网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

“游侠安全网”创建了网络安全从业者QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512


新型恶意软件“Bad Rabbit”闪击东欧

2017-10-26 10:22 推荐: 浏览: 106 views 字号:

摘要: 近日,一种新型的恶意软件“Bad Rabbit”在东欧国家引起了一阵不小的骚乱,很多政府和商业机构都受到了冲击。撰写本文时,“Bad Rabbit”已经蔓延到了俄罗斯,乌克兰,保加利亚和土耳其。已经确认的受害者有:乌克兰的敖德萨机场,基辅的地铁系统和基础设施部...

近日,一种新型的恶意软件“Bad Rabbit”在东欧国家引起了一阵不小的骚乱,很多政府和商业机构都受到了冲击。撰写本文时,“Bad Rabbit”已经蔓延到了俄罗斯,乌克兰,保加利亚和土耳其。已经确认的受害者有:乌克兰的敖德萨机场,基辅的地铁系统和基础设施部门;俄罗斯的两个新闻机构,Interfax 和 Fontanka。乌克兰的 CERT 团队已经对国内企业发出警报,提醒他们注意此次事件。

此次 Bad Rabbit 的蔓延速度和今年五六月份爆发的 WannaCry 和 NotPetya 相近。

Bad Rabbit 通过虚假 Flash 更新进行传播

ESET和Proofpoint的研究人员表示,Bad Rabbit 最初是通过虚假 Flash 更新传播,但它也可通过网络内部横向蔓延,这也解释了它为什么能在短时间内横跨多个机构。

卡巴斯基发布的一份报告谈到,公司的遥测数据显示:“ Bad Rabbit 是通过网站诱导(drive-by attack)传播的,受害者会从合法的新闻网站重定向到伪造的 Flash 更新下载站点。”

根据 ESET,Emsisoft和Fox-IT 的分析,Bad Rabbit 使用 Mimikatz 从本地计算机内存中提取凭证和硬编码凭证列表,它使用 SMB 和 WebDAV 访问同一网络上的工作站和 WebDAV [1, 2, 3]。

Bad Rabbit 还是一种磁盘编码器,和 Petya 和 NotPetya 类似。 Bad Rabbit 首先加密用户计算机上的文件,然后替换掉 MBR(主引导记录)。

完成以上任务之后,它会重启用户的电脑,而此时,用户电脑的 MBR 也被写入了勒索提示信息。这些信息和今年 6 月出现的 NotPetya 类似。尽管如此,在代码结构上来说,相似度并不是很高,Intezer 表示二者只有13%的代码复用。

勒索提示信息上显示,受害者需要使用 Tor 浏览器访问特定站点,支付赎金 0.05比特币(约280美元)。受害者需在 40 小时内支付赎金,否则金额还会上涨。

仔细研究之后发现,Bad Rabbit 可能基于 DiskCryptor,它是一个开源的磁盘加密程序,和 HDDCryptor 类似。(今年早些时候,它攻击了旧金山的运输服务)

Bad Rabbit 的源码中还包含了很多《权力的游戏》中的角色名,如 Grayworm。此外,该勒索软件设定的三个任务名就叫 Drogon, Rhaegal, 和 Viserion,这是《权力的游戏》中三条龙的名字。

《权力的游戏》已经不是第一次出现在勒索软件中了,比如上次的加密勒索软件中就看到了它的身影。

Drogon scheduled task

Bad Rabbit 的技术信息

完整的技术分析还没出来,以下是我们掌握的相关信息。

正如上文所提到的,Bad Rabbit 这次是将目标对准了俄罗斯和东欧国家,通过虚假 Flash 更新站点诱导受害者下载勒索软件。当用户点击这些文本时,install_flash_player.exe 会自动下载。

当执行完这个程序之后,它会生成一个文件 C:\Windows\infpub.dat,并使用命令行执行 C:\Windows\system32\rundll32.exe C:\Windows\infpub.dat, #1 15。

Infpub.dat Executed via Rundll32.exe

一旦执行之后,Infpub.dat 会创建文件 C:\Windows\cscc.dat 和 C:\Windows\dispci.exe。Cscc.dat 就是DiskCryptor 中 dcrypt.sys换个名字而已,然后 Infpub.dat 会创建一个 Windows 服务—— Windows Client Side Caching DDriver,用来执行 cscc.dat driver。

当电脑中出现用户记录时,Infpub.dat 还会创建一个 task 来执行 dispci.exe,名为 Rhaegal,也是《权力的游戏》里面的角色。这个 exe 会执行命令: “C:\Windows\dispci.exe” -id [id] && exit。

cscc.dat driver 和 dispci.exe 用来加密硬盘和修改 MBR,在受害者打开电脑的时候,就可以看到勒索提示信息了。

Bad Rabbit Boot Lock Screen

Infpub.dat 当然还有别的功能,安装完 DiskCryptor 组件之后,它还会对受害人文件在用户态上进行一次加密。似乎使用的是 AES 加密。

加密文件的 AES key 会用内嵌的 RSA-2048 公钥加密。现在还不知道最终的加密 key 在哪,但很可能是在被加密的文件中。

Bad Rabbit 加密文件时和别的勒索软件不同,它不会在加密文件后面加入新的扩展名。但它会在每个文件末尾插入加密后的标记字符串。

Encrypted File Marker

最后,Infpub.dat 还可以将 Bad Rabbit 通过 SMB 传播到其他电脑中。它通过 SMB 访问网络共享来窃取受害者电脑中的凭证和用户名密码。如果可以访问远程网络共享,它还会马上将自己复制,并在其他电脑上运行勒索软件。

这是 SMB 流量情况:

SMB Traffic

最后,Bad Rabbit 还会创建两个新 task 来重启计算机。这些 task也是用《权力的游戏》中的角色命名的——drogon 和 viserion。这些 task 用于关闭并重启计算机,这样就可以在用户登录时执行其他程序,或是 Windows 启动之前锁定屏幕。

如何防范 Bad Rabbit:

建议用户关闭 WMI 服务,这样勒索软件就不会传播到你的网络上。

大多数的恶意软件都是通过钓鱼邮件,网站,app,第三方平台上的恶意广告传播的。所以,对那些来历不明的文件和网站,还是要格外小心。

而且,永远都不要从第三方平台下载 app,在官方平台下载时也要先阅读下面的评价。

对数据也要十分警惕,随时保持备份到存储设备上。

安装有效的杀毒软件,并时常更新。

*本文作者:Liki,来自 FreeBuf.COM

更多资讯

◈ 卡巴斯基:曾经从美国一台PC上截获黑客代码

◈ 隐藏Word功能可能导致系统信息泄露

◈ Google Play Store 自带防病毒系统评分成绩堪忧

◈ 伦敦一知名整形医院遭网络攻击 黑客称名单中有皇室成员

(信息来源于网络,安华金和搜集整理)

联系站长租广告位!

中国首席信息安全官


关闭


关闭