新型GigaWiperWindows后门程序:集成磁盘擦除、仿勒索软件与间谍软件功能

admin 2026-07-14 06:05:04 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 微软分析发现一款名为GigaWiper的Windows后门程序,整合了磁盘擦除、仿勒索软件和间谍功能。该恶意软件通过三种指令模式破坏系统:原始磁盘擦除、覆写系统盘和加密文件(密钥不保存)。它伪装成OneDrive程序实现长期驻留,利用RabbitMQ等合法服务通信。防御关键在于早期检测异常定时任务和网络流量,并保持离线备份。 综合评分: 85 文章分类: 恶意软件,威胁情报,应急响应,红队,漏洞分析


cover_image

新型 GigaWiper Windows 后门程序:集成磁盘擦除、仿勒索软件与间谍软件功能

鹏鹏同学 鹏鹏同学

黑猫安全

2026年7月13日 09:16 湖北

在小说阅读器读本章

去阅读

微软深度剖析了一款具备数据破坏能力的 Windows 平台后门程序,并将其命名为 GigaWiper。该恶意软件最显著的特点是其架构:它并非单一工具,而是整合了三款老牌破坏型恶意程序,以可由攻击者按需调用的指令模式运行。

三款指令分别提供不同的系统破坏方式:全盘原始磁盘擦除、覆写 Windows 系统盘、以及仿勒索程序加密文件(采用无留存随机密钥)。

GigaWiper 属于入侵后执行的恶意软件,并非单一系统漏洞,因此不存在可以直接修复的系统补丁。真正有效的防御手段是早期检测干净的离线备份

另一篇安全报告中以另一个名称指代同款恶意软件:BLUERABBIT,该命名由 Binary Defense 公司在上个月发布预警时使用。

微软公布了 4 条 GigaWiper 后门的哈希值;Binary Defense 针对 BLUERABBIT 公布的恰好也是这 4 条哈希值,二者使用的指令服务器也完全一致。Binary Defense 引用谷歌威胁情报小组信息,认为该恶意软件很可能由和伊朗有关联的攻击组织开发,主要针对以色列机构发起攻击;微软并未做出国别溯源判定。

三种系统破坏模式

GigaWiper 采用 Go 语言开发,运行于 Windows 系统,通过编号指令接收攻击者命令,其中三条核心指令用于摧毁主机,实现方式各不相同:

原始磁盘擦除指令

  • 覆写物理磁盘底层数据、清除分区表(磁盘分区布局信息),随后强制重启电脑。并非逐文件删除,而是直接销毁磁盘底层数据,无法直接恢复。
  • 基于老牌恶意程序 Crucio 代码开发的仿勒索程序:加密文件并添加 .candy 后缀,同时篡改桌面壁纸显示恐吓图片。它没有留下勒索信息,也不会保存解密密钥,因此不存在支付赎金解密的可能 —— 本质是以勒索软件为伪装的数据销毁程序。
  • Windows 系统盘多次覆写指令:使用多种数据模式反复覆写系统盘。微软确认该功能是对 FlockWiper 数据擦除恶意程序的 Go 语言重写版本。

以上三种破坏模式均不具备数据恢复途径:加密文件因密钥永久丢失无法解锁,被全盘擦除的设备仅能依靠纯净备份重建系统。攻击者的最终目的是彻底瘫痪主机,而非索要赎金。

间谍监控功能

#

数据破坏仅为该后门功能的一部分。它还可长期静默监控并远程控制受害主机:对所有显示器截图、全程录制屏幕活动、建立隐藏 VNC 远程桌面会话,实现键鼠远程操控。

同时它还可收集系统信息、管控进程与系统服务、修改注册表、清除 Windows 系统事件日志以掩盖攻击痕迹。微软在样本中还发现大量休眠指令代码,包括键盘记录器和额外数据擦除模块的占位代码。

为实现长期隐蔽驻留,GigaWiper 伪装为 OneDrive 程序:创建名为 OneDrive Update 的定时任务,每分钟自动运行一次;并在注册表路径 HKCU\SOFTWARE\OneDrive\Environment 写入自身运行记录。建立远控通道时,它会创建伪装为合法 Windows 组件 Microsoft.Windows.CloudExperienceHost 的防火墙规则,隐藏恶意流量。

