127期报告汇总
安天发布《远控木马“Olympic Destroyer”分析报告》
近日,安天 CERT(安全研究与应急 处理中心)在梳理网络安全事件时注意到, 一例在平昌冬奥会中使用的恶意代码比较 活 跃, 名 为“OlympicDestroyer”。 据 媒 体报道,平昌奥运会的组织者证实,他们 正在调查一起网络攻击事件,在正式开幕 式之前暂时使 IT 系统瘫痪,关闭显示器, 使 Wi-Fi 失效以及破坏奥运会网页,以致 游客无法打印门票。
该恶意代码样本为 VC++ 编写的可执 行文件,编译平台为 Visual Studio 2015 之 后。样本运行后,一旦过了 60 分钟,它 就清除 Windows 事件日志,重置备份,从文件系统中删除卷影副本,禁用 Windows 启动菜单中的恢复项目,禁用系统上的所 有服务并重新启动计算机。同时它也可以 连接网关服务器,窃取用户凭证,内网横 向渗透攻击。当同时运行两个实例时,后 运行的实例会创建 notepad.exe 进程,并对 notepade.exe 进行注入。注入后的 notepad. exe 会对原样本文件进行修改,修改后, 样本文件会自删除。该恶意代码使用钓鱼 邮件投放,钓鱼邮件的目标是冬奥会官方 合作伙伴的网络,攻击者可能会去官方网 站查找合作伙伴公司的名称,收集他们的 域名及已知的电子邮件地址,并开始用钓鱼邮件轰炸他们。
安天 CERT 提醒广大网络使用者, 要提高网络安全意识,在日常工作中要及 时进行系统更新和漏洞修复,不要随意下 载非正版的应用软件、非官方游戏、注册 机等。收发邮件时要确认收发来源是否可 靠,更加不要随意点击或者复制邮件中的 网址,不要轻易下载来源不明的附件,发 现网络异常要提高警惕并及时采取应对措 施,养成及时更新操作系统和软件应用的 好习惯。目前,安天追影产品已经实现了 对该类恶意代码的检出。