奧運會的毀滅者：Olympic Destroyer 惡意軟體

概要：今年冬奧會正在韓國平昌舉行。英國《衛報》報道了一篇文章，稱冬奧會計算機系統在開幕式期間遇到了技術問題。冬奧會官員證實非關鍵系統出現了一些技術問題，他們在大概12小時內已恢復正常。2月11日星期天，冬奧會證實確實發生了網路攻擊，但沒有發表進一步的評論。

思科Talos團隊確認了這次攻擊中使用的樣本，比較有把握。隨著我們繼續調查，感染途徑目前不得未知。然而，確認的樣本表明攻擊者的目的不是獲取比賽信息，而是企圖擾亂比賽。分析的樣本似乎只執行破壞性功能。數據似乎沒有泄露。分析表明，不法分子再度青睞合法軟體，因為樣本裡面發現了PsExec功能。該惡意軟體的破壞性旨在刪除卷影副本和事件日誌，企圖使用PsExec & WMI進一步潛入到系統環境，從而使機器無法使用。我們之前在BadRabbit和Nyetya上也見過這種情形。

「OlympicDestroyer」（奧運會破壞者）的工作流程

初期階段

初始的edb1ff2521fb4bf748111f92786d260d40407a2e8463dcd24bb09f908ee13eb9樣本是個二進位文件，執行後會將多個文件投放到受害者主機上。這些文件作為資源被嵌入（混淆）。這些文件使用隨機生成的文件名來命名，然而在我們分析的過程中，文件寫到磁碟後的哈希值卻一樣。目前我們不知道所使用的初始感染途徑。這可能以多種方式來實現，因為它只是個二進位文件。

兩個投放的文件（竊取模塊）用2個參數來執行：123和命名管道。命名管道用作初始階段和投放的可執行文件之間的通信渠道。BadRabbit和Nyetya感染期間使用了這種手法。

初始階段負責傳播。使用兩種手法來發現網路：

通過使用WindowsAPI GetIPNetTable檢查ARP表；

通過使用下列請求檢查WMI（使用WQL）：「SELECTds_cn FROM ds_computer」。該請求試圖列出當前環境/目錄中的所有系統。

網路傳播使用PsExec和WMI來執行（通過Win32_Process類）。這是遠程執行的代碼：

目的是將初始階段複製到%ProgramData%\%COMPUTERNAME%.exe中的遠程系統，並通過VBScript執行它。

為了執行橫向移動（ lateral movement），惡意軟體需要登錄信息（credential），為此它使用下文中描述的2個竊取模塊，並使用了二進位文件中的硬編碼登錄信息。

如你所見，企圖利用的域名與2018年平昌冬奧會有關。惡意軟體作者知道冬奧會基礎設施的許多技術細節，比如用戶名、域名、伺服器名稱，顯然還知道密碼。我們發現了二進位文件中的44個帳戶。

投放的文件

瀏覽器登錄信息竊取模塊

Olympic Destroyer投放了瀏覽器登錄信息竊取模塊。最終的有效負載嵌入在有意混淆的資源中。樣本要執行，必須有如前所述的2個參數。竊取模塊支持：InternetExplorer、Firefox和Chrome瀏覽器。惡意軟體解析註冊表，會查詢sqlite文件以便檢索已存儲的登錄信息。SQLite嵌入在樣本中：

系統登錄信息竊取模塊

除了瀏覽器登錄信息竊取模塊外，Olympic Destroyer還投放並執行系統竊取模塊。該竊取模塊企圖從LSASS獲取登錄信息，其手法類似Mimikatz採用的那種手法。下面是初始階段解析的輸出格式：

破壞性部分

該惡意軟體的破壞性部分在受害者機器上初始執行期間就開始了。正如討論的那樣，初始的惡意軟體執行導致多個文件寫入到磁碟。在此之後，惡意軟體通過開始執行惡意破壞性部分，繼續傳播開來。通過利用主機上的cmd.exe，惡意軟體先使用vssadmin刪除系統上所有可能的卷影副本：

