일단 해당 악성코드인 Olympic Destroyer는 기본적으로 지금 열리는 평창 동계 올림픽 조직위원회를 겨냥했던 악성코드입니다.
일단 해당 Olympic Destroyer의 본체는 실행 파일 (EXE) 파일이며, 자신의 내부 (리소스 섹션)에 5개의 난독 화 된 파일을 보유하고 있으면 이러한 파일은 각각 목적을 가진 EXE 파일이며, 필요에 따라 해독에 사용됩니다. 일단 해당 Olympic Destroyer 실행되면 % temp % 폴더에 다음 EXE 파일을 만듭니다.
1) %temp%\ (무작위 문자열) .exe 비밀번호 덤프 도구 (로그인 정보용)
2) %temp%\ (무작위 문자열) .exe 비밀번호 덤프 도구 (브라우저 정보 등 용)
3) %temp%\ (무작위 문자열) .exe PsExec (정규 프로그램, 원격 실행 도구)
4) %temp%\ (무작위 문자열) .exe 웜 활동 · 증거 인멸 ,장애 활동용
일단 기본적으로 1과 2. EXE 파일을 실행하여 OS의 로그인 정보 및 브라우저의 저장 정보 등의 각종 로그인 암호 정보를 훔쳐옵니다.
3과 4 EXE 파일을 이용하여 네트워크를 통한 웜 활동과 파괴 활동을 수행하면서 구체적으로는 GetIPNetTable하여 ARP 테이블 정보를 취득하고 WMI ( SELECT ds_cn FROM ds_computer 쿼리)를 이용하여 얻은 단말 목록 정보를 취득, 그 대상에게 자신이 위에서 드롭 한 PsExec 를 이용하여 원격 대상으로 자신의 복사 및 원격 실행을 할 것으로 웜 활동을 실행하면 이때 획득한 로그인 정보를 가로 열기 액세스 시도에 사용됩니다.
4 EXE 파일은 실행해서 완료되며 다음 증거 인멸 및 파괴 활동에 관련된 동작을 수행합니다.
볼륨 섀도 복사본 (시스템 복원지점) 삭제
시스템 백업 삭제
OS 시동 복구 비활성화
이벤트 로그 (SYSTEM 및 SECURITY) 삭제
모든 서비스 비활성화
파일 공유되는 파일의 일부를 0으로 덮어 파괴
를 진행을 합니다.해당 파괴 동작을 합니다.
그리고 notepad.exe를 숨겨진 상태에서 시작 WriteProcessMemory 따라 코드 주입을 하고 CreateRemoteThread에서 notepad.exe에 기록된 코드를 실행하며. Olympic Destroyer의 본체가 삭제됩니다. (덧붙여 이때 Olympic Destroyer의 본체는 의미 없는 데이터로 덮어쓰기 됨에서 삭제됩니다. 즉 파일을 복원하는 것을 차단하는 동작이 아닐까 생각이 됩니다.) 그 후, notepad.exe는 종료합니다.
일단 해당 해쉬값은 edb1ff2521fb4bf748111f92786d260d40407a2e8463dcd24bb09f908ee13eb9입니다.일단 해당 악성코드는 조금 정치적인 목적이 있지 않을까 생각이 들기도 합니다. 일단 현재에는 백신프로그램에서 탐지되고 있습니다.
<기타 관련 글>
[소프트웨어 팁/보안] - ShadowExplorer(새도우 익스플러워)를 사용하여 랜섬웨어 복구 방법
[소프트웨어 팁/보안] - 랜섬웨어로 부터 MBR 보호를 해주는 MBR필터(MBRFilter)
[소프트웨어 팁] - 윈도우 악성코드로 파괴된 MBR 복구 방법
[소프트웨어 팁/보안] - 랜섬웨어 예방을 위한 MBR 백업 및 MBR 복구을 도와주는 프로그램-HDHacker
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
윈도우 10 1709 KB4074588 누적 업데이트 마우스 오동작 문제 해결 방법 (4) | 2018.02.27 |
---|---|
애나벨 랜섬웨어(Annabelle Ransomware) 감염 증상 (0) | 2018.02.26 |
윈도우 10 KB4077528,KB4077525 누적 업데이트 (2) | 2018.02.25 |
Microsoft Edge(마이크로소프트 엣지) 해결되지 않은 취약점 구글 프로젝트 팀에서 발표 (2) | 2018.02.22 |
GandCrab Ransomware(그랜드크랩 랜섬웨어)감염 증상 (2) | 2018.02.19 |
새로운 CPU 보안 취약점 멜트다운프라임(MeltdownPrime),스펙터프라임(SpectrePrime) 발견 (2) | 2018.02.18 |
윈도우 10 2018년 2월 누적 보안 업데이트 KB4074588 (0) | 2018.02.15 |
Cryakl ransomware(Cryakl 랜섬웨어)랜섬웨어 복구 도구 발표 (2) | 2018.02.14 |