當前位置:
首頁 > 最新 > 2018年平昌冬奧會受到「Olympic Destroyer」攻擊

2018年平昌冬奧會受到「Olympic Destroyer」攻擊

最新 03-01

綜述

2018年2月在韓國舉辦的平昌冬季奧林匹克運動會遭到不明身份的黑客攻擊。根據目前的分析來看,此次攻擊主要目的為破壞冬奧會的順利舉行,並沒有發現其他功能。分析人員在分析攻擊樣本後表示,此次攻擊的溯源與攻擊者身份難以下定論,攻擊者使用了多個其他攻擊團體的特徵,以此迷惑和誤導分析人員,使得攻擊者身份難以被確定。分析人員將該攻擊稱為「Olympic Destroyer」。

參考鏈接:

http://blog.talosintelligence.com/2018/02/who-wasnt-responsible-for-olympic.html?m=1

http://blog.talosintelligence.com/2018/02/olympic-destroyer.html

背景

2月11日,在韓國平昌的舉辦的冬奧會開幕式中,主辦方計算機系統遇到問題,工作人員稱是不重要的系統並且於12小時內修復。隨後,奧運會官員確認該問題源於一起網路攻擊,但並沒有細說。

Talos團隊日後發現了這次攻擊中使用到的樣本並進行了分析。目前無法確認主辦方系統是如何受到感染的。樣本表明攻擊者並不是想竊取信息而是要干擾此次冬奧會的順利進行。樣本分析只表現出了破壞的功能,並沒有關於信息竊取的內容。該樣本通過刪除卷影副本和活動日誌等手段破壞系統,這與之前的BadRabbit和Nyetya(NotPetya)類似。

隨後在2月28日,Talos再次發出一則博客,主要表示攻擊者身份無法準確確定,同時也希望不要盲目下結論。樣本使用了很多方法迷惑和誤導分析者,攻擊者反而會利用第三方的這些錯誤的判斷來更好的隱藏自身。

攻擊流程

「Olympic destroyer」是一組打包在一個exe可執行文件內的惡意樣本集,由憑據竊取模塊、摧毀器模塊及合法的,用於橫向傳播的PsExec模塊組成。樣本被運行後先通過憑據竊取模塊取得本機上保存的各種登陸憑證,結合自身內部硬編碼的登陸憑證,利用PsExec進行內網傳播。之後,樣本釋放並執行摧毀器模塊,對所有正在運行的系統服務嘗試禁用,並且刪除共享及本地目錄下的所有可寫文件,同時刪除卷影副本及各種系統日誌信息防止用戶恢復文件,最後樣本將關閉系統。以上操作將導致被感染系統離線、發生系統錯誤或者不能正常運轉,將影響各種依賴於在線系統完成的業務。

攻擊溯源

Lazarus Group (Group 77)

該組織當初攻擊孟加拉共和國的SWIFT銀行系統時,命名文件的方式為:evtdiag.exe,evtsys.exe和evtchk.bat(根據BAE System)。

此次樣本中使用了:%programdata%evtchk.txt。

另外,樣本和之前Bluenoroff的代碼邏輯相似,但由於文件名都已經公佈於眾,誰都可以使用,無法憑藉這些特徵確認攻擊者身份。攻擊者極有可能是利用這些明顯的特徵,迷惑分析人員,使其做出錯誤判斷。

APT3 & APT10

Intezer Labs表示此次樣本與之前APT3 和APT10的攻擊使用了相似的代碼。冬奧會樣本與之前APT3和APT10使用的一種工具有18.5%的相似度。然而APT3使用的工具是基於一款開源工具Mimikatz,所以相似度並不能說明什麼問題。Intezer Labs還指出冬奧會樣本使用了和APT10類似的AES密鑰生成演算法,然而這種演算法只有APT10用過,這可能是攻擊者疏忽的一個比較重要的線索,可以用來判斷其身份

Nyetya(NotPetya)

利用Mimikatz編寫的盜取用戶憑證的代碼在Neytya(NotPetya)中也出現過。同時,該樣本也和Notpetya一樣,通過濫用合法的PsExec和WMI來進行傳播,並且利用一條特定的管道(pipe)來發送盜取的憑證。但是該樣本並沒有像NotPetya一樣利用永恆之藍(EternalBlue)和永恆浪漫(EternalRomance)進行傳播,但在其代碼中仍然遺留了關於SMB漏洞的痕迹。

結論

單純的根據樣本逆向分析,很難溯源和確認攻擊者身份。攻擊者很明顯具備一定的實力,利用一些精細的信息來誤導研究人員,使得他們自身身份難以被確認。由於開源工具的方便和可靠性,因此不同攻擊之間使用的類似代碼很有可能是用來誤導分析人員的。在這個信息傳播及其迅速的時代,錯誤的判斷結論很可能給了攻擊者絕佳的隱藏機會,因此對待溯源問題應該更加謹慎。

聲明

本安全公告僅用來描述可能存在的安全問題,綠盟科技不為此安全公告提供任何保證或承諾。

由於傳播、利用此安全公告所提供的信息而造成的任何直接或者間接的後果及損失,均由使用者本人負責,綠盟科技以及安全公告作者不為此承擔任何責任。

綠盟科技擁有對此安全公告的修改和解釋權。

如欲轉載或傳播此安全公告,必須保證此安全公告的完整性,包括版權聲明等全部內容。未經綠盟科技允許,不得任意修改或者增減此安全公告內容,不得以任何方式將其用於商業目的。

關於綠盟科技

北京神州綠盟信息安全科技股份有限公司(簡稱綠盟科技)成立於2000年4月,總部位於北京。在國內外設有30多個分支機構,為政府、運營商、金融、能源、互聯網以及教育、醫療等行業用戶,提供具有核心競爭力的安全產品及解決方案,幫助客戶實現業務的安全順暢運行。

基於多年的安全攻防研究,綠盟科技在網路及終端安全、互聯網基礎安全、合規及安全管理等領域,為客戶提供入侵檢測/防護、抗拒絕服務攻擊、遠程安全評估以及Web安全防護等產品以及專業安全服務。

北京神州綠盟信息安全科技股份有限公司於2014年1月29日起在深圳證券交易所創業板上市交易,股票簡稱:綠盟科技,股票代碼:300369


喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 綠盟科技 的精彩文章:

ElectronJs遠程代碼執行漏洞
這些漏洞正侵害你的安全

TAG:綠盟科技 |