GigaWiper 结合多种恶意软件进行系统级破坏

2026-07-10 21:37:20 1 242

Microsoft报道称,八个多月来,一名威胁行为者一直在使用具有多种系统级破坏能力的破坏性后门和清除器。 这款名为GigaWiper的恶意软件,是一种基于Go的复杂后门,包含多个恶意软件家族和强大的命令控制(C&C)能力。


Microsoft报道称,八个多月来,一名威胁行为者一直在使用具有多种系统级破坏能力的破坏性后门和清除器。

后门的破坏性功能包括独立的擦除器、勒索软件加密和多次擦除命令。

这款名为GigaWiper的恶意软件,是一种基于Go的复杂后门,包含多个恶意软件家族和强大的命令控制(C&C)能力。

据Microsoft称,GigaWiper中的恶意软件以按需后门命令的形式折叠,允许攻击者执行独立的擦除器、类似勒索软件的加密命令,以及执行多次擦除的擦除命令。

Microsoft指出:“将多种破坏性能力整合到模块化后门中,反映了擦除恶意软件的显著转变,后者通常仅仅设计来摧毁而非勒索并带来现实世界的后果。”

GigaWiper 首次于2025年10月被观察到,它包含一个在物理磁盘层面工作的擦拭器。它通过 Windows 管理仪器(WMI)枚举驱动器以识别 Windows 分区,删除非 Windows 驱动器的分区引用,清除每个驱动器,然后重启系统。

GigaWiper 的后门组件也包含相同的擦除功能,包括相同的代码流和功能名称。此外,它还通过RabbitMQ和Redis建立了持久性和C&C通信。

根据收到的命令,它可以执行擦除、触发蓝屏死机(BSOD)、使用 MinIO 客户端向远程服务器上传文件、运行可执行文件、运行 PowerShell 命令、截图、录制屏幕、收集系统信息,并调用命令清除 Windows 安装。

后门还支持两个文件加密命令:一个是破坏性的,因为它使用随机的加密密钥,这些密钥从未被保存;另一个则针对批量文件进行加密和解密。

此外,GigaWiper 还能运行各种进程、注册表、RabbitMQ 路由和服务的管理器,清除 Windows 日志,并能启动服务器,为攻击者提供对感染系统远程控制的能力。

后门实现的抹除命令来自威胁行为者之前使用的多个较旧恶意软件,这些恶意软件被缝合在一起,并增加了后门功能。

GigaWiper 似乎由 Crucio 勒索软件开发者基于加密代码开发,但也显示出与 2025 年 6 月出现的 FlockWiper 的关联,后者共享相同的清除功能,并被移植到 Go 平台。

"GigaWiper是一个后门,具备强大的操作能力,使威胁行为者能够控制被感染的系统,执行命令,部署额外工具,最终按需触发多个破坏性命令之一。它使威胁行为者能够灵活运作,既能进行静默的间谍活动,也能实现破坏性的清除行动。"Microsoft指出。

关于作者

weak_hong49篇文章61篇回复

评论1次

要评论?请先  登录  或  注册
  • 1楼
    3 天前 21:37

    这波属实是把"多重威胁"玩明白了。GigaWiper把擦除器、勒索、后门功能全塞进一个Go写的模块化后门里,还绑了RabbitMQ和Redis做C2,这个组合挺少见的。

    几个有意思的点:

    1. 物理层擦除 - 直接在磁盘层面动手,不是简单删文件,而是清分区表+重写扇区,这种基本没法救
    2. 双模式加密 - 一个是纯破坏型的(密钥直接丢弃),另一个能正常加解密,说明这工具既能当擦除器用,也能临时改成勒索模式赚钱
    3. 缝合怪 - 微软说代码是从Crucio勒索和FlockWiper那边继承过来的,移植到Go省了不少开发时间

    实用角度来说:

    • 如果你在做红队评估或后门研究,这个样本值得抓来逆向看看,特别是它的WMI磁盘枚举逻辑和RabbitMQ通信部分
    • 对于应急响应,蓝屏死机+擦除这俩命令是最后阶段的毁灭行为,前期肯定有侦察和横向,发现的时候基本已经晚了
    • 它用了MinIO客户端上传文件这点挺巧的,流量混在正常S3兼容协议里不容易被揪出来

    总体看这是个定位很明确的工具:不是拿来潜伏偷数据的,是先控住再择机搞破坏那种。