漏洞概述 漏洞名称: GigaWiper 描述: GigaWiper是一种模块化后门程序,专为Windows系统设计,能够永久性地破坏系统和数据。它结合了命令与控制(C2)功能,并伪装成勒索软件,但实际上会加密文件并删除加密密钥,使恢复变得不可能。 主要功能: - Windows驱动器安全擦除: 针对Windows安装驱动器进行多次覆盖写入,导致数据不可恢复。 - 屏幕捕获和录制: 截取每个监视器的单帧截图并持续录制。 - 远程控制: 通过TCP服务器流式传输桌面,并允许键盘和鼠标输入,同时创建自己的Windows防火墙例外。 - 计划任务: 设置名为“OneDrive Update”的计划任务,每分钟运行并在启动时保持持久性。 影响范围 目标系统: Windows系统 攻击方式: 通过初始入侵后部署,攻击者可以执行破坏性命令。 检测名称: Malwarebytes检测到GigaWiper组件的检测名称为Trojan.FlockWiper和Backdoor.GigaWiper。 修复方案 预防措施: - 如果检测到GigaWiper,立即断开受影响机器与网络的连接,以防止攻击者执行破坏性命令。 - 启用防篡改保护(或安全软件中的等效功能),以防止本地管理员和恶意软件禁用反恶意软件或其他安全工具。 - 监控对已知C2服务器的连接、创建“OneDrive Update”计划任务以及尝试禁用Windows恢复的行为。 - 轮换凭证,特别是对于可能已被入侵的账户,并审查日志以确定是否有其他系统受到影响。 检测与移除: - Malwarebytes可以检测并移除GigaWiper组件。 POC代码或利用代码 页面中未提供具体的POC代码或利用代码。 其他信息 命令与控制服务器: 发现的C2服务器IP地址为185.182.193.[.]21和212.8.248.[.]104。 相关文章: - 6900万驱动程序许可证号码从AssuranceAmerica被盗 - Microsoft修复RoguePlanet零日漏洞 - 你的下一辆车可能会看着你的脸 总结 GigaWiper是一种高度危险的Windows后门程序,能够永久性地破坏系统和数据。建议用户采取上述预防措施,并使用Malwarebytes等安全工具进行检测和移除。