SENTINELONE PROTECTS AGAINST OLYMPIC DESTROYER

今年冬季奧運會在韓國平昌舉行。據報導，一些非關鍵的主機系統在開幕式期間受到惡意程式的攻擊。幸運的是，官方能夠在12小時內完全修復。該惡意軟件被稱為“Olympic Destroyer”，一個非常恰當的名字，因為惡意軟件的目標似乎是純粹的破壞。
​
無論何時我們看到重要的惡意程式出現，我們都會嘗試看看SentinelOne是否能夠抵禦威脅。我們很高興地說，我們確實發現了Olympic Destroyer，SentinelOne的客戶是受到保護的。

SentinelOne使用多種檢測機制，可將其分為兩種類型：查看檔案及觀察機器行為的機制。例如，我們的 Deep File Inspection（DFI）引擎會查看該文件並使用一些非常花俏的機器學習來分類文件是否是惡意軟體。好處是它可以在有機會執行之前就消除惡意軟體，並且在我們的測試中，在 Olympic Destroyer 被置入桌面後， 立即被DFI檢測到。
以下是檢測的 video：

​更深入挖掘
儘管像DFI這樣的靜態檢測機制非常重要且有用，但我們也想知道我們的動態行為追踪 Dynamic Behavior Tracking（DBT）引擎是否會檢測到惡意軟件。 DBT監視系統的行為方式並查找任何惡意活動，以便可以檢測無檔案和漏洞攻擊，而且通常一般情況下，惡意軟體很難隱藏起來。為了測試DBT，我們故意停止了DFI來允許惡意軟​​件執行。令人雀躍的是，DBT引擎在運行後幾秒鐘內檢測到惡意軟件，並且SentinelOne能夠完全防止任何損壞。由於惡意軟體執行了幾秒鐘，我們的 agent能夠收集大量有趣的數位鑑識。例如，你可以看到原始範例刪除多個有效內容，嘗試刪除 shadow 備份副本，清除 event log 等。以下為 “攻擊故事情節” 的螢幕截圖：

從上圖中，olympic-destroyer.exe 啟動它的一些隨機命名的 payload：_bah.exe，obgvu.exe，dwltc.exe。以下為一個螢幕截圖，顯示從運行範例中收集的由過程中產生的訊息：

從這裡，你可以看到所有的被執行過程都是由於點擊 olympic-destroyer.exe 以及確切的命令參數而啟動的。你可以看到惡意軟體嘗試刪除多種類型的備份，禁用 Windows recovery 以及清除 event logs。

原文