恶意指令通信不使用普通网页请求,而是复用正规服务组件:通过 RabbitMQ 接收攻击指令、Redis 回传执行结果、MinIO 服务器窃取外发数据。由于这些均为合法服务,在部署同类服务的内网环境中,恶意流量很难被察觉。

溯源信息

微软确认:仿勒索功能代码源自 Crucio,多次覆写擦除功能源自 FlockWiper,三款恶意软件大概率出自同一开发团队。微软未披露国别信息。 Crucio 本身已有公开溯源信息:2023 年 12 月美国网络安全和基础设施安全局(CISA)预警报告将其与 CyberAv3ngers 组织关联,该组织与伊朗伊斯兰革命卫队存在关联。

据《The Hacker News》报道,该组织曾在 2023 年入侵美国、以色列、英国、爱尔兰多家水务、能源基础设施,利用暴露在公网的工业控制系统实施攻击,包括控制美国宾夕法尼亚州某水务机构的增压泵站。微软分析的 Crucio 样本与该预警报告中的样本特征吻合。

FlockWiper 的调试信息以及 GigaWiper 的函数命名中均反复出现标记字符串 GRAT,进一步证实二者同源,同时暗示还存在尚未被发现的配套组件。 两家机构披露的时间线存在差异:微软监测到 GigaWiper 破坏性攻击始于 2025 年 10 月;Binary Defense 在 2026 年 3 月首次监测到同款样本并命名为 BLUERABBIT。

攻击背景

2025 至 2026 年,伊朗关联擦除类恶意软件持续针对以色列机构发起攻击,多家安全机构反复发出预警。帕洛阿尔托网络 Unit 42 安全团队监测到同类攻击浪潮(主要来自另一组织 Handala Hack);2026 年 3 月以色列国家网络局也发布预警,防范伊朗数据擦除恶意软件攻击本土机构。

此类伪装战术并不新颖:2017 年 NotPetya 恶意软件同样伪装成勒索软件实施全盘数据销毁。伪装勒索软件可拖延防御响应:初期管理员容易误以为只是普通勒索病毒、仍存在恢复可能,从而错失处置时机,最终导致数据彻底损毁。

微软认为 GigaWiper 代表攻击组织将多款独立工具整合为单一灵活平台的趋势。对防御方而言,风险显著变化:单一植入程序可随时切换窃密、监控、全盘销毁模式,攻击意图不再能从恶意程序本身直接判断。以往可通过恶意软件类型预判攻击目的;而在本次攻击模式下,攻击者可在入侵完成后随时更改攻击策略。

单一平台、两个官方命名(GigaWiper / BLUERABBIT)、以及代码内大量休眠指令均表明该恶意软件仍在持续迭代开发中。

防御措施

核心防御要点是通过特征快速识别入侵行为:

  1. 异常定时任务:每分钟重复执行的 OneDrive Update 计划任务
  2. 异常网络流量:普通办公主机发起 RabbitMQ、Redis 服务通信(这类服务本应部署在服务器端)
  3. 异常系统操作:非维护时段,调用 takeownicacls 命令篡改 bootmgrntoskrnl.exe 等 Windows 核心启动文件权限

微软官方防御建议:

  • 开启防篡改保护,防止恶意程序关闭杀毒软件
  • 在网络层面阻断两个已知恶意指令服务器地址:185.182.193.21 和 212.8.248.104
  • 将终端检测响应系统设为拦截模式,启用云防护与自动修复功能
  • 完整恶意样本哈希、服务器地址及检测标识可参考微软官方报告

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:黑猫安全 鹏鹏同学 鹏鹏同学《新型 GigaWiper Windows 后门程序:集成磁盘擦除、仿勒索软件与间谍软件功能》

原创—某AIxss漏洞 网络安全文章

原创—某AIxss漏洞

文章总结: 本文分析了一个AI系统中的XSS漏洞,提供了技术细节和演示链接,强调仅供技术研究,严禁非法攻击。 综合评分: 65 文章分类: 漏洞分析,AI安全,
评论:0   参与:  0