文章总结: 新型木马GigaWiper专攻Windows平台,具备后门窃密、全盘数据销毁及伪勒索加密三重能力。攻击者通过Go语言后门持久化渗透,利用RabbitMQ和Redis通信,伪装成OneDrive更新隐藏。企业需立即隔离终端、封禁IOC并核验离线备份,常态化应加强权限管控、监控注册表与计划任务,并定期演练灾难恢复。 综合评分: 89 文章分类: 恶意软件,威胁情报,应急响应,安全运营,实战经验
新型木马GigaWiper来袭!伪装OneDrive持久驻留,一键清空企业全盘数据
看雪学苑 看雪学苑
看雪学苑
2026年7月10日 17:59 上海 标题已修改
在小说阅读器读本章
去阅读
继各类勒索病毒肆虐政企网络后,一款兼具后门窃密、全盘数据销毁、伪勒索加密三重杀伤能力的新型恶意程序GigaWiper被微软安全团队曝光。
该恶意程序专为Windows平台打造,并非单纯窃取数据的木马,核心目标是对企业业务系统实施不可逆毁灭性破坏,一旦中招将直接引发大规模业务宕机。
攻击溯源:2025年10月已现真实受害案例
微软安全监测团队早在2025年10月就捕获到多起企业环境遭大规模磁盘擦除的入侵事件,顺着攻击链路溯源,最终将这款模块化恶意样本命名为GigaWiper。
攻击者并非直接投放销毁工具,而是采用Go语言编写的持久化后门载体先行渗透内网:
-
后门长期潜伏主机,支持远程监控、信息收集、内网测绘;
-
攻击者完成内网横向移动、资产摸排后,下发销毁指令触发破坏流程;
-
工具融合多款老牌恶意程序功能,模块化设计让攻击链路灵活多变,传统杀毒规则难以全覆盖拦截。
核心破坏力:三种毁灭手段,数据彻底无法恢复
GigaWiper区别于普通勒索病毒、磁盘擦除器的核心,是内置三套独立销毁机制,攻击者可按需组合使用:
1. 底层磁盘物理覆写,直接摧毁系统分区
工具会自动定位Windows系统盘与全部外接/内置存储设备,清空分区表、分块覆写磁盘原始数据,完成后强制主机重启。
不同于普通删除文件,该操作直接破坏磁盘底层存储结构,即便专业数据恢复机构也无法还原业务数据。
2. 伪装勒索加密,无任何解密密钥
下发加密指令后,恶意程序会用随机密钥加密主机内全部文件,并统一后缀 .candy。
看似标准勒索病毒行为,但程序不会留存解密密钥、不生成勒索信,不存在任何数据恢复途径,纯粹借加密实现数据销毁。
3. 破坏启动环境,抹除入侵日志规避溯源
后门会主动删除系统启动文件、内核组件、系统恢复分区,导致主机直接无法开机;同时清空Windows全部事件日志,大幅抬高安全团队的应急溯源、取证难度。
隐蔽持久驻留:借OneDrive伪装绕过运维排查
为实现长期潜伏、等待销毁指令,GigaWiper设计了极具迷惑性的持久化方案,极易被运维人员忽略:
-
写入OneDrive相关注册表项标记程序运行状态;
-
创建名为「OneDrive Update」的开机定时任务,伪装微软云同步更新程序;
-
依托常规系统进程名称伪装,在大型企业海量终端中很难被快速识别异常。
独特通信架构:RabbitMQ+Redis双向受控
该后门通信架构区别于常规木马C2通道,采用中间件实现批量管控:
- 通过RabbitMQ接收攻击者下发的广播/单台针对性攻击指令;
- 借助Redis向控制服务器回传主机状态、命令执行结果;
企业完整防御处置方案
入侵应急处置(疑似中招立刻执行)
-
第一时间隔离涉事终端,断开内网与外网,防止横向扩散;
-
留存主机取证数据,切勿重启、格式化设备;
-
全网封禁文章内全部GigaWiper恶意IOC指标,切断C2通信;
-
优先核验离线备份资源,避免销毁指令扩散至更多终端。
常态化防护加固
-
严格管控本地管理员权限,最小化终端高权限账户;
-
常态化监控注册表变更、开机定时任务,重点筛查OneDrive相关可疑计划任务;
-
全程开启终端防护、云检测工具,针对磁盘覆写、批量加密、清空日志行为配置告警;
-
搭建离线隔离备份体系,定期演练系统崩溃、全盘销毁场景下的业务恢复流程;
-
安全团队重点监控高危行为:批量磁盘操作、日志清空、未知程序批量加密文件。
以往企业安全防护重心大多放在勒索病毒解密、数据窃取类木马上,而GigaWiper的出现敲响警钟:毁灭式擦除恶意程序已形成成熟模块化攻击体系。
攻击者可先潜伏窃密、摸清企业核心资产,再一键销毁全盘数据,对生产、政务、制造业企业打击力度远超普通勒索攻击。
想要降低损失,离线备份、实时终端行为检测、定期灾难恢复演练,三者缺一不可。
资讯来源:Cyber Security News(CSN)微软威胁情报专项报告
球分享
球点赞
球在看
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:看雪学苑 看雪学苑 看雪学苑《新型木马GigaWiper来袭!伪装OneDrive持久驻留,一键清空企业全盘数据》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。










评论