俄乌网络战中的攻击技术分析

一，基础设施

1.匿名组织对俄罗斯控制的电视网络发起攻击

       匿名组织在入侵了电视网络后，播放了来自乌克兰的视频片段。对俄罗斯互联网服务提供商的网站发起了分布式拒绝服务 (DDoS) 攻击，包括 Com2Com、Relcom等等。

2、匿名组织声称已破坏白俄罗斯铁路网络
       匿名组织宣布，白俄罗斯铁路的内部网络已被破坏，该组织声称已停用所有服务，直到俄罗斯部队离开白俄罗斯领土。此次攻击的目的——破坏占领军的部署。这次袭击迫使白俄罗斯铁路由自动控制转为手动控制模式，造成列车运行缓慢等有着重大影响。这些袭击并非针对普通民众，而是旨在干扰白俄罗斯国家的公共交通网络。

3、DDOS攻击

       国际黑客在战争中，持续针对暴露在公共网络上的俄罗斯基础设施实施DDOS攻击。据俄罗斯国家计算机事件协调中心 (NCCC)发布的攻击列表，其中包含 17576 个 IP 地址和 166 个域名，这些列表内容涉及针对基础设施的DDoS攻击。

二、开源应用

      据安全公司 Wordfence 报道，这些攻击旨在使网站无法访问，攻击次数在 2 月 25 日达到顶峰，达到 144,000 次。该公司分析了不同的攻击目标，这些目标大多数属于该国大学、政府、军队等 WordPress 网站。专家指出，“攻击”开始变得复杂化，已不限于简单的暴力攻击弱密码或分布式拒绝服务流量，已经开始尝试漏洞攻击的方式进行攻击。

三、恶意破坏

1、IsaacWiper 以没有数字认证签名的 Windows DLL 或 EXE 形式被发现；

       PE 编译时间戳是 2021 年 10 月 19日，这表明该恶意软件可能已在几个月前的先前操作中使用而未被检测到。一旦感染了系统，IsaacWiper 首先枚举物理驱动器并使用 IOCTL 。而后IOCTL_STORAGE_GET_DEVICE_NUMBER 调用 DeviceIoControl 获取设备号。然后 IsaacWiper 使用 ISAAC 伪随机生成器擦除每个磁盘的前 0x10000 字节。最后，恶意软件枚举逻辑驱动器并使用 ISAAC PRNG 生成的随机字节擦除每个磁盘的内容。专家指出，该恶意软件在单个线程中递归地擦除文件，但该过程对于大型磁盘可能非常耗时。

2、擦除器HermeticWiper于 2 月 24 日在一个组织内被发现，该恶意软件于 2 月 23 日感染了数百台机器，被大规模部署。根据网络安全公司 ESET 和 博通的赛门铁克发现，感染紧随乌克兰外交部、部长内阁和Rada 等多家乌克兰网站的 DDoS 攻击。

HermeticWiper的运作方式与IsaacWiper相同。

恶意代码时间线

2022.02.24 – IsaacWiper在乌克兰被部署，代码签名，撤销证书

攻击技术分析

       针对此次的网络战攻击态势，长扬安全研究院结合获取的攻击样本进行了综合分析，此次攻击的方式主要分为：DDOS分布式攻击、工业控制系统攻击、操作系统攻击、多媒体设备攻击、APT攻击等多种手段。针对磁盘攻击的KILLDISK(磁盘擦除)样本进行分析，发现利用不同正规软件的漏洞进行白加黑利用攻击。这种漏洞利用攻击方式隐蔽性强，可绕过多款查杀工具。

网络战影响