坏兔子
微步在线通告 - Bad Rabbit 勒索软件事件通报
微步情报局 2017-10-26 20:19:06 1500人浏览

摘要

10 月 24 日,Kaspersky 和 ESET 等安全公司发现一款新型勒索软件 Bad Rabbit(坏兔子)正在东 欧国家快速传播,其传播速度不亚于今年 5 月的 WannaCry 和 6 月的 NotPetya 勒索蠕虫。截至目前, 发现俄罗斯、乌克兰、保加利亚和土耳其等地遭受攻击,且已蔓延至美国。微步在线对该事件进行了 分析和跟进,目前主要发现包括:

 -Bad Rabbit 最初通过虚假的 Flash 更新传播:用户访问被攻陷的合法新闻或媒体网站时被重

定向到虚假的 Flash 更新网站,一旦用户下载并安装虚假的 Flash 更新包,则导致电脑感染。

 -分析样本发现,Bad Rabbit 的加密模块基于开源的磁盘加密工具 DiskCryptor ,使用 AES 算

法加密电脑文件,加密完成之后会替换 MBR,然后重启电脑展示勒索信勒索 0.05 比特币

(约折合 280 美元)。

 -基于微步在线的关联分析系统,我们发现共计 23 个网站被攻陷用于传播 Bad Rabbit,其中有

一个为日语网站,其他则多为俄语网站。

 -基于微步在线的追踪溯源系统,我们发现 Bad Rabbit 目前都托管在 1dnscontrol.com,还发现

攻击者的另一域名资产 fastmonitor1.net,但未发现被用于托管该勒索软件。

 -微步在线对此次事件中的样本进行了快速的分析,提取了相关 IOC,可用于失陷检测。微步在

线的威胁情报平台也已支持相



事件背景:

2017 年 10 月 24 日,Kaspersky 和 ESET 等安全公司发现一款新型勒索软件 Bad Rabbit(坏兔

子)正在东欧国家快速传播,其传播速度不亚于今年 5 月的 WannaCry 和 6 月的 NotPetya 勒索蠕虫。


影响范围:

截至目前,俄罗斯、乌克兰、保加利亚和土耳其均遭受攻击,超 200 多个政府机构和私营企业受

到影响,已证实的受害者包含乌克兰敖德萨机场、乌克兰基辅地铁系统、乌克兰基础设施部、几个俄

罗斯新闻机构(Interfax 和 Fontanka 等)。而根据 Avast,Bad Rabbit 已开始向美国蔓延。

根据微步在线的监测数据,我们已发现有 23 个网站被攻陷,其中有一个位于日本,其他则多为

俄语网站,详见附录。目前并未发现国内网站被攻陷用于传播 Bad Rabbit,因此我们推测,就目前而

言,Bad Rabbit 在国内影响较小。但鉴于 Bad Rabbit 具备内网横移传播和修改 MBR 的能力且在持续


蔓延(目前已发现美国的感染案例),我们建议引起足够重视。


事件分析:

Bad Rabbit 勒索软件的攻击链:

1. 用户浏览被攻陷的新闻网站,被重定向到虚假的 Flash 更新网站。

2. 下载虚假的 Flash 包 install_flash_player.exe,虚假的 Flash 包安装时使用标准的 UAC 获取管

理权限,一旦用户授权,则执行下一步。

3. install_flash_player.exe 释放 infpub.dat 至 C:\Windows\目录,并使用 rundll32.exe 运行。

4. infpub.dat 创建 C:\Windows\cscc.dat,此文件系 DiskCryptor 中 dcrypt.sys Filter 驱动。

Infpub.dat 还会创建 Windows 服务 Windows Client Side Caching DDriver,用于加载 cscc.dat

驱动。

5. infpub.dat 安装可执行文件 dispci.exe 至 C:\Windows\,并创建一个任务启动该可执行文件。

6. 在用户登陆到计算机时,cscc.dat 驱动和 dispci.exe 会加密磁盘中的文件并修改 MBR,具体文

件列表包含:

.3ds.7z.accdb.ai.asm.asp.aspx.avhd.back.bak.bmp.brw.c.cab.cc.cer.cfg.conf.cpp.crt.cs.ctl.cxx.dbf.der.

dib.disk.djvu.doc.docx.dwg.eml.fdb.gz.h.hdd.hpp.hxx.iso.java.jfif.jpe.jpeg.jpg.js.kdbx.key.mail.mdb.m

sg.nrg.odc.odf.odg.odi.odm.odp.ods.odt.ora.ost.ova.ovf.p12.p7b.p7c.pdf.pem.pfx.php.pmf.png.ppt.pp

tx.ps1.pst.pvi.py.pyc.pyw.qcow.qcow2.rar.rb.rtf.scm.sln.sql.tar.tib.tif.tiff.vb.vbox.vbs.vcb.vdi.vfd.vhd.v

hdx.vmc.vmdk.vmsd.vmtm.vmx.vsdx.vsv.work.xls.xlsx.xml.xvd.zip.

完成之后会重启系统并展示勒索信。勒索信界面如下:


7. Bad Rabbit 自带内网横移工具,通过 Mimikatz 从感染电脑窃取凭证,试图通过 SMB 和 WebDAV 来访问位于同一个网络中的服务器和工作站。


监测措施

网络流量:

建议直接部署微步在线威胁情报平台进行检测,或者使用附录的 IOC 结合日志检测:

如,通过防火墙检查主机与相关恶意站点的连接。


行动建议

- 利用微步在线提供的威胁情报或者威胁情报平台进行检测,及时发现内网失陷主机,防止该木马

进一步在内网传播,对其他主机造成威胁。

- 建议使用防火墙关闭 TCP137、139、445 端口,检查内网打开共享的机器,并暂时关闭共享。


非IOC但是是失陷网站:


评论 18
匿名用户 2018-05-23 17:07:12 回复
GET
匿名用户 2018-05-22 16:03:21 回复
还有这种操作?
匿名用户 2018-05-21 16:17:39 回复
不错
匿名用户 2018-05-21 16:11:36 回复
姿势可以
匿名用户 2018-05-21 16:10:12 回复
姿势可以
匿名用户 2018-05-21 16:07:32 回复
学习学习1
h0st 2018-05-21 16:07:00 回复
新姿势学习下。。。
匿名用户 2018-05-21 16:06:11 回复
学习学习
匿名用户 2018-05-21 16:04:24 回复
厉害了
匿名用户 2018-05-21 15:56:45 回复
学习个
匿名用户 2018-05-21 15:49:53 回复
niupi 1
匿名用户 2018-05-21 15:48:56 回复
niupi
匿名用户 2018-05-21 15:47:41 回复
77777
匿名用户 2018-05-21 15:46:36 回复
666
匿名用户 2018-05-21 15:45:17 回复
666
匿名用户 2018-05-21 15:44:11 回复
666
黄色潜水艇 2017-10-26 21:28:28 回复
IOC部分是贴图,太狡猾了……
吃瓜群众 2017-10-27 13:09:15 回复
回复@黄色潜水艇: 威胁指标(IOC)这里有IOC链接。。。
今日推荐