OlympicDestroyer 문제 풀이
1. 문제 내용
- 내용: 개회식 열리기 전 날, 경기 일정 업데이트 메일 받음>>최초 감염 PC 메모리 덤프
- 스피어 피싱: 특정 대상 정하고 하는 피싱..등
- 단서
-첨부파일 V10 "Olympic_Session_V10" .xls (엑셀파일)
-메일을 통해 감염
2. 문제 풀이
도구 실행- imageinfo, pslist, psscan, pstree, psxview, cmdline, cmdscan, consoles, netscan
-
실행 후 수상한 파일 확인 및 정리
확인할 수 있는 내용
-192.168.111.130 ->로컬 ip
-192.168.111.128 ->원격 ip
-C:\Windows\System32\OlympicDestroyer3.exe
-C:\Users\VM\AppData\Local\Temp_xut.exe -
수상 파일 offset 확인 후 파일 추출하기.
추출 파일 Virus Total에 넣기
-
xut
-
Olympic_Destroyer
-
악성 프로세스임을 확인. 다른 수상한 파일도 위와 같이 진행.
-> 총 4개의 악성 프로세스 발견.
-> 어떤 행위를 하고: 4개 악성 프로세스 발견.(4개의 프로세스 심화분석)
삼화분석을 위해 string 진행
심화분석 결과
- 심화분석
-olympicdestroyer: 공격 스크립트가 있었음을 확인, LDAP, 계정, 패스워드가 있음.
-_xut.exe: 공격 스크립트가 있었음. 복구 관련 기능을 못하게 이벤트 로그를 삭제. - 어떻게 나가는지(추가공격): LDAP, 계정, 패스워드
- 어디에서 들어왔는지?
-"OlympicSession_V10수정본.xls" -> OSPPSVC.exe (확실 증거X)
Cyber Security