Olympic Destroyer分析:攻击平昌2018冬奥会

-回复 -浏览
楼主 2020-05-26 06:05:08
举报 只看此人 收藏本贴 楼主

鸿运滚滚来

GOOD LUCK 2018

新年好

Cisco Talos的研究人员发现,Olympic Destroyer是针对平昌冬奥会的恶意软件,在冬奥会开幕前就已经应用了,会造成内部WiFi和电视系统宕机,并破坏冬奥会开幕式的一些操作。

Cisco 昨天公布了针对该威胁的初步分析,说明该恶意软件可以篡改计算机的数据恢复步骤,删除重要的Windows服务,使Windows系统的计算机不能启动。

攻击步骤

在系统中释放Olympic Destroyer(释放方法未知);

Olympic Destroyer应用两个文件,浏览器凭证窃取器和系统凭证窃取器;

浏览器凭证窃取器从IE, Firefox, Chrome浏览器收集凭证;

系统凭证窃取器用类似Mimikatz的技术从Windows LSASS (Local Security Authority Subsystem Service,本地安全授权子系统服务)收集凭证;

Olympic Destroyer样本将收集的凭证添加到之前存在的硬编码的凭证列表中;

Olympic Destroyer检查本地主机的ARP表;

Olympic Destroyer用WMI来寻找相同网络上的其他主机;

Olympic Destroyer用窃取的凭证和硬编码的凭证来在其他主机之间传播;

破坏性的行为包括使用VSSAdmin来删除影拷贝(volume copies);

Olympic Destroyer用md.exe和WBAdmin.exe来静默地删除OS系统备份目录;

Olympic Destroyer用cmd.exe和BCEdit.exe来关闭pre-boot Windows恢复配置台;

Olympic Destroyer删除系统和安全Windows事件日志来隐藏自己的行为记录;

Olympic Destroyer关闭PC上的所有Windows服务;

Olympic Destroyer列出映射的文件共享并擦除每个共享上的可写文件;

Olympic Destroyer关闭设备,并导致设备无法启动。

威胁分析

1. Olympic Destroyer 其实是一个数据擦除器

恶意软件的数据擦除机制可以删除网络共享上的文件。数据擦除行为可能不会删除操作系统所需的重要的文件,但是可以删除网络驱动上共享的文件。


2. Olympic Destroyer 在每个计算机上有不同的变种

除了数据擦除机制以外,还有另外一个更加有意思的机制,那就是该恶意软件使用的一种自我修复机制。恶意软件可以来受感染的设备上进行变异。

恶意软件会在受感染的主机上释放两个凭证窃取器,可以窃取浏览器和系统的密码。然后用窃取的凭证和硬编码的用户名、密码来在受感染的网络上传播。

恶意软件会将这些新窃取的凭证加入到硬编码的凭证列表中。恶意软件利用自变异功能来收集更多的凭证,并在本地网络上传播。


3. Olympic Destroyer利用EternalRomance漏洞传播

Olympic Destroyer的自我变异行为并不能解释该恶意软件如何到达受感染的网络。

Windows Defender团队称,Olympic Destroyer可能是应用了NSA漏洞利用包中的工具永恒浪漫(EternalRomance)。该恶意软件创建的时候可能只有几周,对安全研究人员来说,响应的时间只有5天。关于该恶意软件的目的具体还不清楚,但可以确定的是并不是为了进行监听或者数据窃取。该恶意软件应该是为了破坏(destruction),恶意软件的破坏行为在bitlocker保护的设备上的作用最为有效。

我要推荐
转发到