꿈을꾸는 파랑새

일단 해당 악성코드인 Olympic Destroyer는 기본적으로 지금 열리는 평창 동계 올림픽 조직위원회를 겨냥했던 악성코드입니다.
일단 해당 Olympic Destroyer의 본체는 실행 파일 (EXE) 파일이며, 자신의 내부 (리소스 섹션)에 5개의 난독 화 된 파일을 보유하고 있으면 이러한 파일은 각각 목적을 가진 EXE 파일이며, 필요에 따라 해독에 사용됩니다. 일단 해당 Olympic Destroyer 실행되면 % temp % 폴더에 다음 EXE 파일을 만듭니다.
1) %temp%\ (무작위 문자열) .exe 비밀번호 덤프 도구 (로그인 정보용)
2) %temp%\ (무작위 문자열) .exe 비밀번호 덤프 도구 (브라우저 정보 등 용)
3) %temp%\ (무작위 문자열) .exe PsExec (정규 프로그램, 원격 실행 도구)
4) %temp%\ (무작위 문자열) .exe 웜 활동 · 증거 인멸 ,장애 활동용
일단 기본적으로 1과 2. EXE 파일을 실행하여 OS의 로그인 정보 및 브라우저의 저장 정보 등의 각종 로그인 암호 정보를 훔쳐옵니다.
3과 4 EXE 파일을 이용하여 네트워크를 통한 웜 활동과 파괴 활동을 수행하면서 구체적으로는 GetIPNetTable하여 ARP 테이블 정보를 취득하고 WMI ( SELECT ds_cn FROM ds_computer 쿼리)를 이용하여 얻은 단말 목록 정보를 취득, 그 대상에게 자신이 위에서 드롭 한 PsExec 를 이용하여 원격 대상으로 자신의 복사 및 원격 실행을 할 것으로 웜 활동을 실행하면 이때 획득한 로그인 정보를 가로 열기 액세스 시도에 사용됩니다.
4 EXE 파일은 실행해서 완료되며 다음 증거 인멸 및 파괴 활동에 관련된 동작을 수행합니다.

볼륨 섀도 복사본 (시스템 복원지점) 삭제
시스템 백업 삭제
OS 시동 복구 비활성화
이벤트 로그 (SYSTEM 및 SECURITY) 삭제
모든 서비스 비활성화
파일 공유되는 파일의 일부를 0으로 덮어 파괴
를 진행을 합니다.해당 파괴 동작을 합니다.
그리고 notepad.exe를 숨겨진 상태에서 시작 WriteProcessMemory 따라 코드 주입을 하고 CreateRemoteThread에서 notepad.exe에 기록된 코드를 실행하며. Olympic Destroyer의 본체가 삭제됩니다. (덧붙여 이때 Olympic Destroyer의 본체는 의미 없는 데이터로 덮어쓰기 됨에서 삭제됩니다. 즉 파일을 복원하는 것을 차단하는 동작이 아닐까 생각이 됩니다.) 그 후, notepad.exe는 종료합니다.
일단 해당 해쉬값은 edb1ff2521fb4bf748111f92786d260d40407a2e8463dcd24bb09f908ee13eb9입니다.일단 해당 악성코드는 조금 정치적인 목적이 있지 않을까 생각이 들기도 합니다. 일단 현재에는 백신프로그램에서 탐지되고 있습니다.


반응형
그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band