標題：深入分析惡意軟件HermeticWiper（上）

上個月的時候，人們新發現了一個數據擦除型惡意軟件，它被命名為“HermeticWiper”，因為其數字證書是盜取自一家名為Hermetica Digital Ltd的公司。這個擦除器的顯著特點是能夠繞過Windows的安全功能，並獲得對磁盤上許多低級數據結構的寫入權限。此外，攻擊者還想把磁盤上的文件分割成碎片並覆蓋它們，使其無法恢復。

在我們分析這個數據擦除器的時候，其他的研究報告也陸續發布，詳細說明了這個攻擊活動中使用的其他組件，包括一個蠕蟲和典型的勒索軟件，幸好該軟件的實現質量不高，很容易進行解密。

在本文中，我們將針對目前已經獲取的惡意樣本，對其進行深入的考察分析。

行為分析首先，我們看到的是一個32位Windows可執行文件，其圖標類似於一個禮物。實際上，這並不是攻擊者的冷笑話，而只是Visual Studio GUI項目的一個標準圖標。

HermeticWiper使用的圖標

這款惡意軟件必須以管理員身份運行才能工作，而且沒有提供任何UAC繞過技術。稍後我們會發現，這個樣本的名稱也會（稍微）影響其功能；如果名稱以“c ”開頭（或以“C”開頭，因為它被自動轉換為小寫），那麼，系統在執行後將重新啟動。

一旦運行，該樣本就會在後台悄悄地“工作”。如果不借助其他工具的話，我們很難發現任何可疑的東西。

只有當我們使用像Process Explorer這樣的工具觀察這個樣本時，我們才能注意到一些不尋常的行為——它會調用各種IOCTL，並且都與檢索磁盤的細節有關。

通過ProcessMonitor觀察HermeticWiper時，發現其執行的動作

……其中包括FSCTL_GET_RETRIEVAL_POINTERS和FSCTL_MOVE_FILE，這些貌似都與文件的碎片整理有關。請注意，在文件系統中，文件有時並不是保存在一個連續的塊中（就像我們在高級別的文件中看到的那樣），而是分佈在磁盤的各個扇區中的多個塊中。碎片整理與合併這些塊有關，而碎片化則與分割這些塊有關。

然而，進一步的研究表明，這裡的效果與碎片整理相反。事實上，由於惡意軟件的緣故，數據變得更加碎片化。

在惡意軟件執行前後，有關數據碎片的磁盤狀態如下圖所示：

執行前的磁盤狀態

執行後的磁盤狀態

這樣做可能是為了提高損壞程度：文件碎片越多，從原始磁盤映像中分割出來並進行取證重建的難度就就越大。

隨著惡意軟件的執行，在某些時候，我們可能會發現一些應用程序將無法正常工作。這是因為某些文件（包括系統DLL）已被隨機數據所覆蓋。

示例：由於系統DLL被破壞，導致應用程序無法運行：

HermeticWiper導致的軟件故障

如果我們現在查看磁盤的原始映像（比如使用HxD），我們就會發現某些扇區已經被隨機數據覆蓋了：

通過HxD檢查被HermeticWiper覆蓋的扇區

毫無疑問，重啟後，我們的Windows操作系統將無法正常工作：

重新啟動受損系統後，用戶看到的出錯消息

那麼，這個惡意軟件在背後到底搞了什麼鬼呢？讓我們仔細看看……

使用的組件初始樣本：1bc44eef75779e3ca1eefb8ff5a64807dbc942b1e4a2672d77b9f6928d292591——在其資源中包含多個PE文件：

惡意軟件的資源部分

為資源選擇的名稱（DRV_X64、DRV_X86、DRV_XP_X86、DRV_XP_X64）表明：它們是同一驅動程序，並且為不同的Windows系統提供了相應的版本：適用於32位或64位系統的版本，或適用於Windows XP的舊版本。同時，它們都採用了壓縮形式。通過Linux系統的file命令檢查轉儲文件，我們可以看到以下輸出：

file DRV_XP_X86

DRV_XP_X86: MS Compress archive data, SZDD variant, original size: 13896 bytes

為了弄清楚它們是如何加載的，我們需要研究一下攜帶它們的樣本。

幸運的是，該樣本並沒有進行混淆處理，所以，我們可以輕鬆找到負責查找適當版本的驅動程序的代碼片段：

HermeticWiper中選擇加載哪個驅動程序的代碼片段

然後，讓我們通過LZMA算法對緩衝區進行解壓縮處理：

負責用LZMA算法解壓縮驅動程序並進行安裝的代碼片段

實際上，當前流行的解壓縮工具（比如7Zip）都支持這種壓縮格式。我們也可以根據惡意軟件代碼製作自己的解壓縮工具（詳見：https://gist.github.com/hasherezade/2c7837874f7adf0f73192f4d861d83c6）。

