段中釋放對應的驅(qū)動文件；

以服務的方式加載驅(qū)動，并更改活躍狀態(tài)的系統(tǒng)vss服務啟動類型SERVICE_DISABLED從而禁用vss服務；

在c:/windows/system32/driver目錄下釋放四個字母命名的驅(qū)動程序xrdr.sys并加載驅(qū)動；

創(chuàng)建多個線程并使用長時間的sleep來繞過沙箱的監(jiān)控時間；

xrdr.sys驅(qū)動程序同樣具有數(shù)字簽名但已經(jīng)過期。其數(shù)字簽名隸屬于成都某科技有限公司，從驅(qū)動的編譯時間和簽名時間、PDB等信息可以推斷驅(qū)動文件很可能是白文件，屬于驅(qū)動的白利用。該驅(qū)動程序是 EaseUS Partition Master 軟件中的合法驅(qū)動程序；

HermeticWiper,exe進程占用了較高的CPU使用率，并向驅(qū)動發(fā)送IOCTL控制碼，占用很高的I/O使用率；

當手動進行重啟后，由于HermeticWiper,exe更改了系統(tǒng)底層系統(tǒng)VBR，系統(tǒng)已經(jīng)無法進行正常開機。

邊界側(cè) 雙重防御無遺漏

一重防御

作為整體防毒的第一道防線，天融信過濾網(wǎng)關針對多種協(xié)議流量進行病毒檢測過濾，有效防御通過文件、郵件、網(wǎng)頁等方式捆綁傳播的病毒于內(nèi)網(wǎng)之外，實現(xiàn)主動性、持續(xù)性、合規(guī)性的病毒防御，快速檢測并處置各類惡意軟件或代碼。

針對HermeticWiper惡意軟件，天融信過濾網(wǎng)關檢測處置分為三步，即可提供持續(xù)性不間斷的病毒檢測處置服務，并輔以實時提示告警、病毒爆發(fā)報警、詳細的日志、可視化報表。

一、升級到最新病毒特征庫

二、啟用病毒掃描服務

三、選擇病毒處理方式

已購買天融信過濾網(wǎng)關系統(tǒng)（TopFilter）的客戶，可通過以下路徑升級最新病毒庫。

病毒庫版本號：kav-v2022.03.01.tir；

下載地址：ftp://ftp.topsec.com.cn/防病毒網(wǎng)關(Top-Filter)/病毒庫脫機升級包/檢測病毒庫；

二重防御

天融信僵尸網(wǎng)絡木馬和蠕蟲監(jiān)測與處置系統(tǒng)（TopTVD），集攻擊檢測、DDoS檢測、僵木蠕檢測、惡意程序檢測、APT檢測、WEB安全檢測、虛擬沙箱、元數(shù)據(jù)提取、流量分析九大功能為一體；首創(chuàng)應用TAI-1智慧引擎+虛擬沙箱技術，擁有嵌入式威脅情報庫；實現(xiàn)多種威脅全面檢測，打破了傳統(tǒng)特征庫匹配技術束縛，是發(fā)現(xiàn)未知威脅特別是APT攻擊的有力工具。

目前，天融信僵尸網(wǎng)絡木馬和蠕蟲監(jiān)測與處置系統(tǒng)已可以針對此惡意軟件攻擊進行安全檢測。已購買天融信僵尸網(wǎng)絡木馬和蠕蟲監(jiān)測與處置系統(tǒng)（TopTVD）的客戶，可以升級威脅情報庫進行有效監(jiān)測防護。

威脅情報庫版本號：ti-v2022.03.01.001.tor；

下載地址：ftp://ftp.topsec.com.cn/天融信下一代入侵防御系統(tǒng)(NGIDP)/威脅情報庫/ ti-v2022.03.01.001.tor。

終端側(cè) 全方位保護防篡改

在終端側(cè)，天融信EDR通過預防、防御、檢測、響應的一體化安全體系賦予終端威脅防御能力，通過持續(xù)地防御和檢測分析，更精準地識別各種勒索病毒對終端的入侵，產(chǎn)品結(jié)合多維度病毒防御、系統(tǒng)加固、微隔離及主動響應等技術，全方位防御病毒。

針對HermeticWiper惡意軟件，當該惡意軟件未被觸發(fā)，天融信EDR通過病毒掃描即可對其進行精準識別與處理；當該惡意軟件被觸發(fā)，則會對系統(tǒng)目錄進行篡改破壞磁盤，天融信EDR客戶端系統(tǒng)加固技術可對系統(tǒng)關鍵位置進行重點監(jiān)控，防止被惡意篡改，清除或破壞系統(tǒng)數(shù)據(jù)。同時，若該惡意軟件通過U盤、郵件、網(wǎng)頁、通信工具等方式傳播，天融信EDR則可以通過U盤保護、郵件保護、惡意網(wǎng)站攔截、文件實施監(jiān)控等多維度病毒防御，全面杜絕惡意軟件落地終端。

天融信EDR獲取方式：

天融信EDR企業(yè)版試用：可通過天融信各地分公司獲取（查詢網(wǎng)址：http://gdxsl.cn/contact/）

天融信EDR單機版下載地址：http://edr.topsec.com.cn

針對安全事件頻發(fā)，天融信建議可通過以下幾個方法進行防范：

不要打開來歷不明的網(wǎng)頁、電子郵件鏈接或附件，這些很可能隱藏著大量的病毒、木馬，一旦打開，會自動進入電腦并隱藏在電腦中，造成文件丟失損壞甚至導致系統(tǒng)癱瘓；

定期備份電腦中的重要文件資料，以防止在意外情況下造成的文件信息丟失問題；

操作系統(tǒng)密碼采用高強度組合，同時不定期的更換密碼，如果密碼一成不變的話，極易引起系統(tǒng)的安全性問題；

及時修復系統(tǒng)漏洞，漏洞就像是計算機脆弱的后門，病毒和惡意軟件可以通過這個脆弱的后門乘虛而入。