新型木马GigaWiper来袭!伪装OneDrive持久驻留,一键清空企业全盘数据

admin 2026-07-14 04:49:30 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 新型木马GigaWiper专攻Windows平台,具备后门窃密、全盘数据销毁及伪勒索加密三重能力。攻击者通过Go语言后门持久化渗透,利用RabbitMQ和Redis通信,伪装成OneDrive更新隐藏。企业需立即隔离终端、封禁IOC并核验离线备份,常态化应加强权限管控、监控注册表与计划任务,并定期演练灾难恢复。 综合评分: 89 文章分类: 恶意软件,威胁情报,应急响应,安全运营,实战经验


cover_image

新型木马GigaWiper来袭!伪装OneDrive持久驻留,一键清空企业全盘数据

看雪学苑 看雪学苑

看雪学苑

2026年7月10日 17:59 上海 标题已修改

在小说阅读器读本章

去阅读

继各类勒索病毒肆虐政企网络后,一款兼具后门窃密、全盘数据销毁、伪勒索加密三重杀伤能力的新型恶意程序GigaWiper被微软安全团队曝光。

该恶意程序专为Windows平台打造,并非单纯窃取数据的木马,核心目标是对企业业务系统实施不可逆毁灭性破坏,一旦中招将直接引发大规模业务宕机。

攻击溯源:2025年10月已现真实受害案例

微软安全监测团队早在2025年10月就捕获到多起企业环境遭大规模磁盘擦除的入侵事件,顺着攻击链路溯源,最终将这款模块化恶意样本命名为GigaWiper。

攻击者并非直接投放销毁工具,而是采用Go语言编写的持久化后门载体先行渗透内网:

  1. 后门长期潜伏主机,支持远程监控、信息收集、内网测绘;

  2. 攻击者完成内网横向移动、资产摸排后,下发销毁指令触发破坏流程;

  3. 工具融合多款老牌恶意程序功能,模块化设计让攻击链路灵活多变,传统杀毒规则难以全覆盖拦截。

核心破坏力:三种毁灭手段,数据彻底无法恢复

GigaWiper区别于普通勒索病毒、磁盘擦除器的核心,是内置三套独立销毁机制,攻击者可按需组合使用:

1. 底层磁盘物理覆写,直接摧毁系统分区

工具会自动定位Windows系统盘与全部外接/内置存储设备,清空分区表、分块覆写磁盘原始数据,完成后强制主机重启。

不同于普通删除文件,该操作直接破坏磁盘底层存储结构,即便专业数据恢复机构也无法还原业务数据。

2. 伪装勒索加密,无任何解密密钥

下发加密指令后,恶意程序会用随机密钥加密主机内全部文件,并统一后缀 .candy

看似标准勒索病毒行为,但程序不会留存解密密钥、不生成勒索信,不存在任何数据恢复途径,纯粹借加密实现数据销毁。

3. 破坏启动环境,抹除入侵日志规避溯源

后门会主动删除系统启动文件、内核组件、系统恢复分区,导致主机直接无法开机;同时清空Windows全部事件日志,大幅抬高安全团队的应急溯源、取证难度。

隐蔽持久驻留:借OneDrive伪装绕过运维排查

为实现长期潜伏、等待销毁指令,GigaWiper设计了极具迷惑性的持久化方案,极易被运维人员忽略:

  1. 写入OneDrive相关注册表项标记程序运行状态;

  2. 创建名为「OneDrive Update」的开机定时任务,伪装微软云同步更新程序;

  3. 依托常规系统进程名称伪装,在大型企业海量终端中很难被快速识别异常。

独特通信架构:RabbitMQ+Redis双向受控

该后门通信架构区别于常规木马C2通道,采用中间件实现批量管控:

  • 通过RabbitMQ接收攻击者下发的广播/单台针对性攻击指令;
  • 借助Redis向控制服务器回传主机状态、命令执行结果;

企业完整防御处置方案

入侵应急处置(疑似中招立刻执行)

  1. 第一时间隔离涉事终端,断开内网与外网,防止横向扩散;

  2. 留存主机取证数据,切勿重启、格式化设备;

  3. 全网封禁文章内全部GigaWiper恶意IOC指标,切断C2通信;

  4. 优先核验离线备份资源,避免销毁指令扩散至更多终端。

常态化防护加固

  1. 严格管控本地管理员权限,最小化终端高权限账户;

  2. 常态化监控注册表变更、开机定时任务,重点筛查OneDrive相关可疑计划任务;

  3. 全程开启终端防护、云检测工具,针对磁盘覆写、批量加密、清空日志行为配置告警;

  4. 搭建离线隔离备份体系,定期演练系统崩溃、全盘销毁场景下的业务恢复流程;

  5. 安全团队重点监控高危行为:批量磁盘操作、日志清空、未知程序批量加密文件。

以往企业安全防护重心大多放在勒索病毒解密、数据窃取类木马上,而GigaWiper的出现敲响警钟:毁灭式擦除恶意程序已形成成熟模块化攻击体系。

攻击者可先潜伏窃密、摸清企业核心资产,再一键销毁全盘数据,对生产、政务、制造业企业打击力度远超普通勒索攻击。

想要降低损失,离线备份、实时终端行为检测、定期灾难恢复演练,三者缺一不可。

资讯来源:Cyber Security News(CSN)微软威胁情报专项报告

球分享

球点赞

球在看


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:看雪学苑 看雪学苑 看雪学苑《新型木马GigaWiper来袭!伪装OneDrive持久驻留,一键清空企业全盘数据》

评论:0   参与:  0