結果，我們從EaseUS Partition Master中得到了4種版本的合法驅動程序——這一點與ESET（https://twitter.com/ESETresearch/status/1496581912940396551?s=20t=wAz5sfT7pTIN-F0aqFaXTg）所報告的完全相符。

2c7732da3dcfc82f60f063f2ec9fa09f9d38d5cfbe80c850ded44de43bdb666d

23ef301ddba39bb00f0819d2061c9c14d17dc30f780a945920a51bc3ba0198a4

8c614cf476f871274aa06153224e8f7354bf5e23e6853358591bf35a381fb75b

96b77284744f8761c4f2558388e0aee2140618b484ff53fa8b222b340d2a9c84

從PE頭部中的時間戳來看，這個驅動程序是很久以前構建的。據我們推測，這些驅動程序很可能是被攻擊者從原始的合法軟件包中竊取的。並且，它們中的每一個都帶有一個調試目錄，其中包括一個PDB路徑，例如：

驅動程序概述HermeticWiper使用的驅動程序來自EaseUS套件，而EaseUS則是一個合法的軟件，為用戶提供了多種磁盤管理功能，如分區和大小調整。如前所述，該工具是合法的，因此，在攻擊發生時，無法通過VirusTotal檢測到該樣本：

VirusTotal沒有檢測出該樣本

查看驅動程序內部代碼，我們發現它只是提供了許多典型的驅動功能：創建所需的設備，並建立一些分派例程，如下圖所示：

DriverEntry例程

這個驅動程序的內部結構非常簡單。為了從用戶模式訪問驅動程序，我們需要使用CreateFile API函數，並安裝驅動程序的設備名(\\.\epmntdrv)以及分區ID。具體示例如下所示：

用戶模式組件，生成用於打開設備句柄的字符串

注意，這個字符串對於理解驅動程序的功能非常重要。如您所見，驅動程序的代碼會把發送的字符串從用戶模式轉換為整數，並將該整數用作helper函數“savereferenceharddisk”的輸入。由於可以從映像中提取，所以，這個helper函數將在FsContext屬性中保存對物理磁盤(\device\harddisk[num]\partition0)的引用：

IRP_MJ_CREATE函數

helper函數

這種行為也可以進行實時測試。我們可以看到，在將這個值轉換為整數類型之前，代碼是如何刪除前導反斜杠的：

通過內核模式實時調試會話考察參數處理過程

此外，IRP_MJ_CREATE函數會在FsContext2屬性中保存硬盤的設備對象指針，該指針將通過helper函數getDeviceObject返回。函數getDeviceObject中的DeviceObject指針，用於查找IRP_MJ_CREATE函數保存在FsContext2屬性中的硬盤的設備對象指針（該指針是通過helper函數getDeviceObject返回的）。而getDeviceObject中的DeviceObject指針，則用於通過IoGetLowerDeviceObject函數遍歷最底層的設備對象來查找disk.sys關聯的設備對象。為了確認底層設備對象就是我們正在尋找的對象，我們檢查對象的ServiceKeyName是否為'Disk'：因為disk.sys對象的ServiceKeyName正是“Disk”。這些對象將在稍後的讀寫操作中用到。這意味著，當從用戶模式向驅動程序請求不同的操作時，實際操作將在機器物理磁盤上進行。

關於getDiskDeviceObject函數

接下來的圖片顯示了驅動程序如何建立傳入的請求並將其轉發到下級設備：

EaseUS驅動處理IOCTL請求的例子

EaseUS驅動處理讀操作的例子

EaseUS驅動處理IOCTL寫操作的例子

通過使用從用戶模式執行的CreateFile操作所保存的FsContext2字段，可以將這個驅動程序看作是一個代理驅動程序，其中IRP由底層設備處理。簡而言之，這個合法的驅動程序可以讓攻擊者繞過一些windows的安全機制，而這些機制能夠阻止他們在用戶模式下執行某些操作，如禁止對磁盤的某些扇區進行寫操作等。

