GigaWiper:融合三类恶意软件家族,形成新型破坏性后门程序

admin 2026-07-14 06:05:06 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: gigawiper是微软发现的Go语言编写的破坏性后门,整合了Crucio、Flockwiper等恶意软件代码,通过RabbitMQ和Redis通信,具备数据擦除、勒索加密、远程控制等功能,可长期驻留并切换窃密与破坏模式。防御建议包括开启篡改防护、EDR拦截、阻断C2地址。 综合评分: 88 文章分类: 恶意软件,威胁情报,漏洞分析,红队,安全运营


cover_image

GigaWiper:融合三类恶意软件家族,形成新型破坏性后门程序

鹏鹏同学 鹏鹏同学

黑猫安全

2026年7月13日 09:16 湖北

在小说阅读器读本章

去阅读

2025 年 10 月,微软威胁情报团队在遭入侵的系统环境中监测到恶意数据擦除行为,并追溯溯源至一款此前未知的恶意软件,微软将其命名为 GigaWiper。该恶意软件采用 Go 语言编写,既是可接收指令的后门程序,又内置多种数据销毁功能;它整合了至少三款老牌恶意软件家族的代码,被封装成单一植入程序。对于以摧毁目标系统为目的的攻击者而言,该工具的攻击效率极高。

微软发布的报告指出:“将多种破坏功能整合进模块化后门,标志着数据擦除类恶意软件出现了显著变化。传统数据擦除恶意软件的核心目的往往仅为破坏数据,而非勒索牟利,会造成真实且严重的后果。GigaWiper 充分体现了威胁攻击者在优化攻击运作效率方面的布局:把多款独立工具整合为统一攻击平台,既缩小工具部署痕迹,又大幅增强破坏能力。”

其后门程序通过 RabbitMQ 与攻击者服务器通信以接收指令,并借助 Redis 回传执行结果。它通过一项名为 “OneDrive Update” 的计划任务实现持久驻留,每分钟运行一次并随系统开机自动启动;同时在伪装成 OneDrive 配置项的注册表项中记录自身运行次数。程序指令编号范围为 1 至 20,单一款植入程序具备异常丰富的功能。

各类破坏性指令是其最核心的高危特性:

  • 指令 1:对物理磁盘进行底层原始擦除,分块覆写磁盘数据,清除非 Windows 磁盘的分区元数据,随后强制重启系统。
  • 指令 2:触发系统蓝屏死机,删除关键启动文件与内核文件,导致设备无法正常启动。
  • 指令 3:使用随机生成且不做留存的密钥加密文件,将文件后缀改为 .candy,并设置恶意警示图片为系统桌面壁纸。

研究人员表示:该恶意软件并未留下勒索信息,也不存在文件恢复途径,攻击者自始至终没有提供解密的意图。

  • 指令 12:针对 Windows 系统盘执行多次深度覆写擦除,依次用零值、0xFF 值以及随机数据反复覆写磁盘,实现彻底清除数据。

除数据销毁功能外,该后门还具备一套完整远程控制功能:

  • 指令 20:通过 TCP 协议建立类似 VNC 的远程桌面会话,实现键鼠全程操控,并创建伪装为合法 Windows 组件的防火墙规则以隐藏恶意流量。
  • 指令 9、10:可截取屏幕截图,或在用户操作时持续录制屏幕。
  • 指令 15 至 18:用于收集系统信息、管控进程、管理系统服务、浏览注册表,可保持会话状态持续交互,相当于交互式注册表浏览器。
  • 指令 19:清除 Windows 系统事件日志;若首次清除安全日志失败,则采用备用方法二次清除;最后会在控制台输出一串字符:kharbvnmhkjbkjb

GigaWiper 的技术架构极具研究价值。微软确认,三项核心破坏性指令均源自同一家攻击组织此前开发的三款独立恶意软件家族。

  • 指令 3(仿勒索加密功能)基于 Crucio 勒索软件代码开发。Crucio 曾在 2023 年 12 月被美国网络安全和基础设施安全局(CISA)发布安全公告预警。GigaWiper 中负责文件加密的函数 BigBangExtortMain,其函数名与核心逻辑均和 Crucio 保持一致。

微软表示:“GigaWiper 后门指令 3 大量复用 Crucio 的代码,据此判定两款恶意软件出自同一威胁攻击组织。”

指令 12(多次深度数据擦除功能)是用 Go 语言重新实现的 FlockWiper。FlockWiper 是一款基于 C 语言开发的数据擦除恶意程序,早在 2025 年 6 月就已出现在病毒检测平台 VirusTotal 上,早于 GigaWiper 被发现。二者核心逻辑与字符串信息几乎一致,GigaWiper 版本可视作其迭代升级版。FlockWiper 编译文件中包含程序数据库路径,内含字符串 GRAT;该字符串也反复出现在 GigaWiper 的函数命名中,进一步证实二者存在关联。

报告补充说明:“GRAT 同样频繁出现在 GigaWiper 后门的多个函数名中。尽管 FlockWiper 程序本身不包含 GRAT 相关功能,但程序数据库路径线索印证了二者的同源关系。”

该字符串线索暗示可能存在一款尚未被完整捕获的相关攻击框架或组件。

指令 1(独立磁盘擦除功能)直接复用了另一款独立数据擦除恶意程序代码:函数命名和代码执行流程完全一致,相当于把独立擦除程序整体嵌入后门,作为可随时调用的指令模块。

这种模块化架构改变了防御思路:传统数据擦除恶意软件仅一次性部署运行、随即销毁数据;而 GigaWiper 可长期驻留主机、维持后门连接,随时在静默情报窃取模式和全盘破坏模式之间切换,无需攻击者额外部署新工具。今天用于截屏、管控进程的植入程序,隔日即可执行全盘擦除。

样本中的 C2 通信基础设施信息:使用地址 185.182.193[.]21,通过 5544 端口经由 RabbitMQ 下发指令,7542 端口经由 Redis 回传结果。RabbitMQ 的 fanout 交换机名为 All,可同时向所有受感染主机广播指令;topic 交换机名为 Topic,支持向指定主机下发定向指令。

报告总结:“GigaWiper 是一款功能完备的后门程序,攻击者可长期控制受感染主机、执行指令、部署额外恶意工具,并按需调用多种数据销毁指令。攻击者借此实现灵活攻击模式,既能长期隐秘窃密,也可随时发起毁灭性擦除攻击。整体来看,该恶意软件反映出攻击组织工具链的迭代演变:多款功能被整合进单一成熟后门,极大提升攻击者控制、破坏受害设备的能力。”

微软给出的防御建议重点在于阻断数据擦除恶意软件常用的系统防御绕过手段:开启篡改防护功能,防止攻击者关闭安全防护服务;将终端检测与响应(EDR)系统设置为拦截模式;启用云防护功能,及时拦截新型变种恶意程序。企业可立即在网络层面阻断已知 C2 地址 185.182.193[.]21 的访问,防范恶意通信。


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:黑猫安全 鹏鹏同学 鹏鹏同学《GigaWiper:融合三类恶意软件家族,形成新型破坏性后门程序》

评论:0   参与:  0