平昌冬奧會開幕受惡意軟體攻擊造成網路中斷
原創不易 請隨手點擊關注
本文由Rehoo團隊Leery原創,無授權禁轉!(圖片來自網路)
圖片來自網路
平昌冬奧會組委會周日證實,在周五開幕式前和開幕式期間,奧運網路受到惡意攻擊是造成奧運網路中斷的原因。在開幕式前,冬季運動會的官方網站出現故障,導致與會者無法列印活動門票或獲取場地信息。該網站直到周六早上8點才恢復。多個網路出現故障,包括體育場內的Wi-Fi網路和奧運新聞中心的網路。
原因是一個明顯的惡意軟體攻擊,利用盜取的證書在整個平昌遊戲官方網路中傳播。據衛報報道,該網路直到星期六當地時間上午8點,整個攻擊發生后12個小時才完全恢復。
圖片來自網路
在今天的博客文章中, 思科Talos Intelligence研究員沃倫默塞爾和Paul Rascagneres透露,Talos已經確定「中等信任」攻擊中使用的一些惡意軟體。目前還沒有確定惡意軟體是如何引入網路的,但Talos檢查的二進位文件顯示攻擊者對平昌網路系統有深入的了解。
Advertisements
Mercer和Rascagneres寫道:「惡意軟體發起者知道奧運遊戲基礎設施的許多技術細節,例如用戶名,域名,伺服器名稱以及明顯的密碼。「我們確定了二進位文件中的個人賬戶。」 其中一些是通用的用戶名,但另一些用於特定用戶或軟體代理。
圖片來自網路
惡意軟體「dropper」使用這些證書,並安裝了Web瀏覽器和操作系統憑證,竊取惡意軟體以收集其他用戶的登錄名和密碼,以幫助在網路中自行傳播。Talos的研究人員指出,用於從目標系統收集證書的惡意軟體元素去年使用了與壞兔加密軟體和NotPetya攻擊相同的進程間通信渠道。
通過運行Windows Management Instrumentation(WMI)請求列出同一Active Directory樹中的所有系統,並通過Windows API請求檢查Windows的TCP / IP地址解析協議(ARP)表,通過掃描其他系統的目標進行掃描。
Advertisements
圖片來自網路
一旦找到目標並成功連接到它們,惡意軟體就會使用PsExec工具在目標系統上遠程執行一個Visual Basic腳本(VBScript),並將其複製到自己並再次啟動該過程。
通過Windows的命令解釋程序cmd.exe刪除文件和Windows備份目錄的所有「影子」副本,關閉Windows'引導配置數據存儲區中的恢復模式,通過該刪除程序傳播的惡意軟體隱藏了其惡意活動,然後關閉所有服務並將其標記為禁用。然後惡意軟體清除安全和系統日誌以覆蓋其軌道。
圖片來自網路
這次襲擊似乎是專門為阻礙奧運會組織者而設計的,在此過程中沒有數據從網路中被盜的證據。惡意軟體的本質意圖是進行高級情報收集,包括潛在的平昌組委會系統內部知識,以及一個擁有完善技術和工具提供開發的專業團隊。究竟誰是破壞冬季奧運會的幕後者,依舊是個謎。