https://cert.360.cn

坏兔子勒索病毒事件基本分析报告安全报告:坏兔子勒索病毒事件基本分析报告报告编号:B6-2017-102502报告来源:360CERT报告作者:360CERT保密范围:公开更新日期:2017年10月25日https://cert.
360.
cn目录0x00执行描述30x01事件影响面.
30x02部分技术信息.
50x03处理建议.
110x04时间线.
120x05参考12https://cert.
360.
cn0x00事件描述2017年10月24日,360CERT监测到有一起名为"坏兔子"(theBadRabbit)的勒索病毒正在东欧和俄罗斯地区传播,据悉,目前影响了俄罗斯部分媒体组织,乌克兰的部分业务,包括基辅的公共交通系统和国家敖德萨机场,此外还影响了保加利亚和土耳其.
"坏兔子"主要是通过伪装flash安装程序让用户下载运行和暴力枚举SMB服务帐号密码的形式进行传播,并未使用"永恒之蓝"漏洞进行传播,感染形式上和此前的NotPetya勒索病毒相似,会主动加密受害者的主引导记录(MBR).
"坏兔子"在勒索赎金上有所变化,初始赎金为0.
05比特币(约280美元),随时间的推移会进一步增加赎金.
根据监测,目前中国地区基本不受"坏兔子"勒索病毒影响.
本文是360CERT对"坏兔子"事件的初步分析.
0x01事件影响面影响面经过360CERT分析,"坏兔子"事件属于勒索病毒行为,需要重点关注其传播途径和危害:主要通过入侵某合法新闻媒体网站,该媒体在乌克兰,土耳其,保加利亚,俄罗斯均有分网站.
在受害者访问时会被引导安装一个伪装的flash安装程序(文件名为install_flash_player.
exe),用户一旦点击安装后就会被植入"坏兔子"勒索病毒.
"坏兔子"样本主要通过提取主机NTLM认证信息和硬编码部分用户名密码暴力破解NTLM登录凭据的方式来进一步感染可以触及的主机.
https://cert.
360.
cn"坏兔子"会试图感染目标主机上的以下类型文件和主引导分区,赎金会随着时间的推移而增长.
综合判定"坏兔子"勒索病毒通过"水坑"方式进行较大规模传播,且产生的危害严重,属于较大网络安全事件.
监测到IP请求态势和感染分布(图片来源:见参考)注:以上监测数据不一定完整,仅供参考.
数据显示感染趋势并没有特别剧烈,持续时间较短.
https://cert.
360.
cn0x02部分技术信息"坏兔子"勒索病毒的整体行为技术分析上并没有太多的技术创新,中间也没有证据表明该病毒利用任何漏洞,以下是相关的部分技术信息.
传播信息"坏兔子"勒索病毒通过链接hxxp://1dnscontrol[.
]com/flash_install.
php链接进行传播,该域名下的可疑连接如下:整体行为"坏兔子"勒索病毒并没有利用任何漏洞,需要受害者手动启动下载名为install_flash_player.
exe的可行性文件,该文件需要提升的权限才能运行,WindowsUAC会提示这个动作,如果受害者还是同意了,病毒就会按照预期运行.
"坏兔子"勒索病毒主要包括如下流程:"install_flash_player.
exe"会下载名为infpub.
dat的DLL恶意载体.
infpub.
dat会夹带和释放传播模块和文件加密模块.
o合法的DiskCryptor加密模块,discpci.
exe,包括32和64位.
o2个疑似mimikatz模块.
o生成IP信息,暴力破解NTLM登陆凭证,实现进一步感染.
o该文件会被保存到C[:]\Windows\infpub.
dat路径中.
oRundll32.
exe加载infpub.
dat文件.
o增加计划任务"rhaegal"启动discpci.
exe实现磁盘加密.
o增加计划任务"drogon"重启系统,并显示被勒索界面.
o创建感染线程,尝试对外感染.
o重启前会主动删除部分日志信息.
具体流程如下图所示:https://cert.
360.
cn"坏兔子"勒索病毒在行为方面并没有太多的创新,具体的程序执行链可以直接通过360核心安全团队的沙箱平台分析出来:其中,如上文所述.
infpub.
dat有5个资源文件,资源文件1/2是类似于mimikatz的64位/32位版本;资源文件7/8是diskcryptor中的64位/32位驱动文件,具有数字签名;资源9是主要用来加密的程序:相关落地到磁盘的样本如下:https://cert.
360.
cn相关信息Rundll32.
exe启动infpub.
dat动态库公钥信息提权相关https://cert.
360.
cn感染目标IP段生成(依次获取已建立TCP连接的IP,本地ARP缓存的IP和局域网内的服务器IP地址)https://cert.
360.
cnNTLM暴破的用户/密码列表尝试通过IPC匿名管道加密https://cert.
360.
cn感染成功后的logohttps://cert.
360.
cnIndicatorsofCompromise(IOCs)文件哈希fbbdc39af1139aebba4da004475e8839–木马释放器(最初被释放的样本)1d724f95c61f1055f0d02c2154bbccd3–infpub.
dat–主要的DLLb4e6d97dafd9224ed9a547d52c26ce02–cscc.
dat–用于磁盘加密的合法驱动b14d8faf7f0cbcfad051cefe5f39645f–dispci.
exe–安装bootlocker,与驱动通信域名1dnscontrol[.
]comcaforssztxqzf2nm[.
]onionIP地址185.
149.
120[.
]3疑似受影响网站Argumentiru[.
]comFontanka[.
]ruAdblibri[.
]roSpbvoditel[.
]ruGrupovo[.
]bgwww.
sinematurk[.
]com0x03处理建议1.
建议用户默认开启防火墙禁用Windows客户端139,445端口访问,如若需要开启端口建议定期更新微软补丁.
2.
该类勒索病毒360安全卫士在该病毒爆发之前已能拦截,建议下载并安装360安全卫士进行有效防御.
https://cert.
360.
cn0x04时间线2017-10-24事件被披露2017-10-25360CERT完成了基本分析报告0x05参考1.
http://blog.
talosintelligence.
com/2017/10/bad-rabbit.
html#more2.
https://www.
forbes.
com/forbes/welcome/toURL=https://www.
forbes.
com/sites/thomasbrewster/2017/10/24/bad-rabbit-ransomware-using-nsa-exploit-in-russia/&refURL=https://t.
co/zIjBLXa1BI&referrer=https://t.
co/zIjBLXa1BI3.
https://securelist.
com/bad-rabbit-ransomware/82851/4.
https://securingtomorrow.
mcafee.
com/mcafee-labs/badrabbit-ransomware-burrows-russia-ukraine/5.
https://www.
forbes.
com/sites/thomasbrewster/2017/10/24/bad-rabbit-ransomware-using-nsa-exploit-in-russia/#8697ad4553686.
https://www.
virustotal.
com/en/domain/1dnscontrol.
com/information/