文章总结： 卡巴斯基发现针对能源与公共事业领域的新型数据擦除恶意软件LotusWiper，该恶意软件通过批处理脚本禁用系统防御机制、修改用户密码、擦除磁盘数据并删除系统还原点，最终导致系统无法恢复。分析显示攻击者利用域共享文件作为触发机制，且攻击筹备时间长达数月。文章提供了具体检测规则和安全建议，包括监控NETLOGON共享、审计权限和加强备份恢复能力。 综合评分： 88 文章分类： 恶意软件,漏洞预警,应急响应,威胁情报,数据安全

莲花清除器（Lotus Wiper）：针对能源与公共事业领域的新型威胁

原创

卡巴斯基GREAT 卡巴斯基GREAT

卡巴斯基威胁情报

2026年4月22日 12:48 北京

在小说阅读器读本章

去阅读

鉴于 2025 年末至 2026 年初加勒比地区出现地缘政治紧张局势，委内瑞拉能源与公共事业领域遭破坏性数据擦除攻击的相关攻击链痕迹，已在一份公开资源中被发现，相关样本于 12 月中旬上传。

两个批处理脚本负责启动攻击的破坏性阶段，并为执行最终擦除载荷准备环境。这些脚本在全网协调行动、削弱系统防御、干扰正常运行，随后获取、解密并执行一款此前未被发现的擦除恶意软件，我们将其命名为莲花清除器（Lotus Wiper）。该软件会清除系统恢复机制、覆盖物理磁盘内容，并按系统路径删除受影响分区中的文件，最终导致系统无法恢复。

本文将对已发现的各类样本进行深度分析，包括其功能、行为及对目标系统的影响。分析同时结合相关背景信息，帮助更全面地理解此次威胁场景。基于这些发现，我们给出提升检测覆盖范围与应急响应能力的建议。

勒索软件？不，这是数据清除器

我们在日常威胁狩猎与恶意软件分类工作中发现，一款全新文件擦除器连同相关攻击样本，已从委内瑞拉某设备上传至公开资源库。该擦除器会强力清除数据与文件，使攻击后的数据无法恢复。

与勒索软件不同，样本中未发现任何付款提示或勒索机制，表明其开发目的并非牟利。同时，恶意软件样本中存在明确迹象，显示目标受害者属于公共事业与能源行业。对样本来源元数据的分析显示，上传时段正值该地区、该行业恶意软件活动公开报告激增期。因此我们认为，这款擦除器针对性极强、无牟利动机，旨在彻底清除设备上的所有文件与数据。

初始阶段的批处理脚本（BAT）

由于样本压缩包包含此次擦除攻击所用的全部组件，我们得以完整还原其执行链条。首个被部署的组件是名为 OhSyncNow.bat 的文件，它会启动一系列操作，最终投放负责对系统实施破坏的擦除器有效载荷。

该批处理脚本首先会定位目标本地目录，优先使用 C:\lotus，若该路径不可用则改用 %SystemDrive%\lotus。随后，脚本尝试禁用并停止 交互式服务检测（UI0Detect） 服务 —— 这是一项 Windows 系统进程，当运行在会话 0 中的后台服务试图显示图形界面或交互对话框时，会向用户发出提醒。此举大概率是为了避免出现可暴露恶意行为的可见警告。

微软自 Windows 10 1803 版本起已移除 UI0Detect 服务，现代 Windows 系统中不再存在。因此，禁用该服务的操作仅对旧版系统有效，说明恶意脚本是针对仍搭载该服务的老旧 Windows 设备设计的。

脚本接下来会检查 NETLOGON 共享，并尝试访问域网络路径上的一个远程文件（名为 OHSync.xml 的 XML 标记文件）。脚本在变量中硬编码了目标机构名称，用于构造访问路径。若远程文件存在，脚本会在第一步定义的目标目录中检查本地是否存在对应的 OHSync.xml 文件。若本地文件也存在，则从本地目录执行第二个批处理文件 notesreg.bat；即便未找到本地文件，后续阶段仍会执行。本地检查的目的，大概率是判断主机是否属于 Active Directory 域。若未找到远程文件，脚本直接退出。若初始无法访问 NETLOGON 共享，脚本会随机延迟最长 20 分钟后再次重试远程检查。

该逻辑构成基于网络的触发机制：远程 XML 文件的存在作为控制信号，用于在域内多台设备上统一启动执行。这种手法与经典后门触发机制一致，即依靠外部可访问资源控制恶意软件行为。

notesreg.bat 执行后，会检查另一个 XML 标记文件，判断脚本是否已运行过。若该文件存在，脚本会自毁并删除攻击链中的恶意组件，表明其设计为一次性执行。

