Lotus Wiper
网络安全分析师发现了一种此前未被记录的数据擦除恶意软件,现名为 Lotus Wiper,该恶意软件在 2025 年末至 2026 年初期间针对委内瑞拉的能源和公用事业部门发动了定向攻击。这种恶意软件旨在造成最大程度的破坏,使受感染的系统完全无法运行。
目录
协同攻击执行:多阶段部署
此次攻击依赖于两个批处理脚本,它们精心策划并执行一系列步骤。这些脚本会同步网络中的活动,削弱系统防御,并在启动最终有效载荷之前扰乱正常运行。它们的作用包括检索、反混淆和执行擦除组件,从而确保顺利过渡到破坏阶段。
系统性破坏:莲花雨刷的运作原理
Lotus Wiper 激活后会执行全面的数据清除过程,彻底清除系统功能并消除所有恢复选项。其破坏性功能包括:
- 移除恢复机制,包括还原点
- 使用零数据覆盖物理驱动器扇区
- 删除所有已挂载卷上的文件
- 卷期刊中更新序列号 (USN) 的清除
这些措施共同导致受影响的系统无法通过传统方式进行恢复或重建。
意图指标:非经济动机
与勒索软件不同,Lotus Wiper 不包含任何勒索信息或付款指令。这一缺失强烈表明,此次攻击活动并非出于经济目的,而是出于破坏或地缘政治动机。值得注意的是,该恶意软件样本于 2025 年 12 月中旬从委内瑞拉系统公开上传,恰好在 2026 年 1 月美国军事行动之前不久。尽管尚未证实两者之间存在直接联系,但这一时间点与针对同一领域的网络活动报告增多相吻合,表明这是一次高度集中的行动。
针对遗留系统:利用过时的环境
攻击链始于一个批处理脚本,该脚本会启动一个多阶段进程。其早期操作之一是尝试禁用 Windows 交互式服务检测 (UI0Detect) 服务。该服务在 Windows 10 版本 1803 之后的 Windows 版本中已被移除,这表明该恶意软件专门针对旧版操作系统而设计。
该脚本还会检查是否存在 NETLOGON 共享,并检索远程 XML 文件。它会将此文件与存储在 C:\lotus 或 %SystemDrive%\lotus 等目录中的本地版本进行比较。此操作可能用于判断系统是否属于 Active Directory 域。如果远程文件不可用,脚本将终止;否则,脚本会在可能引入最多 20 分钟的随机延迟以重试连接后继续执行。
环境准备:禁用和中断系统
第二批脚本通过系统性地削弱受感染系统的运行状态,为销毁该系统做好准备。其操作包括:
- 枚举本地用户帐户并禁用缓存凭据
- 注销活跃用户会话
- 禁用网络接口
- 执行 diskpart clean all 命令以擦除逻辑驱动器
此外,它还利用 Windows 原生实用程序(例如 robocopy)来覆盖或删除文件,并利用 fsutil 创建占用所有可用磁盘空间的大文件,从而有效地阻止恢复工作。
最终有效载荷执行:不可逆损伤
准备工作完成后,Lotus Wiper 有效载荷将被部署。它会删除还原点、覆盖物理扇区、清除日志记录并移除所有已挂载卷上的系统文件,从而完成销毁过程。此时,如果没有外部备份,几乎不可能进行恢复。
防御性建议:监测和缓解
各组织,特别是关键基础设施领域的组织,应采取积极主动的监测和检测策略。重点关注领域包括:
监控 NETLOGON 共享的更改
检测凭证转储或权限提升尝试
跟踪对 fsutil、robocopy 和 diskpart 等原生工具的异常使用情况
战略洞察:先前妥协的证据
针对过时Windows环境定制的功能的存在表明攻击者事先进行了侦察并进行了长期访问。攻击者可能对目标基础设施了如指掌,并且可能在发起破坏性攻击之前就已经攻破了域环境。
