平昌冬奧開幕式遭惡意軟體攻擊

惡意軟體非常了解奧運電腦網路的結構和用戶。

由於wiper惡意軟體癱瘓了奧運網路，2018年平昌冬奧會上的湯加旗手可能無法及時在奧運官網上訂購到襯衫。

平昌冬奧會組委會周日證實，在周五開幕式前和開幕式期間，奧運網路受到惡意軟體攻擊是造成網路中斷的原因。在開幕式前，冬奧會官方網站出現故障，導致與會者無法列印活動門票或獲取場地信息。直到周六早上8點才恢復正常。多個網路出現故障，包括體育場內的Wi-Fi和奧運新聞中心的網路。

原因顯然是遭受到了一個叫Wiper（刮水器）的惡意軟體攻擊，它利用盜取的安全證書在整個平昌冬奧官網中傳播。據衛報報道，直到攻擊發生整整12個小時後，奧運會的網路才於周六上午8點完全恢復。

思科公司Talos Group（塔羅斯團隊）網路安全情報研究員Warren Mercer和Paul Rascagneres在今天的博文中透露，Talos已鑒定出（中等置信度）攻擊中使用的一些惡意軟體。目前還沒有確定惡意軟體是如何引入到網路的，但Talos檢查的二進位文件顯示攻擊者對平昌網路系統有深入的了解。

Mercer和Rascagneres寫道：「惡意軟體作者知道奧運會基礎設施的許多技術細節，例如用戶名，域名，伺服器名稱以及很明顯也掌握了密碼口令。 「我們確定了二進位文件中的44個個人賬戶。」其中一些是相當通用的用戶名，但另一些卻是給特定用戶或代理軟體的用戶名。

惡意軟體「dropper」（滴管）使用這些證書，在Web瀏覽器和操作系統里植入盜取安全證書的惡意軟體來收集其他用戶的登錄名和密碼，幫助其在網路中自我傳播。 Talos的研究人員們指出，用於從目標系統收集證書的惡意軟體使用了與去年Bad Rabbit cryptoransomware和NotPetya wiper（流氓兔和雨刮器）攻擊相同的進程間通信通道（該通道用於將用戶名和密碼傳回給dropper）。

惡意軟體dropper藉由Windows Management Instrumentation（WMI）發出請求列出同一Active Directory（活動目錄）樹中的所有系統，再通過Windows API請求查獲這些系統的WindowsTCP / IP地址解析協議（ARP）表，從而掃描確定要侵入的其他系統目標。

Dropper一旦搜尋到目標並成功連上，惡意軟體就會使用PsExec工具 （一種合法的Windows管理工具） - 在目標系統上遠程執行一個Visual Basic腳本(VBScript)，這個腳本文件會將自己複製到目標系統並再次啟動該過程。

由dropper幫助擴散傳播的惡意軟體wiper，通過Windows命令行解釋程序cmd.exe刪除所有「影子」文件和Windows備份目錄，關閉Windows"引導區的恢復模式，再關閉所有相關的後台服務並將其標記為已禁用。最後清除掉安全和系統日誌以隱藏其痕迹而掩蓋惡意活動。

這次襲擊似乎是專門針對奧會組織者的，他們試圖通過破壞開幕式而令其出盡洋相。因為在過程中沒有數據被盜的證據。惡意軟體的特徵意味著開發這樣的軟體需要有非常好的高級情報收集能力，包括對平昌組委會系統內部的了解，以及一個具備精良技術和完善工具的專業開發團隊。究竟誰符合這些條件 - 誰想要破壞冬季奧運會 - 這些就留給讀者作腦力體操吧。

Talos Group，思科Talos團隊由業界領先的網路安全專家組成，他們分析評估黑客活動，入侵企圖，惡意軟體以及漏洞的最新趨勢。包括ClamAV團隊和一些標準的安全工具書的作者中最知名的安全專家，都是思科Talos的成員。該團隊的專長涵蓋軟體開發，逆向工程，漏洞分析，惡意軟體的調查和情報收集等。思科Talos團隊同時也負責維護Snort.org，ClamAV，SenderBase.org和SpamCop中的官方規則集,同時得到了社區的龐大資源支持，使得它成為網路安全行業最大的安全研究團隊。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！