若标记文件不存在，脚本会枚举本地用户账户（排除少数特定名称，包括目标公司 IT 部门相关账户），将其密码修改为随机字符串，并标记为禁用状态。

随后，该批处理脚本通过一系列操作控制设备访问权限：

• 它通过 reg add 命令修改 CachedLogonsCount 注册表项，禁用缓存登录（阻止在无网络连接时登录系统）。

• 注销当前活动会话

• 使用 netsh 命令禁用网卡，阻断设备与外部系统的网络通信

接下来，脚本继续执行核心破坏操作：

• 枚举系统中所有逻辑驱动器，并执行 diskpart clean all 命令擦除各卷。clean      all 操作会用零值覆盖整个磁盘，彻底销毁其上所有分区与数据：

• 创建工作目录，并将最终植入程序运行所需的 Windows 二进制文件（命令行工具）与 DLL 文件复制到该目录。

• 通过  robocopy 命令递归镜像文件夹，以覆盖现有内容或直接删除。

• 在执行最后一步之前，脚本会计算可用剩余空间，并通过 fsutil 命令创建一个几乎占满整个磁盘的文件，以此耗尽存储容量。

最后，该批处理脚本会执行恶意程序 nstats.exe。该程序伪装成 Windows 平台上 HCL Domino（原 Lotus Domino） 应用开发套件的合法服务进程。

脚本会将另外两个恶意程序 nevent.exe 与 ndesign.exe 作为参数传入（文件名同样模仿 HCL Domino 组件）。

最终，这一系列操作会拉取并执行莲花清除器（Lotus Wiper）的有效载荷。

这表明攻击者事先已获得目标主机的访问权限，因为这些可执行文件需要提前部署到受害者设备上，这也印证了此前在受感染主机上发现后门活动的证据。

最终植入物：莲花清除器（Lotus Wiper）

在预先准备好的“环境”中解密并执行清除器，是批处理文件所执行感染序列的最后一步。如前文所述，最终的批处理脚本会使用两个参数运行二进制文件nstats.exe：nevent.exe和ndesign.exe。第一个参数指的是对全部内容应用了异或（XOR）加密的文件；解密后的内容会保存在第二个文件中，这就是最终的清除器植入文件。由此可见，nstats.exe的唯一作用是解密并恢复可能已被加密以避免被检测到的清除器可执行文件。

我们命名为Lotus Wiper的清除器的执行是攻击的最后一步。它启用当前令牌中的所有权限以访问管理功能（依赖预先存在的高权限），删除还原点，并通过向每个物理驱动器的扇区写入全零来擦除所有物理驱动器。然后，它会清除卷日志的更新序列号（USN），最后扫描所有卷以查找要删除的文件。

还原点是在对Windows系统进行关键更改后记录的点。这些还原点可使用户在进行了导致系统不稳定或无法使用的关键更改后恢复系统。为防止受害者使用这些还原点，Lotus Wiper会利用系统还原应用程序编程接口（API），通过动态加载DLL文件srclient.dll（MSDN规定）并解析两个过程：SRSetRestorePoint和SRRemoveRestorePoint。调用SRSetRestorePoint可使Lotus Wiper设置类型为MODIFY_SETTINGS的还原点并检索当前还原点序列号。利用该序列号，Lotus Wiper可以反向操作并调用SRRemoveRestorePoint来逐步删除系统中的所有还原点。

在首次删除还原点后，Lotus Wiper会扫描所有物理驱动器并将每个驱动器的内容“清零”。该过程包括打开物理驱动器，并使用DeviceIoControl发送IOCTL代码IOCTL_DISK_GET_DRIVE_GEOMETRY_EX，以获取设备类型、柱面数、每柱面磁道数、每磁道扇区数、每扇区字节数和设备大小。清除器使用这些信息写入零并填充每个磁盘扇区。

在Lotus Wiper执行的开始和结束时都会强制擦除所有物理驱动器，并且每次擦除完成后都会重复删除还原点的操作。在最后一次擦除驱动器时，会发送IOCTL代码IOCTL_DISK_UPDATE_PROPERTIES，以便系统获知磁盘更改。

在多次擦除物理驱动器之间，Lotus Wiper会使用FindFirstVolumeW，然后使用FindNextVolumeW来识别每个已挂载的卷。它会将这些卷发送到一个新线程，该线程执行两项擦除操作：删除所有系统文件并清除卷的更改日志。

在该线程上运行的程序会从日志中删除与给定文件相关的任何USN，并在删除该文件之前和之后执行此操作。删除操作仅针对文件而非目录执行，它使用IOCTL代码FSCTL_SET_ZERO_DATA用零填充文件区域。然后，为掩盖原始文件名，恶意软件会使用随机十六进制名称重命名该文件，并使用DeleteFileW删除它。如果由于任何原因（例如，文件正在使用中）删除失败，清除器会调用MoveFileExW将文件移动到空目标位置，从而将其删除。作为此调用的一部分，清除器会使用一个标志来延迟删除操作，直到操作系统重新启动，从而避免对文件施加任何锁定或限制。

