• IT-Karriere:
  • Services:

Pyeongchang: Olympic Destroyer ist eine lernende Malware

Die bei den Olympischen Winterspielen in Pyeongchang eingesetzte Malware kann lernen - und gibt ihr Wissen an andere Installationen weiter. Die Schadsoftware ist darauf ausgerichtet, Windows-Systeme unbenutzbar zu machen.

Artikel veröffentlicht am ,
Das Olympische Feuer
Das Olympische Feuer (Bild: Clive Mason/Getty Images)

Eine Malware, die bei den Olympischen Spielen offenbar den Ausfall technischer Systeme bei der Eröffnungsfeier verursacht hat, soll auf den befallenen Rechnern nach Zugangsdaten suchen und bestehende Installationen mit den Informationen aktualisieren. Über den Verbreitungsweg ist nach Angaben von Ciscos Talos-Team bislang nichts bekannt.

Stellenmarkt
  1. SIGMA-ELEKTRO GmbH, Neustadt an der Weinstraße
  2. Gesellschaft zur Verwertung von Leistungsschutzrechten mbH (GVL), Berlin

Die Malware wird offenbar über mehrere Stufen auf dem System installiert, wobei für die erste Infektionsdatei ein zufälliger Dateiname verwendet wird. Nach Angaben von Talos sind die Hashes mehrerer untersuchter Dateien aber identisch.

Die Malware versucht, sich im Netzwerk auszubreiten. Dazu wird zunächst die ARP-Tabelle von Windows durchsucht, außerdem wird versucht, über die Windows-Management-Instrumentation alle Rechner in der befallenen Domäne aufzulisten.

Malware kopiert Passwörter

Die Malware nutzt zwei Mechanismen, um Passwörter auszulesen. Einerseits werden im Browser gespeicherte Passwörter heruntergeladen. Unterstützt werden dabei der Internet Explorer, Firefox und Chrome. Außerdem werden auch Systemlogins ausgelesen, dazu wird LSASS mit einem Mechanismus abgefragt, der nach Angaben von Talos Mimikatz ähnelt. Die Liste der kopierten Zugangsdaten wird dann an den Command-and-Control-Server weitergegeben, der bestehende Installationen der Malware mit der aktuellen Liste versorgt.

Im nächsten Schritt versucht die Malware, die aktuelle Installation unbenutzbar zu machen. Dafür werden über die Windows-Kommandozeile cmd.exe zunächst mehrere Dateien verändert, um die Nutzung der Wiederherstellungskonsole von Windows zu erschweren. Außerdem wird der Wert für alle auf dem System laufenden Prozesse in der ChangeServiceConfigW-API auf 4 gesetzt - damit werden die Prozesse beim Start nicht mehr geladen. Anschließend wird das System heruntergefahren.

Zwischenzeitlich hat die Malware dazu geführt, dass die Webseite der Olympischen Spiele nicht mehr funktionierte, auch das WLAN im Olympiastadion funktionierte bei der Eröffnungsfeier nicht zuverlässig. Der Ausfall der Webseite führte dazu, dass einige Besucher keine Tickets mehr ausdrucken konnten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de

Proctrap 15. Feb 2018

es macht auch nicht viel unterschied, ob ich erst Nutzer x und dann root mache oder...

Truster 15. Feb 2018

Windows 7 kannte noch kein UEFI Boot, in deiner besagten Partition ist nur der Windows...

Truster 15. Feb 2018

Na Sicher!

kotap 15. Feb 2018

Dev Clusterfuck -> Anwaltssoftware für Email -> Problem für Kunden da -> Check APT...


Folgen Sie uns
       


Disney Plus - Test

Der Streamingdienst Disney Plus wurde am 24. März 2020 endlich auch in Deutschland gestartet. Golem.de hat die Benutzeroberfläche einem Test unterzogen und auch einen Blick auf das Film- und Serienangebot des Netflix-Mitbewerbers geworfen.

Disney Plus - Test Video aufrufen
    •  /