GigaWiper利用OneDrive更新计划任务进行持续破坏性访问

admin 2026-07-12 06:08:34 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: GigaWiper是一个基于Golang的模块化后门家族,集成了磁盘擦除、伪勒索软件和远程控制功能。它通过创建名为OneDriveUpdate的计划任务实现持久化,并利用RabbitMQ和Redis进行C2通信。该恶意软件可执行多遍安全擦除、伪装成勒索的加密擦除等破坏性操作。防御者应阻止其C2基础设施、加强EDR保护并监控计划任务和注册表修改。 综合评分: 87 文章分类: 恶意软件,威胁情报,应急响应,漏洞分析,安全运营


cover_image

GigaWiper 利用 OneDrive 更新计划任务进行持续破坏性访问

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年7月10日 19:12 北京

在小说阅读器读本章

去阅读

一个名为 GigaWiper 的复杂基于 Golang 的后门家族,它将广泛的 C2 控制与多个破坏性有效载荷融合在一起。

GigaWiper 的显著之处不仅在于其破坏能力,还在于它将几个以前独立的擦除器和勒索工具集成到一个模块化植入体中。

这种整合使运营商能够按需切换销毁模式,例如物理磁盘擦除、使文件无法恢复的伪勒索软件、多遍安全擦除,同时保持持久的远程控制访问。

观察到的一种持久化机制看似简单:该植入程序创建一个名为“OneDrive Update”的计划任务,并使用 HKCU\SOFTWARE\OneDrive\Environment 中的注册表项来跟踪执行情况。

首次运行时,它会写入密钥并创建OneDrive 更新计划任务,该任务配置为每分钟运行一次并在启动时运行。

后续运行会检测注册表值,将其递增,并像预期的计划任务子进程一样运行——这种操作选择可以减少怀疑,并利用受信任的 Windows 计划程序进行持久的破坏性访问。

独立组件通过 WMI 主动枚举物理磁盘,识别 Windows 安装驱动器,使用 DeviceIoControl (IOCTL_DISK_CREATE_DISK) 从非系统驱动器中删除分区元数据,使用随机化首字节缓冲区以大块覆盖原始磁盘扇区,并强制立即重新启动。

后门中嵌入的命令 1(WipeMain)功能相同,而命令 12(WipeCMain)提供仅针对 C 盘的多遍安全擦除。

第三个破坏性命令重现了 Crucio 衍生的逻辑:一个“勒索软件”例程,使用 AES-CBC 加密随机生成的密钥(永远不会保存)加密文件,将受害者的文件重命名为 .candy 扩展名,并且不留下任何可行的恢复路径,实际上是一个伪装成勒索的擦除器。

微软威胁情报发现, GigaWiper 主要以两种样本形式出现:紧凑的独立擦除器和更大的 Golang PE 后门,后者将独立代码作为命令包含在内。

GigaWiper 使用 OneDrive 更新

C2 和运行遥测功能十分强大。GigaWiper 使用基于 AMQP 的 RabbitMQ 进行命令分发,并使用 Redis 进行状态和输出报告。

后门中实现的擦除器主程序是 rabbit_tools_tool_wipe_main.WipeMain 函数。

该植入程序解密了包含 C2 端点和凭据的硬编码 AES 保护配置;观察到的基础设施包括非标准端口上的地址,例如 185.182.193[.]21。

RabbitMQ 设计使用名为“All”的扇出交换机进行广播命令,使用名为“Topic”的主题交换机进行目标任务,命令被建模为结构化的 Task 和 Result 对象。

这种消息传递方式可以对多个受感染主机进行控制,同时在需要时可以针对单个主机进行定向。

除了擦除和伪造赎金功能外,GigaWiper 还实现了广泛的远程访问和系统管理功能:进程和服务管理、注册表导航和持久会话、通过 MinIO 客户端上传文件、屏幕截图和屏幕录制、键盘记录器和类似 VNC 的远程控制、事件日志清除。

代码重叠和共享字符串将 GigaWiper 与至少三个先前的系列联系起来:一个独立的擦除器、类似 Crucio 的勒索代码(BigBangExtortMain)和 FlockWiper,后者从 C 重新实现为Golang 访问,以便作为 WipeCMain 包含在内。

PDB 路径工件引用“GRAT”进一步将这些组件联系在一起,并表明不同迭代版本之间存在共同的开发者或框架。

防御者应优先阻止已识别的 C2 基础架构,强制执行防篡改保护和始终在线的 EDR,并防止从非特权上下文中创建未经授权的计划任务和修改注册表。

微软在其 GigaWiper 安全公告和 Defender 遥测数据中发布了检测和缓解措施;各组织应将这些指标映射到网络和终端控制,并启用云交付的保护措施,以捕获不断演变的变种。

GigaWiper 攻击活动凸显了一种转变:破坏性工具正从单一用途的擦除转向模块化、远程协调的平台,这些平台将隐蔽的持久性(例如“OneDrive 更新”计划任务)与按需使用多种可互换的擦除技术的能力相结合。


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:安全圈的那点事儿 网络安全9527 网络安全9527《GigaWiper 利用 OneDrive 更新计划任务进行持续破坏性访问》

评论:0   参与:  0