XiaoMi-AI文件搜索系统
World File Search SystemHermeticWiper
俄罗斯-乌克兰-网络冲突分析师笔记-tlpwhite.pdf - HHS.gov
HermeticWiper 以可执行文件的形式出现,该文件由颁发给 Hermetica Digital Ltd 的证书签名。它包含 32 位和 64 位驱动程序文件,这些文件由存储在其资源部分中的 Lempel-Ziv 算法压缩。驱动程序文件由颁发给 EaseUS Partition Master 的证书签名。该恶意软件将根据受感染系统的操作系统 (OS) 版本删除相应的文件。驱动程序文件名是使用 Wiper 的进程 ID 生成的。一旦运行,Wiper 将损坏受感染计算机的主引导记录 (MBR),使其无法运行。除了破坏能力之外,Wiper 似乎没有任何其他功能。它利用签名的驱动程序,该驱动程序用于部署针对 Windows 设备的 Wiper,以导致启动失败的方式操纵主引导记录。数字证书由塞浦路斯公司“Hermetica Digital Ltd”颁发。 (注:如果存在,该公司很可能不存在或无法运营)该证书截至 2021 年 4 月有效,但似乎未用于签署任何文件。HermeticWiper 调整其进程令牌权限并启用 SeBackupPrivilege,这使恶意软件能够读取任何文件的访问控制权,而不管访问控制列表中指定了什么。一个恶意软件样本大小为 114KB,其中大约 70% 由资源组成。它滥用良性分区管理驱动程序 empntdrv.sys。HermeticWiper 多次枚举一系列物理驱动器,从 0 到 100。对于每个物理驱动器,都会调用 \\.\EPMNTDRV\ 设备来获取设备号。EPMNTDrv(EaseUS Partition Master NT Driver)是 EaseUS 的 EaseUs Partition Manager 软件平台的一部分。然后,它会重点破坏每个物理驱动器的前 512 个字节,即主引导记录 (MBR),然后枚举所有可能驱动器的分区。HermeticWiper 区分 FAT(文件分配表)和 NTFS(新技术文件系统)分区。对于 FAT 分区,它会调用 Windows API 来获取加密上下文提供程序并生成随机字节,以破坏分区。对于 NTFS,它会在调用 Windows API 来获取加密上下文提供程序并生成随机字节之前解析主文件表。研究还表明,它会修改几个注册表
russia-ukraine-cyber-conflict-analyst-note-tlpwhite.pdf - HHS.gov
HermeticWiper 以可执行文件的形式出现,该文件由颁发给 Hermetica Digital Ltd 的证书签名。它包含 32 位和 64 位驱动程序文件,这些文件通过 Lempel-Ziv 算法压缩,存储在其资源部分中。驱动程序文件由颁发给 EaseUS Partition Master 的证书签名。该恶意软件将根据受感染系统的操作系统 (OS) 版本删除相应的文件。驱动程序文件名是使用 Wiper 的进程 ID 生成的。一旦运行,Wiper 将损坏受感染计算机的主引导记录 (MBR),使其无法运行。除了破坏能力之外,Wiper 似乎没有任何其他功能。它利用一个签名的驱动程序,该驱动程序用于部署针对 Windows 设备的 Wiper,以导致启动失败的方式操纵主引导记录。数字证书是由塞浦路斯公司“Hermetica Digital Ltd”颁发的。 (注意:如果存在,该公司很可能不存在或无法运营)该证书截至 2021 年 4 月有效,但似乎未用于签署任何文件。 HermeticWiper 调整其进程令牌权限并启用 SeBackupPrivilege,这使恶意软件能够读取任何文件的访问控制,无论访问控制列表中指定了什么。一个恶意软件样本的大小为 114KB,其中大约 70% 由资源组成。它滥用良性分区管理驱动程序 empntdrv.sy
俄罗斯-乌克兰武装冲突
2022 年 2 月 24 日,俄罗斯军队入侵了乌克兰几个领土,这一侵略行为引发了乌克兰目前的武装冲突。一个月前,俄罗斯军事情报部门使用恶意软件 WhisperGate、HermeticWiper、HermeticWizard、IsaacWiper 和 CaddyWiper 破坏了乌克兰政府的系统和国家数字基础设施。1 从那时起,研究一直试图解释东欧先前存在的紧张局势以及它们如何演变为军事交战和网络攻击,研究莫斯科干预乌克兰的论据、乌克兰内政与该国融入西欧体系的相关性,以及通过北大西洋公约组织 (NATO) 等结构传播西方价值观。为了帮助理解这场冲突,本分析报告重点关注俄罗斯-乌克兰的案例,该案例基于有利于战争情景的系统条件,具有历史视角和