Pyeongchang: Olympic Destroyer ist eine lernende Malware

Die bei den Olympischen Winterspielen in Pyeongchang eingesetzte Malware kann lernen - und gibt ihr Wissen an andere Installationen weiter. Die Schadsoftware ist darauf ausgerichtet, Windows-Systeme unbenutzbar zu machen.

Artikel veröffentlicht am ,
Das Olympische Feuer
Das Olympische Feuer (Bild: Clive Mason/Getty Images)

Eine Malware, die bei den Olympischen Spielen offenbar den Ausfall technischer Systeme bei der Eröffnungsfeier verursacht hat, soll auf den befallenen Rechnern nach Zugangsdaten suchen und bestehende Installationen mit den Informationen aktualisieren. Über den Verbreitungsweg ist nach Angaben von Ciscos Talos-Team bislang nichts bekannt.

Die Malware wird offenbar über mehrere Stufen auf dem System installiert, wobei für die erste Infektionsdatei ein zufälliger Dateiname verwendet wird. Nach Angaben von Talos sind die Hashes mehrerer untersuchter Dateien aber identisch.

Die Malware versucht, sich im Netzwerk auszubreiten. Dazu wird zunächst die ARP-Tabelle von Windows durchsucht, außerdem wird versucht, über die Windows-Management-Instrumentation alle Rechner in der befallenen Domäne aufzulisten.

Malware kopiert Passwörter

Die Malware nutzt zwei Mechanismen, um Passwörter auszulesen. Einerseits werden im Browser gespeicherte Passwörter heruntergeladen. Unterstützt werden dabei der Internet Explorer, Firefox und Chrome. Außerdem werden auch Systemlogins ausgelesen, dazu wird LSASS mit einem Mechanismus abgefragt, der nach Angaben von Talos Mimikatz ähnelt. Die Liste der kopierten Zugangsdaten wird dann an den Command-and-Control-Server weitergegeben, der bestehende Installationen der Malware mit der aktuellen Liste versorgt.

Im nächsten Schritt versucht die Malware, die aktuelle Installation unbenutzbar zu machen. Dafür werden über die Windows-Kommandozeile cmd.exe zunächst mehrere Dateien verändert, um die Nutzung der Wiederherstellungskonsole von Windows zu erschweren. Außerdem wird der Wert für alle auf dem System laufenden Prozesse in der ChangeServiceConfigW-API auf 4 gesetzt - damit werden die Prozesse beim Start nicht mehr geladen. Anschließend wird das System heruntergefahren.

Zwischenzeitlich hat die Malware dazu geführt, dass die Webseite der Olympischen Spiele nicht mehr funktionierte, auch das WLAN im Olympiastadion funktionierte bei der Eröffnungsfeier nicht zuverlässig. Der Ausfall der Webseite führte dazu, dass einige Besucher keine Tickets mehr ausdrucken konnten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Verwandte Artikel
artikel-bild
Operation Hacienda
Die Botnets der Geheimdienste
artikel-bild
Incident Response
Social Engineering funktioniert als Angriffsvektor weiterhin
artikel-bild
Omega Timing
Kamera mit 2.000 x 1 Pixeln sucht Sieger
Meistgelesen
artikel-bild
Angeblicher ARD-Plan
Rundfunkbeitrag könnte auf über 25 Euro steigen
artikel-bild
Elektrifizierung von Kommunalfahrzeugen
Radnabenantrieb von Schaeffler serienreif
artikel-bild
Horizon Forbidden West
"Wir versuchen, Texturen zu vermeiden"
Kommentarübersicht
Re: Lernen? Clickbait!
Proctrap 15. Feb 2018

es macht auch nicht viel unterschied, ob ich erst Nutzer x und dann root mache oder...

Re: Wieso wird nicht einfach die Festplatte...
Truster 15. Feb 2018

Windows 7 kannte noch kein UEFI Boot, in deiner besagten Partition ist nur der Windows...

Re: Mit Linux wäre das nicht passiert!
Truster 15. Feb 2018

Na Sicher!

Atos -> MSSP / Entwickler mit guter Lernkurve
kotap 15. Feb 2018

Dev Clusterfuck -> Anwaltssoftware für Email -> Problem für Kunden da -> Check APT...

Aktuell auf der Startseite von Golem.de
25 Jahre Starcraft
Der E-Sport-Dauerbrenner

Vor 25 Jahren erschien mit Starcraft eines der wichtigsten und wegweisendsten Echtzeitstrategiespiele aller Zeiten. Macht der RTS-Hit von Blizzard auch heute noch Spaß?
Von Andreas Altenheimer

25 Jahre Starcraft: Der E-Sport-Dauerbrenner
Artikel
  1. Angeblicher ARD-Plan: Rundfunkbeitrag könnte auf über 25 Euro steigen
    Angeblicher ARD-Plan
    Rundfunkbeitrag könnte auf über 25 Euro steigen

    Laut einem Bericht wollen die öffentlich-rechtlichen Sender eine Anhebung des Rundfunkbeitrags auf bis zu 25,19 Euro pro Monat fordern.

  2. E-Fuels: VDA begrüßt Verbrennerkompromiss, Greenpeace übt Kritik
    E-Fuels
    VDA begrüßt Verbrennerkompromiss, Greenpeace übt Kritik

    Die Einigung zwischen EU-Kommission und Bundesregierung zu Verbrennermotoren ruft erste Reaktionen hervor.

  3. Smart-Home-Anwendung: MQTT unter Java nutzen
    Smart-Home-Anwendung
    MQTT unter Java nutzen

    Wer Daten von Sensoren oder ähnlichen Quellen von A nach B senden möchte, kann das Protokoll MQTT verwenden, dank entsprechender Bibliotheken auch einfach unter Java.
    Eine Anleitung von Florian Bottke

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • MediaMarkt-Osterangebote • 3 Spiele kaufen, 2 zahlen • Cyberport Jubiläums-Deals • MSI Optix 30" WFHD/200 Hz 289€ • WD_BLACK SN850 2 TB 189€ • Creative Sound Blaster X G6 99,99€ • Thrustmaster T300 RS GT PC/PS 290€ • Logitech G535 Lightspeed 69,99€ • NBB Black Weeks [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /