-
-
[翻译]勒索软件BadRabbit爆发!感染大量东欧机器
-
2017-11-3 17:59
-
2017年的10月24日,第三大勒索软件BadRabbit的爆发成为头条新闻。大量机器受到影响,主要位于东欧。
它跟从六月开始发起攻击(https://blogs.forcepoint.com/security-labs/déjà-vu-petya-ransomware-appears-smb-propagation-capabilities)的Petya(AKA NotPetya, GoldenEye, ExPetr, Petrwrap)很像:勒索信息在内容和风格上很相似;它们要求的赎金量也差不多(六月是300美元对应现价值280美元的0.05比特币);而且它也是一旦侵入网络,就尝试横向传播(注:转移至附近结点)。
图1:BadRabbit赎金消息
感染过程
唯一已知的感染方式是通过来自于已被攻陷网站的下载攻击(drive-by download attack)。用户在浏览器被攻陷网站时,网站会通过HTTP POST请求打开一个URL,而弹出有含有虚假Adobe Flash更新内容的窗口。点击此更新会下载一个释放木马的文件,其被执行后会执行加密和横向移动过程。
图2:BadRabbit感染过程流
表1:BadRabbit相关文件的签名
这个部署过程中没有使用特权升级漏洞 - 该恶意软件依赖于把更新文件当成合法文件并使用高级权限执行的人。为此,该初始释放木马恶意程序试图模仿合法的Adobe Flash安装程序。请注意,dcrypt.sys似乎是开源的DiskCryptor(http://diskcryptor.net)加密解决方案的合法子组件,其本身不是恶意软件。
表2:合法与恶意或虚假的Adobe Flash安装器元数据的对比
一被安装,其就会瞄准以下扩展名的文件。类似于在6月的NotPetya攻击中所观察到的扩展名集。
.3ds .7z .accdb .ai .asm .asp .aspx .avhd .back .bak .bmp .brw .c .cab .cc .cer .cfg .conf .cpp .crt .cs .ctl .cxx .dbf .der .dib .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .hpp .hxx .iso .java .jfif .jpe .jpeg .jpg .js .kdbx .key .mail .mdb .msg .nrg .odc .odf .odg .odi .odm .odp .ods .odt .ora .ost .ova .ovf .p12 .p7b .p7c .pdf .pem .pfx .php .pmf .png .ppt .pptx .ps1 .pst .pvi .py .pyc .pyw .qcow .qcow2 .rar .rb .rtf .scm .sln .sql .tar .tib .tif .tiff .vb .vbox .vbs .vcb .vdi .vfd .vhd .vhdx .vmc .vmdk .vmsd .vmtm .vmx .vsdx .vsv .work .xls .xlsx .xml .xvd .zip
类似于2017年6月的NotPetya疫情,BadRabbit试图在通过SMB感染后横向传播。为了达到这个目的,在尝试使用收集的证书和硬编码的用户名和密码的组合(附录B中提供了完整的列表)进行传播之前,它会扫描一些网络共享(下面的表3)。
注意,跟NotPetya不一样,还没发现BadRabbit有尝试通过SMB漏洞(如永恒之蓝)来自我传播的行为。
表3:BadRabbit扫描的网络文件共享
奇怪的是,一个在自己的赎金页面上自称“BadRabbit”的恶意软件样本创建了一系列“权力游戏”主题的任务 - 在这里,以特定于该剧的三条龙命名:
cmd.exe schtasks /Create /SC ONCE /TN drogon /RU SYSTEM /TR "C:\WINDOWS\system32\shutdown.exe /r /t 0 /f" /ST 14:25:00 cmd.exe schtasks /Create /SC ONCE /TN viserion /RU SYSTEM /TR "C:\WINDOWS\system32\shutdown.exe /r /t 0 /f" /ST 14:29:00 cmd.exe schtasks /Create /RU SYSTEM /SC ONSTART /TN rhaegal /TR "C:\WINDOWS\system32\cmd.exe /C Start \"\" \"C:\Windows\dispci.exe\" -id 1111111111 && exit"
这些显然不合逻辑的用户名被硬编码进恶意软件(例如,'alex'和'buh'),它可能表明存在多个开发者,或对开源代码的重开发,或两者都有。