使用IOCTL控制清除USN日志

安全措施与建议

我们建议企业和政府机构对域共享上的权限和文件活动进行审计，并监控NETLOGON以发现未经授权的文件更改。正如我们在攻击链中所讨论的，攻击者有可能利用共享文件作为触发机制，来协调跨主机的执行操作。  与本次攻击中执行的大多数破坏性操作一样，清除器的执行需要高权限。在类似的攻击活动中，攻击者往往会先入侵低权限账户，然后提升权限以获得进行破坏性活动所需的访问级别。尽管现有信息并未直接将清除器攻击与权限提升联系起来，但监控工作仍然至关重要。  通过在安全日志中搜索令牌滥用和凭证收集的迹象，可识别出潜在的凭证转储或权限提升活动。  留意系统内置工具的异常使用情况，尤其是与批量复制、文件销毁和磁盘操作相关的工具。为避免被发现，威胁行为者经常采用“就地取材”策略，即在攻击中使用系统工具，例如fsutil、robocopy和diskpart等。  确保存储安全并进行测试，以确保在发生破坏性活动时能够迅速恢复关键系统和数据，这将有助于确保备份的可访问性。

结 论

最具破坏性的威胁类型之一便是清除器攻击，其目的在于永久性销毁数据，而非窃取数据或索要赎金。清除器攻击只会删除或覆盖数据，导致系统无法启动且无法恢复。这与为了索要钱财而加密数据的勒索软件截然不同。先前的清除器攻击，如2017年的NotPetya攻击和2022年的HermeticWiper攻击，均对企业和关键基础设施网络造成了重大影响。

批处理脚本揭示了环境中存在Lotus Wiper攻击者的一个关键细节。鉴于这些文件包含针对较旧版本Windows操作系统的某些功能，攻击者很可能在攻击发生前很久就已了解该环境并入侵了该域。

此外，我们发现Lotus Wiper是在2025年9月下旬编译的，而样本则于同年12月中旬上传至一个公开可用的资源库。在此之前，该恶意软件并未被用于任何其他攻击。假设PE文件的编译时间未被篡改，这表明攻击者已为这次攻击筹备了数月之久。

卡巴斯基的检测情况

卡巴斯基的产品将此处讨论的恶意文件检测为HEUR:Trojan.BAT.Agent.gen、HEUR:Trojan.BAT.LotusWiper.gen

HEUR:Trojan.Win32.LotusWiper.gen。

卡巴斯基端点检测与响应专家版（Kaspersky Endpoint Detection and Response Expert）能够有效检测出每个阶段所述恶意活动的行为。本节将介绍可能的检测场景。

查询UI0Detect系统服务的状态并停止该服务，会在卡巴斯基EDR专家版中触发多条规则。这些规则也可在威胁情报门户中找到：  • 使用内置实用工具sc.exe查询UI0Detect服务状态时，会触发

system_service_discovery_via_standard_windows_utilities规则；

检测UI0Detect服务状态查询

• 尝试使用命令“sc stop “UI0Detect””和“sc config “UI0Detect” start= disabled”来停止服务，会触发“service_stop_or_disable_via_standard_windows_utilities（通过标准Windows工具停止或禁用服务）”相关检测机制

检测到UI0Detect服务停止

循环修改并禁用用户账户对应于Windows系统事件4724，该事件会触发change_password_for_built_in_user_account（修改内置用户账户密码）规则。

检测到内置用户账户的密码更改

当网络接口被禁用时，会触发network_interface_disable_via_netsh规则。顾名思义，该规则负责监控使用netsh.exe工具禁用网络接口的操作：

检测到网络接口被禁用

当cmd.exe等系统实用程序被备份到恶意软件文件夹时，会触发多条规则。  • 由于在通常不会出现命令行解释器的路径中创建了此类程序，会触发drop_interpreter_to_unusual_location（将解释器投放至异常位置）规则。在本案例中，该程序为C:\lotus\cmd.exe；  •create_file_named_like_system_tool_in_wrong_place（在错误位置创建名称类似系统工具的文件）规则基于类似原理运作，但监控的程序范围更广。

Cmd.exe位于错误位置

可在卡巴斯基威胁情报门户网站中使用威胁分析工具获取Lotus Wiper样本的动态执行流程：

卡巴斯基威胁情报门户上的执行图谱

该工具基于卡巴斯基沙盒产品中内置的一套独立规则，构建样本行为的图形化表示。这些规则的说明将于2026年第四季度在威胁情报门户上发布。

参考入侵指标（IoCs）

卡巴斯基情报报告服务的客户可获取有关Lotus Wiper的更多信息，包括入侵指标。如您感兴趣，

请联系mailto:[email protected]。

0b83ce69d16f5ecd00f4642deb3c5895  c6d0f67db6a7dbf1f9394d98c1e13670  b41d0cd22d5b3e3bdb795f81421a11cb

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：卡巴斯基威胁情报 卡巴斯基GREAT 卡巴斯基GREAT《莲花清除器（Lotus Wiper）：针对能源与公共事业领域的新型威胁》