卡巴斯基实验室全球研究和分析团队发现了一种最新的复杂的破坏者恶意软件，被称为StoneDrill。同另外一款臭名昭著的破坏者恶意软件Shamoon一样，StoneDrill会破坏受感染计算机上的所有数据。StoneDrill还具有高级反检测技术以及间谍工具功能。除了针对中东地区用户进行攻击外，我们还在欧洲发现了一个StoneDrill的攻击目标，而之前在中东地区实施攻击的破坏者恶意软件从来没有在该地区被发现过。

2012年，Shamoon（又被称为Disttrack）破坏者恶意软件摧毁了一家位于中东地区的石油和天然气公司的约35,000台计算机，造成很大的影响。这次攻击导致全球10%的石油供应面临潜在风险。但是，这次的攻击事件是独一无二的，之后这种恶意软件就归于沉寂。2016年末，这种恶意软件以Shamoon 2.0的形式归来，大幅改进和升级了2012年版本，实施了范围更广的恶意软件攻击行动。

在对这些攻击进行分析时，卡巴斯基实验室的研究人员意外发现一款同Shamoon 2.0 “风格”相似的恶意软件。另一方面，这种恶意软件同Shamoon非常不同，而且更为复杂。他们将这种恶意软件命名为StoneDrill。

目前，我们还不了解StoneDrill是如何传播的。但是，一旦入侵到受攻击机器，它会将自身注入到用户使用的浏览器的内存进程中。这一过程中，恶意软件会使用两种复杂的反模拟技术欺骗安装在受害者计算机上的安全解决方案。之后，恶意软件开始破坏计算机磁盘上的文件。

到目前为止，至少确认有两个StoneDrill恶意软件攻击的目标。一个位于中东地区，另一个位于欧洲。

除了清除数据模块外，卡巴斯基实验室研究人员还发现了一种StoneDrill后门程序。很明显，这种后门程序是由同一个开发者编写的，被用于网络间谍目的。安全专家发现攻击者使用四个命令和控制面板，通过StoneDrill后门程序进行间谍行动。受攻击目标的数量目前尚不清楚。

有关StoneDrill，最有趣的一点可能是它似乎同其它更早被发现的破坏者恶意软件和间谍攻击行动存在关联。卡巴斯基实验室研究人员当时是在用于识别未知版本的Shamoon的Yara规则的帮助下，发现的StoneDrill恶意软件。他们意识到这款恶意软件的代码同Shamoon不同，似乎是单独编写的。但是，尽管这两个恶意软件家族——Shamoon和StoneDrill——并非出自同一个代码库，但是作者在编写这两种恶意软件的思维方式以及编程“风格”似乎是一样的。所以，我们开发的用于检测Shamoon的Yara规则能够发现StoneDrill。

此外，我们还发现StoneDrill同其它已知的较老的恶意软件在代码上同样存在相似性。事实上，StoneDrill使用了之前被发现的NewsBeef APT（又被称为Charming Kitten）中的部分代码。这种恶意软件在过去几年也一直被用于恶意攻击行动。

卡巴斯基实验室全球研究和分析团队高级安全研究员Mohamad Amin Hasbini说:“这三种恶意软件攻击行动之间的相似性和对比性，让我们感到很有趣。StoneDrill是否是Shamoon幕后的网络罪犯部署的另一款破坏者恶意程序？又或者StoneDrill和Shamoon是两个不同的没有关联的网络犯罪组织开发的，只是碰巧都同时对沙特的组织发动了攻击？或者，这两个组织是不同的，但拥有相同的目的？最后一种设想很可能成立：因为当我们分析这两种恶意软件的代码时，我们可以在Shamoon中发现嵌入的阿拉伯语-也门语特征，而StoneDrill嵌入的大多数是波斯语资源。通过地缘政治分析，很快就可以发现伊朗和也门都涉及伊朗-沙特阿拉伯冲突，而沙特阿拉伯则是这次攻击行动受害者最多的国家。当然，我们也不能排除这些特征都是伪旗的可能性。” 

卡巴斯基实验室产品能够成功检测和拦截同Shamoon和StoneDrill以及NewsBeef相关的恶意软件。

为了保护企业和组织不受此类攻击的危害，卡巴斯基实验室安全专家建议：

· 对企业和组织的控制网络进行安全评估（即进行安全审计、渗透测试和差距分析），发现和消除所有安全漏洞。评估外部供应商和第三方的安全策略，避免它们能够直接访问控制网络。

· 请求外部情报服务：从知名供应商获取情报信息，帮助企业和组织预测未来针对自身工业基础设施的攻击情况。一些紧急响应团队如卡巴斯基实验室ICS CERT能够提供跨行业的免费情报服务。

· 对员工进行培训，尤其要关注对操作以及工程人员的培训，确保他们了解最新的威胁和攻击情况。

· 在安全边界内外都提供保护。正确的安全策略需要将大量资源用于攻击检测和反馈，从而在攻击入侵重要的对象之前，将其拦截。

· 评估高级保护手段：包括对控制器进行定期完整性检查，采用专门的网络监控，提高企业的整体安全，减少被入侵的风险，即便有些包含漏洞的固定节点无法修补或移除。

要了解更多有关Shamoon 2.0 和StoneDrill详情，请阅读Securelist.com上的相关博文。想要了解之前发现的Shamoon攻击详情，请查看这里。

卡巴斯基实验室情报服务订阅客户可以获取多个有关Shamoon、StoneDrill和NewsBeef的情报报告。更多详情，请联系：intelreports@kaspersky.com