Shamoon是有史以来最具破坏性的恶意软件家族之一，每一次出现无不造成巨大的破坏和影响。近期，研究人员再次观察到了Shamoon出没的迹象，并且带来了新变种。研究人员认为其攻击目标将再次瞄准中东。

Shamoon于2012年在沙特阿拉伯国家石油公司(Saudi Aramco)的袭击事件中首次被人们发现，它能够销毁受感染机器上的文件，并覆盖主引导记录(MBR)让电脑瘫痪。事实证明，这种磁盘擦除能力对沙特石油巨头造成了极大的损害，导致该公司3万个工作站停产近一个月。之后Shamoon在人们视野中消失了四年，直到2016年以Shamoon2的身份再次出现。与最初的Shamoon恶意软件一样，升级后的版本还通过清除MBR和数据来破坏计算机硬盘驱动器，并针对了沙特阿拉伯的石化行业和央行体系，之后再次消失于人们的视野中。

而现在，据Chronicle安全研究人员称，2018年12月10日星期一，两份来自意大利的新样本被上传到VirusTotal，它们有一个硬编码的触发日期，设定在一年前的2017年12月7日——但奇怪的是，恶意软件还没有在任何活动中被发现。

应用情报部门负责人Brandon Levene表示，Shamoon的再现非常有趣，触发日期背后可能影响着多种可能性。例如，较早的触发日期可能表明恶意软件本身是旧的，但只是最近才发现——当然这种情况不太可能发生，因为只要过了触发日期恶意软件仍然会被执行；而另一种可能性是，恶意软件是预先构建的，现在已经准备好在战役前部署。

Levene表示:

威胁行为者本可以在当时就执行恶意软件，之所以没被执行，很有可能是威胁行为者正在等待时机，所以在很久以前就预先设定了一个触发日期。我们的团队还不能确定是谁创建了这个样本，或者是谁把它上传到VirusTotal。再次看到Shamoon的出现，其背后透露的意味是非常不寻常的，鉴于它的前科，我认为，威胁行为者又瞄准了一个新的攻击目标。

新样本的差异性

经过分析，这些Shamoon3样本与其余Shamoon的历史版本非常接近。不过除了触发日期之外，样本中包含的凭据列表的性质与之前的版本有了显著的不同。

与其他破坏性恶意软件(如NotPetya)类似，Shamoon使用经过身份验证的Windows Server Message Block (SMB)会话传播，将自身复制到其他系统。但是，Shamoon通常使用的是一组针对目标组织的硬编码域凭据，而不是使用外部工具或诸如forever nalblue之类的工具来渗透网络。这些凭证对于它的自动化蠕虫式传播是必需的，而此次分析的版本中则不包含这些凭证。

对此Chronicle表示，

与以前的版本不同的是，新版本所包含的凭证并不足以说明受害者的身份。进一步的发现表明，spreader模块实际上是被阉割的，它不包含凭证。

此外，在2012年和2016年，Shamoon恶意软件曾用一张图片(燃烧的美国国旗，或叙利亚难民儿童)来替换被破坏的文件。Chronicle分析的新版本仍然能够做到这一点，但是这个样本中放置图像的位置是空的。

Levene表示：

还有一点让我惊讶，恶意软件只是简单的加密文件，用随机数据覆盖MBR。这个变种与之前相比就像是缩减了规模。此外，与之前的版本的一个关键区别是用于选择已删除的可执行名称的文件名列表的更改，新列表要更长，与Shamoon或Shamoon2没有任何重叠。

总的来说，Levene认为这是一个非常高级别的威胁：

（幕后策划者）以一种有针对性的方式来引起相关组织的关注——即使没有嵌入凭证。中东的属性决定了是它是非经济动攻击行动的高发地。继续监测重要的资源和行业，及时警惕破坏和泄露的最新动向，才是当前最谨慎妥当的做法。