接下來，再次利用主機上的cmd.exe執行，我們可以看到惡意軟體作者使用wbadmin.exe；有必要向不熟悉wbadmin的讀者解釋一下，這是現代操作系統上的ntbackup的替代者。

執行該步驟以確保文件恢復並非易事――WBAdmin可用於恢復單個文件、文件夾以及整個驅動器，因為這是可供系統管理員使用的一個非常方便的工具，以便幫助恢復。

攻擊者在這條破壞性路徑上採取的下一步是再次利用cmd.exe，但這回使用bcdedit（一種用於啟動配置數據信息的工具），確保Windows恢復控制台並不試圖修復主機上的任何內容。

攻擊者現在企圖確保任何受影響的主機想恢復極其困難，並進一步掩飾其行蹤：執行了刪除System & Security窗口事件日誌這一操作，從而加大任何分析的難度。

清除所有可用的恢復方法表明該攻擊者無意讓機器可以使用。該惡意軟體的目的是破壞主機，讓計算機系統停運，並擦除遠程數據。

此外，Destroyer禁用了系統上的所有服務：

該惡意軟體使用ChangeServiceConfigW API，將啟動類型改為4，這意味著：「Disabled:Specifies that the service should not be started.」

此外，該惡意軟體列出了映射的文件共享；針對每個共享，它將擦除可寫文件（使用未初始化的數據或0x00，取決於文件大小）。

最後，在修改所有系統配置後，Destroyer關閉受攻擊的系統。

合法文件

此外，lympic Destroyer還投放合法的、數字簽名的PsExec文件，以便通過使用微軟的這款合法工具來執行橫向移動。這是攻擊者在武器庫中利用合法工具的另一個例子。使用PsExec之類的合法工具將讓攻擊者不必花時間自行編寫工具。

結論

在這種破壞性攻擊期間，常常要考慮攻擊的性質。破壞是這類攻擊的明確目標，它讓我們確信：這起事件背後的攻擊者目的就是讓冬奧會在開幕式期間難堪。

擾亂服務包括冬奧會官網癱瘓，這意味著觀眾無法列印門票。由於現場記者無法使用WiFi，開幕式報道受到影響。這裡要考慮的另一個因素是，由於該惡意軟體中使用硬編碼的登錄信息，奧運會基礎設施還可能之前已經受到了攻擊，導致這些登錄信息外泄。

惡意軟體的分發機制目前還不清楚，這意味著感染途徑可能有好多條，但是如果攻擊者已經潛入了環境，這起攻擊可能已被遠程執行。這將讓不法分子可以找准開幕式的時間下手，並讓他們得以控制影響的時間。

攻陷指標（IOC）

Olympic Destroyer: edb1ff2521fb4bf748111f92786d260d40407a2e8463dcd24bb09f908ee13eb9

Browser Stealer: 19ab44a1343db19741b0e0b06bacce55990b6c8f789815daaf3476e0cc30ebea (unpacked: ab5bf79274b6583a00be203256a4eacfa30a37bc889b5493da9456e2d5885c7f )

System Stealer: f188abc33d351c2254d794b525c5a8b79ea78acd3050cd8d27d3ecfc568c2936 (unpacked a7d6dcdf5ca2c426cc6c447cff76834d97bc1fdff2cd14bad0b7c2817408c334 )

Destroyer: ae9a4e244a9b3c77d489dee8aeaf35a7c3ba31b210e76d81ef2e91790f052c85

Psexec (legit): 3337e3875b05e0bfba69ab926532e3f179e8cfbf162ebb60ce58a0281437a7ef

Additional Olympic Destroyer:

D934CB8D0EADB93F8A57A9B8853C5DB218D5DB78C16A35F374E413884D915016

EDB1FF2521FB4BF748111F92786D260D40407A2E8463DCD24BB09F908EE13EB9

3E27B6B287F0B9F7E85BFE18901D961110AE969D58B44AF15B1D75BE749022C2

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！