Bad Rabbit:勒索病毒Not-Petya变种重现

 

最新资讯(中欧时间10月27日15:35时):一份新报告指出,美国国家安全局所洩露的骇客工具之一“EternalRomance”,已被利用来在网路上传播Diskcoder.D。我们透过安装微软公司紧急漏洞修复MS17-010(用以弥补美国国家安全局洩露骇客工具所利用的系统漏洞)来确认此讯息,并从而阻止该恶意程式借助IPC$共用资料夹方式进一步散佈。

一款新的勒索病毒于10月24日爆发,已攻击包括欧洲大部分地铁系统,其中也包含乌克兰部分重要基础通讯设施。有关这一新变种的详细介绍,请见下文。

藉助对知名网站进行Watering Hole(水坑)攻击,使使用者在不察觉的情况下自动下载

Bad Rabbit的散佈途径之一,就是在使用者毫无察觉的情况下自动下载。一些知名网站已被攻陷,HTML文本或某个.js档之中被植入了Java脚本。

 

 

植入脚本后的样本如下所示:

 

 

该脚本向185.149.120[.]3回馈资讯,目前该位址暂无回应。

  • 浏览器使用者代理
  • 引用页
  • 已访问网站的cookie
  • 已访问网站的功能变数名称

 

透过攻击伺服器端逻辑运算,认定访客是否具有攻击价值,之后再把内容添加到页面之中。此时可看到弹跳视窗,页面中央显示请使用者下载Flash播放机更新版的提示资讯。

 

 

点击“安装”按钮后,便开始启动来自1dnscontrol[.]com的可执行档下载进程。可执行档名为install_flash_player.exe,实际就是W32/Diskcoder.D下载器。

 

最终电脑会出现下列勒索资讯:

 

 

 

付款方式页面如下:

 

藉助SMB散佈

Win32/Diskcoder.D能够藉助SMB散佈。与一些公开说法不同的是,该勒索病毒并不像Win32/Diskcoder.C(Not-Petya)爆发时那样,利用“EternalRomance”漏洞。它会首先扫描内网,查找开放的SMB共用记忆体。目标共用帐号如下:

  • admin
  • atsvc
  • browser
  • eventlog
  • lsarpc
  • netlogon
  • ntsvcs
  • spools
  • samr
  • srvsvc
  • scerpc
  • svcctl
  • wkssvc

 

在已被攻陷的电脑上启动Mimikatz,撷取用户名和密码。常见容易被攻击帐号密码组合如下。

 

当找到适当组合后,便会在Windows资料夹中释放infpub.dat档,通过SCManager和rundll.exe执行。


加密

Win32/Diskcoder.D是Win32/Diskcoder.C的变种,已修复了原有的档加密缺点。现採用DiskCyptor加密,用于全硬碟加密的一种合法开源软体。金钥通过CryptGenRandom生成,并採用RSA 2048位公共金钥保护。

如同前身一样,使用了AES-128-CBC演算法加密。


散佈区域

据ESET资料中心统计,乌克兰只受到攻击佔总数的12.2%。具体统计资料如下:

  • 俄罗斯:65%
  • 乌克兰:12.2%
  • 保加利亚:10.2%
  • 土耳其:6.4%
  • 日本:3.8%
  • 其他:2.4%

这与被植入恶意Java脚本的受害网站分佈情况大致吻合。那么为何乌克兰相比其他国家受害情况更严重呢?

值得一提的是,所有这些大公司都是同时遭受攻击的。很可能骇客已渗透进公司网路,同时发起Watering Hole(水坑)攻击以掩人耳目。再没有什么比“Flash更新”令其受害更具说服力。ESET目前仍在着手调查,我们将第一时间发佈相关资讯。


样本

 

 

C&C伺服器

付款网站:http://caforssztxqzf2nm[.]onion

植入网址:http://185.149.120[.]3/scholargoogle/

散佈网址:hxxp://1dnscontrol[.]com/flash_install.php

 

被攻陷网站列表:

  • hxxp://argumentiru[.]com
  • hxxp://www.fontanka[.]ru
  • hxxp://grupovo[.]bg
  • hxxp://www.sinematurk[.]com
  • hxxp://www.aica.co[.]jp
  • hxxp://spbvoditel[.]ru
  • hxxp://argumenti[.]ru
  • hxxp://www.mediaport[.]ua
  • hxxp://blog.fontanka[.]ru
  • hxxp://an-crimea[.]ru
  • hxxp://www.t.ks[.]ua
  • hxxp://most-dnepr[.]info hxxp://osvitaportal.com[.]ua hxxp://www.otbrana[.]com
  • hxxp://calendar.fontanka[.]ru
  • hxxp://www.grupovo[.]bg
  • hxxp://www.pensionhotel[.]cz
  • hxxp://www.online812[.]ru
  • hxxp://www.imer[.]ro
  • hxxp://novayagazeta.spb[.]ru
  • hxxp://i24.com[.]ua
  • hxxp://bg.pensionhotel[.]com
  • hxxp://ankerch-crimea[.]ru

 

ESET资安产品及企业解决方桉能主动侦测已知(如WannaCryptor、Petya)、未知病毒及勒索软体,抵御网路攻击或资安威胁,协助您打造良好的资安环境。

原文出处: https://www.welivesecurity.com/2017/10/24/bad-rabbit-not-petya-back/

 

关于Version 2 Limited

Version 2 Limited是亚洲最有活力的IT公司之一,公司发展及代理各种不同的互联网、资讯科技、多媒体产品,其中包括通讯系统、安全、网络、多媒体及消费市场产品。透过公司庞大的网络、销售点、分销商及合作伙伴,Version 2 Limited 提供广被市场讚赏的产品及服务。Version 2 Limited 的销售网络包括中国大陆、香港、澳门、台湾、新加坡等地区,客户来自各行各业,包括全球1000大跨国企业、上市公司、公用机构、政府部门、无数成功的中小企及来自亚洲各城市的消费市场客户。

 

关于ESET

ESET成立于1992年,是一家面向企业与个人用户的全球性的电脑安全软件提供商,其获奖产品 — NOD32防病毒软件系统,能够针对各种已知或未知病毒、间谍软件 (spyware)、rootkits和其他恶意软件为电脑系统提供实时保护。ESET NOD32佔用 系统资源最少,侦测速度最快,可以提供最有效的保护,并且比其他任何防病毒产品获得了更多的Virus Bulletin 100奖项。ESET连续五年被评为“德勤高科技快速成长500 强”(Deloitte’s Technology Fast 500)公司,拥有广泛的合作伙伴网络,包括佳能、戴尔、微软等国际知名公司,在布拉迪斯拉发(斯洛伐克)、布里斯托尔(英国 )、布宜诺斯艾利斯(阿根廷)、布拉格(捷克)、圣地亚哥(美国)等地均设有办事处,代理机构覆盖全球超过100个国家。