SonicWall Capture Lab 위협 연구 팀은 OlympicDestroyer [OlympicDestroyer.A]라는 새로운 멀웨어를 발견했습니다.

올해 동계 올림픽은 한국 평창에서 열리고 있으며, OlympicDestroyer 멀웨어는 중요한 시스템 파일을 삭제하여 컴퓨터를 오프라인 상태로 만들거나 사용 할수 없게 만듭니다. 이 악성 코드는 평창 동계 올림픽 개막식에서 사용 됬습니다.

공격 방식은 다음과 같습니다.

멀웨어는 다음 파일을 시스템에 추가합니다.

Malware.exe

  • %Userprofile%\windows\AppData\Local\Temp\_ail.exe
  • %Userprofile%\windows\AppData\Local\Temp\_cqk.exe
  • %Userprofile%\windows\AppData\Local\Temp\_lew.exe
  • %Userprofile%\windows\AppData\Local\Temp\mbxve.exe
  • %Userprofile%\Public\19D132B60A21D68CFAC81B1BD252C965

컴퓨터가 손상되면 Malware가 다음 명령을 실행합니다.

멀웨어는 공격할 컴퓨터가 시스템 드라이브를 복구하지 못하도로고 컴퓨터의 파티션 테이블을 덮어 쓰므로 감연된 시스템을 사용할 수 없게 만듭니다.

멀웨어는 vssadmin를 사용하여 시스템의 모든 쉐도우 복사본을 삭제합니다.

멀웨어는 공격한 시스템의 모든 웹 관리자 백업 파일을 삭제 합니다.

멀웨어는 System Security Windows 이벤트 로그의 모든 로그를 삭제하여 복구가 어렵게 합니다.

멀웨어는 공격한 시스템에서 VBScritp 도구를 이용하여 두개의 VBS 파일을 삭제 합니다.

멀웨어에 포함된 자격증명은 올림픽 IT 공급 업체가 동계 올림픽을 공격하는 해커에게 해킹 당했음을 의미합니다. 해커들이 어떻게 올림픽 직원들로부터 그렇게 많은 정보를 도용할 수 있었는지는 여전히 불분명합니다. 다음은 멀웨어에 포함된 자격증명의 몇가지 예시 입니다.

멀웨어가 위의 명령을 실행하면 메모장에 저장된 쉘코드를 사용하여 자체 삭제를 하고 멀웨어는 WireProcessMemory 를 통해 할당 된 메모리에 쉘코드를 작성합니다. 그리고 CreateRemoteThread 함수를 실행하기 위한 원격 스레디를 만듭니다. 쉘코드가 저장된 메모장은 쉘코드가 종료되면 자동으로 삭제 됩니다.


Sonicwall Capture Lab 은 다음 시그니처를 통해 해당 멀웨어에 대한 보호기능을 제공하고 있습니다.

  • GAV: OlympicDestroyer.A (Trojan)




Posted by 로버무트

댓글을 달아 주세요