數據擦除器的具體實現這個惡意軟件旨在最大限度地破壞系統。它不僅會覆蓋MBR，而且更進一步：遍歷文件系統的相關結構體並加以破壞，甚至直接破壞單個文件。

我們知道，這個可執行文件將以某種方式濫用這些驅動程序來實現數據破壞功能。然而，問題來了，它到底是如何實現的呢？

值得注意的是，Windows（自Vista以來）引入了一些安全措施，使得攻擊者只能在用戶模式（在標準Windows驅動程序的幫助下）下對磁盤開頭部分的扇區執行寫操作。如果我們想對其他扇區進行寫操作，即覆蓋MFT（主文件表），我們需要一些自定義的變通方法（詳情請參閱https://community.osr.com/discussion/101522/vista-rtm-writing-to-raw-disk-sectors）。

對於Petya（以及NotPetya，使用了相同的組件）來說，其解決方案是由另一個“內核”實現的，該內核（而不是Windows系統）在機器重新啟動時引導，並完成相應的覆蓋任務。對於HermeticWiper來說，其作者使用了一種更簡單的方法：他們使用了另一個驅動程序，該驅動程序能夠完成這樣的覆蓋操作。

首先，該惡意軟件會解析NTFS結構體，並將有關它們的信息存儲在內部結構體中。為了實現讀取，它使用了標準系統設備。在收集到所需的數據之後，附加的驅動程序（EaseUS）就開始發揮作用：它被用作對收集的扇區進行寫操作的代理。

攻擊可分為以下幾個階段：

準備工作，包括：

安裝附加驅動程序（EaseUS）

禁用可能有助於恢復或檢測攻擊行為的系統功能

數據收集：遍歷NTFS結構體，收集將要覆蓋的扇區和文件。此外，為進一步的覆蓋活動而生成適當大小的隨機數據。

垃圾處理（在此階段使用EaseUS驅動程序）：利用上一步生成的隨機數據覆蓋收集的扇區

最後，系統將自動重啟。

執行流程現在，讓我們來分析惡意軟件樣本，看看這些階段是如何實現的。

準備工作首先，該樣本會解析命令行參數。實際上，這些參數對執行的影響很小——可能只是改變樣本在特定階段的執行之間休眠的時間。

然後，該樣本會設置執行相關操作所需的特權。在惡意軟件的主函數中設置了兩個特權：SeShutdownPrivilege（允許重新啟動系統）和SeBackupPrivilege（允許操縱系統備份）：

調整所需特權

有趣的轉折來了：定義SeShutDownPrivilege的字符串是在堆棧上組成的，而中間的一塊卻不見了。

不完整的SeShutdownPrivilege字符串

然後，在根據當前可執行文件名稱的第一個字符計算的位置填充這個缺失的塊wnPr。因此，只有在樣本的名稱是以“C”開頭的情況下，字符串才會被補上（並且權限設置正確）。

SeShutdownPrivilege在後面的步驟中補全

關於惡意軟件為何要這麼大費周章的原因尚不明確，也許只是為了混淆這個特定的可疑字符串。因為惡意軟件作者使用名稱檢查作為反沙箱技術也很常見（因為沙箱可能會給樣本指定一些可預測的名稱：如果檢測到這樣的名稱，則樣本可能會退出，這樣沙箱就無法跟踪其行為）。然而，該行為對樣本的影響非常小——它只影響重新啟動功能，而不是惡意軟件的主要任務。

驅動程序的安裝之後，該惡意軟件就會進行驅動程序的安裝。

安裝驅動程序

安裝過程分為以下幾個步驟：

首先，對系統進行指紋識別，以便選擇最合適的驅動程序版本。具體來說，它會根據Windows的版本和位數（32或64位），來選擇資源。

可加載的驅動程序

在安裝驅動程序之前，崩潰轉儲機制會被禁用。

HermeticWiper將禁用崩潰轉儲機制

如果整個系統發生崩潰，可能是由於驅動程序中的錯誤/不穩定所致，並且通常會進行崩潰轉儲：保存有關係統的完整狀態，以及到底發生了什麼方面的信息，以幫助調試。在安裝前禁用崩潰轉儲功能，表明惡意軟件的作者對所用驅動程序並不是很有信心，或者認為執行的操作有導致系統崩潰的風險。所以，他們希望即使發生了崩潰，也要設法讓管理員很難找到崩潰的原因。

然後，他們檢查驅動程序是否已經安裝。這一步是通過向驅動程序發送IOCTL來實現的：該IOCTL用於檢索驅動器幾何形狀方面信息。如果該操作失敗，這意味著相關驅動程序根本就不存在，他們可以繼續安裝。

EaseUS設備對象引用

安裝該驅動程序時，首先會根據硬編碼的字符集為驅動程序生成一個含有4個字符的偽隨機名稱。該函數還需確保沒有文件與剛才生成的名稱重名。

生成驅動程序名稱

然後，植入文件的壓縮版本。最後，從中解壓縮出相應驅動程序。