思科Talos团队确认了这次攻击中使用的样本,比较有把握。随着我们继续调查,感染途径目前不得未知。然而,确认的样本表明攻击者的目的不是获取比赛信息,而是企图扰乱比赛。分析的样本似乎只执行破坏性功能。数据似乎没有泄露。分析表明,不法分子再度青睐合法软件,因为样本里面发现了PsExec功能。该恶意软件的破坏性旨在删除卷影副本和事件日志,企图使用PsExec & WMI进一步潜入到系统环境,从而使机器无法使用。我们之前在BadRabbit和Nyetya上也见过这种情形。

“OlympicDestroyer”(奥运会破坏者)的工作流程

初期阶段

初始的edb1ff2521fb4bf748111f92786d260d40407a2e8463dcd24bb09f908ee13eb9样本是个二进制文件,执行后会将多个文件投放到受害者主机上。这些文件作为资源被嵌入(混淆)。这些文件使用随机生成的文件名来命名,然而在我们分析的过程中,文件写到磁盘后的哈希值却一样。目前我们不知道所使用的初始感染途径。这可能以多种方式来实现,因为它只是个二进制文件。

两个投放的文件(窃取模块)用2个参数来执行:123和命名管道。命名管道用作初始阶段和投放的可执行文件之间的通信渠道。BadRabbit和Nyetya感染期间使用了这种手法。

初始阶段负责传播。使用两种手法来发现网络:

  • 通过使用WindowsAPI GetIPNetTable检查ARP表;

  • 通过使用下列请求检查WMI(使用WQL):“SELECTds_cn FROM ds_computer”。该请求试图列出当前环境/目录中的所有系统。

网络传播使用PsExec和WMI来执行(通过Win32_Process类)。这是远程执行的代码:

目的是将初始阶段复制到%ProgramData%\%COMPUTERNAME%.exe中的远程系统,并通过VBScript执行它。

为了执行横向移动( lateral movement),恶意软件需要登录信息(credential),为此它使用下文中描述的2个窃取模块,并使用了二进制文件中的硬编码登录信息。

如你所见,企图利用的域名与2018年平昌冬奥会有关。恶意软件作者知道冬奥会基础设施的许多技术细节,比如用户名、域名、服务器名称,显然还知道密码。我们发现了二进制文件中的44个帐户。

投放的文件

浏览器登录信息窃取模块

Olympic Destroyer投放了浏览器登录信息窃取模块。最终的有效负载嵌入在有意混淆的资源中。样本要执行,必须有如前所述的2个参数。窃取模块支持:InternetExplorer、Firefox和Chrome浏览器。恶意软件解析注册表,会查询sqlite文件以便检索已存储的登录信息。SQLite嵌入在样本中:

系统登录信息窃取模块

除了浏览器登录信息窃取模块外,Olympic Destroyer还投放并执行系统窃取模块。该窃取模块企图从LSASS获取登录信息,其手法类似Mimikatz采用的那种手法。下面是初始阶段解析的输出格式:

破坏性部分

该恶意软件的破坏性部分在受害者机器上初始执行期间就开始了。正如讨论的那样,初始的恶意软件执行导致多个文件写入到磁盘。在此之后,恶意软件通过开始执行恶意破坏性部分,继续传播开来。通过利用主机上的cmd.exe,恶意软件先使用vssadmin删除系统上所有可能的卷影副本:

接下来,再次利用主机上的cmd.exe执行,我们可以看到恶意软件作者使用wbadmin.exe;有必要向不熟悉wbadmin的读者解释一下,这是现代操作系统上的ntbackup的替代者。

执行该步骤以确保文件恢复并非易事――WBAdmin可用于恢复单个文件、文件夹以及整个驱动器,因为这是可供系统管理员使用的一个非常方便的工具,以便帮助恢复。

攻击者在这条破坏性路径上采取的下一步是再次利用cmd.exe,但这回使用bcdedit(一种用于启动配置数据信息的工具),确保Windows恢复控制台并不试图修复主机上的任何内容。

攻击者现在企图确保任何受影响的主机想恢复极其困难,并进一步掩饰其行踪:执行了删除System & Security窗口事件日志这一操作,从而加大任何分析的难度。

清除所有可用的恢复方法表明该攻击者无意让机器可以使用。该恶意软件的目的是破坏主机,让计算机系统停运,并擦除远程数据。

此外,Destroyer禁用了系统上的所有服务:

该恶意软件使用ChangeServiceConfigW API,将启动类型改为4,这意味着:“Disabled:Specifies that the service should not be started.”

此外,该恶意软件列出了映射的文件共享;针对每个共享,它将擦除可写文件(使用未初始化的数据或0x00,取决于文件大小)。

最后,在修改所有系统配置后,Destroyer关闭受攻击的系统。

合法文件

此外,lympic Destroyer还投放合法的、数字签名的PsExec文件,以便通过使用微软的这款合法工具来执行横向移动。这是攻击者在武器库中利用合法工具的另一个例子。使用PsExec之类的合法工具将让攻击者不必花时间自行编写工具。

结论

在这种破坏性攻击期间,常常要考虑攻击的性质。破坏是这类攻击的明确目标,它让我们确信:这起事件背后的攻击者目的就是让冬奥会在开幕式期间难堪。

扰乱服务包括冬奥会官网瘫痪,这意味着观众无法打印门票。由于现场记者无法使用WiFi,开幕式报道受到影响。这里要考虑的另一个因素是,由于该恶意软件中使用硬编码的登录信息,奥运会基础设施还可能之前已经受到了攻击,导致这些登录信息外泄。

恶意软件的分发机制目前还不清楚,这意味着感染途径可能有好多条,但是如果攻击者已经潜入了环境,这起攻击可能已被远程执行。这将让不法分子可以找准开幕式的时间下手,并让他们得以控制影响的时间。

攻陷指标(IOC)

Olympic Destroyer: edb1ff2521fb4bf748111f92786d260d40407a2e8463dcd24bb09f908ee13eb9

Browser Stealer: 19ab44a1343db19741b0e0b06bacce55990b6c8f789815daaf3476e0cc30ebea (unpacked: ab5bf79274b6583a00be203256a4eacfa30a37bc889b5493da9456e2d5885c7f )

System Stealer: f188abc33d351c2254d794b525c5a8b79ea78acd3050cd8d27d3ecfc568c2936 (unpacked a7d6dcdf5ca2c426cc6c447cff76834d97bc1fdff2cd14bad0b7c2817408c334 )

Destroyer: ae9a4e244a9b3c77d489dee8aeaf35a7c3ba31b210e76d81ef2e91790f052c85

Psexec (legit): 3337e3875b05e0bfba69ab926532e3f179e8cfbf162ebb60ce58a0281437a7ef

Additional Olympic Destroyer:

D934CB8D0EADB93F8A57A9B8853C5DB218D5DB78C16A35F374E413884D915016

EDB1FF2521FB4BF748111F92786D260D40407A2E8463DCD24BB09F908EE13EB9

3E27B6B287F0B9F7E85BFE18901D961110AE969D58B44AF15B1D75BE749022C2

28858CC6E05225F7D156D1C6A21ED11188777FA0A752CB7B56038D79A88627C

声明:本文来自云头条,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。