沙特阿拉伯大赦之夜攻击事件

根据境外媒体报道，2016年11月17日晚，也就是伊斯兰教的大赦之夜，包括沙特阿拉伯国家民航总局(GACA)在内的至少6家沙特阿拉伯重要机构遭受严重的网络攻击。受害者的计算机系统中的大量文件和数据遭到损毁，化之以一张2015年9月2号溺水的叙利亚难民男孩Alan Kurdi的照片。

研究人员将此次攻击行动调查中捕获的恶意程序样本命名为Shamoon 2.0，同时也将此次攻击行动命名为Shamoon 2.0，因为研究人员发现，被捕获的攻击样本实际上是2012年被发现的Shamoon程序的一个变种。

2012年8月15 号，在针对沙特阿拉伯白石油巨头Saudi Amenco的网络攻击中，Shamoon恶意程序首次现身。在攻击发动的时候，正值该公司员工休假期间，该公司约3万台计算机上的文存都遭到损坏。事后，一个自称Cuting Sword of Justice的组织宣称为此次事件负责。

所以，尽管媒体在报道2016年11月发生的这次网络攻击事件中并未许细报道更多受害者的具体信息，也末对受害者遭受的具体损失情况进行详细的说明，但参考2012年的Shamoon攻击事件及Shamon 2.0与Shamoo的相似性，大致可以猜测出：此次攻击事件中的主要受害者应该是沙特阿拉伯的工业控制系统或工业部门，而受害者的主要损失就是大量系统文件与系统数据被恶意删除，致使工业控制系统无法正常运行。

Shamoon,又称Disttrack,是款模块化恶意程序，具有很强的破坏性，能够导致目标网络完全瘫痪。此前共发生了两次由Shamoon引起的网络攻击事件(其中一次为疑似案例)，而攻击目标都是沙特阿拉伯。

Shamoon使用的模块程序分为三类，分别是投放器(Dropper)、通信组件(Communications)和擦除组件(Wiper)。Shamoon 不仅会对目标进行数据收集，而且具有很强的破坏性。其程序内部存在定时器，当系统时间超过设定的时间时，Shamoon就会用无用的数据(如特定的JPEG图片)来覆盖磁盘(包括MBR、分区表和分区)，导致磁盘数据损毁、被攻击系统瘫痪。

实际上，Shamoon在2012年和Shamoo 2.0 在2016 年的攻击中都用了JPEG方法：在2012年的攻击中使用的是燃烧着的美国国旗的照片，而在2016年的攻击中使用的是2015年9月2号溺水的叙利亚难民男物Alan Kurdi的照片。

两次攻击的恶意程序的编写方式也十分相似，都使用了同一个RawDi设备驱动(临时的证书密码都一样)。投放器在释放恶意程序组件时，会从资源中的特定位置读取字节数非且用Base64编码的密钥来解密，再与从资着中获取的Byte串进行异或操作，拼接后获取完整的程序。

Shamoon 木身还公尝试通过当前的权限来访问当前系统的活动目录、相同域及局城网上的其他主机，进行横向移动。Shamoon的横向移动可能导致的最严重的情况是整个目标网络的大规模瘫换。

特别值得一提的是，Shamoon 2.0的恶意破坏性要比Shamoon更加明显，在先前的Shamoon攻击中，恶意程序会在窃取用户数据并上传到C&C服务器(Command and Control Server) 上之后，才执行文件删除或覆盖操作，这就使得在理论上我们有可能通过阻断网络或限制IP访问等方法来阻止Shamoon的破坏行为。但Shamoon 2.0的攻击者却在程序中填写了一个完全不可达的C&C服务器地址，并在程序中编码了定时器时间为2016年11月17日晚上8:45.这就使得Shamoon 2.0俨然成为一颗“定时炸弹”，一旦投放成功，就几乎一定会“爆炸”

从Shamoon 的基本攻击原理中可以看到， 投放器投放成功后， 通信组件被释放并且执行后开始与C&C服务器进行通信，其通信过程使用的是HTTP协议。但Shamoon 2.0与之前的版本存在区别，之前的Shamoon是将用户的数据上传到C&C服务器中但是在Shamoon2.0中，C&C服务器的地址却被填写成了一个不可达的地址1.1.1.1:8080.

总体而言，Shamoon与Shamoon 2.0具有很强的相似性，不仅攻击的目标国家相似，选取的攻击时间点存在共性(休假期间)，而且具体实现的技术和攻击原理也都十分相似。因此，多数研究者认为，Shamoon与Shamoon2攻击应为同一攻击组织所为。