保护声明
Forcepoint客户通过Forcepoint云安全(包括高级分类引擎(ACE)作为电子邮件,Web和NGFW安全产品的一部分)得到保护,免受此威胁。 ACE(也称为Triton ACE)提供无签名分析来识别恶意的意图,其中包括使用规避技巧来掩盖恶意软件。
保护措施在下列攻击阶段产生作用:
阶段2(诱惑) - 识别并阻止与此攻击相关的恶意内容。
阶段5(滴管文件) - Bad Rabbi变种被阻止被下载。
阶段6(反向通道流量) - 通过SMB传播的尝试被Forcepoint NGFW阻止。
意见和结论
在这次最新的攻击中,Bad Rabbit和NotPetya之间的重叠可能牵涉到同一始作俑者。也就是说,如果是这样的话,在过去的几个月中,恶意软件本身和相关的基础设施都被投入了大量的工作。
与NotPetya相比,针对每个受害者使用唯一的支付钱包可能意味着受害者可以通过在这种情况下支付赎金来恢复他们的文件,并且活动背后的始作俑者可能会从中受益。不幸的是,这个基础设施也使得难以评论有多少受害者选择了这一行动。
另一方面,通过受到攻击的网站对受害者进行妥协的做法可能并不像表面上看起来那么重要,因NotPetya的参与者之前已经表现出能够攻陷设备并使用它们来进行恶意软件的能力。虽然不应该从中得出结论,但是使用自动更新服务器作为分发方法的NotPetya和使用伪造的Adobe Flash更新安装程序的BadRabbit之间的类似之处是有趣的。
使用开放源码的加密模块作为此次攻击的一部分并不令人惊讶,因为Forcepoint安全实验室之前曾经评论过恶意软件中会同时重用恶意代码和合法代码(https://blogs.forcepoint.com/security-labs/part-three-criminal-overground)。
总的来说,在这种情况下,最令人震惊的是在受害者系统上运行恶意软件的“钝器”方法:NotPetya可能通过后门偷偷进入用户系统,但BadRabbit 需要被邀请进来(且也可能需要UAC批准)。
虽然这似乎是一场艰苦的斗争 - 在NotPetya情况下可能得不到什么帮助 - 用户在这样的情况下的教育仍然是至关重要的:仔细观察任何提示框 - 尤其是那些要求你下载软件或更新的提示;考虑此提示是否合法,以及它是否在上下文环境中合理。如果有疑问,请亲自访问软件供应商的网站,并在那里检查更新。
人有很多弱点,但在许多情况下 - 包括这个 - 精明的用户都会有能力解开感染链。
附录A - IOCS
SHA1文件哈希
de5c8d858e6e41da715dca1c019df0bfb92d32c0 79116fe99f2b421c52ef64097f0f39b815b20907 afeee8b4acff87bc469a6f0364a81ae5d60a2add
恶意网址
hxxp://185.149.120[.]3/scholargoogle/ hxxp://185.149.120[.]3/scholasgoogle/ hxxp://1dnscontrol[.]com/flash_install.php
附录B - 硬编码SMB证书
用户名
Admin Guest User User1 user-1 Test root buh boss ftp rdp rdpuser rdpadmin manager support work other user operator backup asus ftpuser ftpadmin nas nasuser nasadmin superuser netguest alex
密码
Administrator administrator Guest guest User user Admin adminTest test root 123 1234 12345 123456 1234567 12345678 123456789 1234567890 Administrator123 administrator123 Guest123 guest123 User123 user123 Admin123 admin123Test123 test123 password 111111 55555 77777 777 qwe qwe123 qwe321 qwer qwert qwerty qwerty123 zxc zxc123 zxc321 zxcv uiop 123321 321 love secret sex god
译注:^ ^ 刚刚中国移动还发短信说这个勒索软件在境外蔓延,让广大用户注意,应对措施在这里。
来源:Forcepoint安全实验室 https://blogs.forcepoint.com/security-labs/notnotpetya-bad-rabbit 2017年10月25日
本文由 看雪翻译小组 hanbingxzy 编译
[培训]内核驱动高级班,冲击BAT一流互联网大厂工 作,每周日13:00-18:00直播授课
