Bad Rabbit:勒索病毒Not-Petya變種重現

下一個故事

Created: 2017-11-13 10:56:42

最新資訊(中歐時間10月27日15:35時):一份新報告指出,美國國家安全局所洩露的駭客工具之一“EternalRomance”,已被利用來在網路上傳播Diskcoder.D。我們透過安裝微軟公司緊急漏洞修復MS17-010(用以彌補美國國家安全局洩露駭客工具所利用的系統漏洞)來確認此訊息,並從而阻止該惡意程式借助IPC$共用資料夾方式進一步散佈。

一款新的勒索病毒於10月24日爆發,已攻擊包括歐洲大部分地鐵系統,其中也包含烏克蘭部分重要基礎通訊設施。有關這一新變種的詳細介紹,請見下文。

藉助對知名網站進行Watering Hole(水坑)攻擊,使使用者在不察覺的情況下自動下載

Bad Rabbit的散佈途徑之一,就是在使用者毫無察覺的情況下自動下載。一些知名網站已被攻陷,HTML文本或某個.js檔之中被植入了Java腳本。

 

 

植入腳本後的樣本如下所示:

 


該腳本向185.149.120[.]3回饋資訊,目前該位址暫無回應。

  • 瀏覽器使用者代理
  • 引用頁
  • 已訪問網站的cookie
  • 已訪問網站的功能變數名稱

 

透過攻擊伺服器端邏輯運算,認定訪客是否具有攻擊價值,之後再把內容添加到頁面之中。此時可看到彈跳視窗,頁面中央顯示請使用者下載Flash播放機更新版的提示資訊。


 

點擊“安裝”按鈕後,便開始啟動來自1dnscontrol[.]com的可執行檔下載進程。可執行檔名為install_flash_player.exe,實際就是W32/Diskcoder.D下載器。

 

最終電腦會出現下列勒索資訊:

 


 

付款方式頁面如下:

 

藉助SMB散佈

Win32/Diskcoder.D能夠藉助SMB散佈。與一些公開說法不同的是,該勒索病毒並不像Win32/Diskcoder.C(Not-Petya)爆發時那樣,利用“EternalRomance”漏洞。它會首先掃描內網,查找開放的SMB共用記憶體。目標共用帳號如下:

  • admin
  • atsvc
  • browser
  • eventlog
  • lsarpc
  • netlogon
  • ntsvcs
  • spools
  • samr
  • srvsvc
  • scerpc
  • svcctl
  • wkssvc


在已被攻陷的電腦上啟動Mimikatz,擷取用戶名和密碼。常見容易被攻擊帳號密碼組合如下。

 

當找到適當組合後,便會在Windows資料夾中釋放infpub.dat檔,通過SCManager和rundll.exe執行。


加密

Win32/Diskcoder.D是Win32/Diskcoder.C的變種,已修復了原有的檔加密缺點。現採用DiskCyptor加密,用於全硬碟加密的一種合法開源軟體。金鑰通過CryptGenRandom生成,並採用RSA 2048位公共金鑰保護。

如同前身一樣,使用了AES-128-CBC演算法加密。


散佈區域

據ESET資料中心統計,烏克蘭只受到攻擊佔總數的12.2%。具體統計資料如下:

  • 俄羅斯:65%
  • 烏克蘭:12.2%
  • 保加利亞:10.2%
  • 土耳其:6.4%
  • 日本:3.8%
  • 其他:2.4%

這與被植入惡意Java腳本的受害網站分佈情況大致吻合。那麼為何烏克蘭相比其他國家受害情況更嚴重呢?

值得一提的是,所有這些大公司都是同時遭受攻擊的。很可能駭客已滲透進公司網路,同時發起Watering Hole(水坑)攻擊以掩人耳目。再沒有什麼比“Flash更新”令其受害更具說服力。ESET目前仍在著手調查,我們將第一時間發佈相關資訊。


樣本

 

 

C&C伺服器

付款網站:http://caforssztxqzf2nm[.]onion

植入網址:http://185.149.120[.]3/scholargoogle/

散佈網址:hxxp://1dnscontrol[.]com/flash_install.php

 

被攻陷網站列表:

  • hxxp://argumentiru[.]com
  • hxxp://www.fontanka[.]ru
  • hxxp://grupovo[.]bg
  • hxxp://www.sinematurk[.]com
  • hxxp://www.aica.co[.]jp
  • hxxp://spbvoditel[.]ru
  • hxxp://argumenti[.]ru
  • hxxp://www.mediaport[.]ua
  • hxxp://blog.fontanka[.]ru
  • hxxp://an-crimea[.]ru
  • hxxp://www.t.ks[.]ua
  • hxxp://most-dnepr[.]info hxxp://osvitaportal.com[.]ua hxxp://www.otbrana[.]com
  • hxxp://calendar.fontanka[.]ru
  • hxxp://www.grupovo[.]bg
  • hxxp://www.pensionhotel[.]cz
  • hxxp://www.online812[.]ru
  • hxxp://www.imer[.]ro
  • hxxp://novayagazeta.spb[.]ru
  • hxxp://i24.com[.]ua
  • hxxp://bg.pensionhotel[.]com
  • hxxp://ankerch-crimea[.]ru


ESET資安產品及企業解決方案能主動偵測已知(如WannaCryptor、Petya)、未知病毒及勒索軟體,抵禦網路攻擊或資安威脅,協助您打造良好的資安環境。

#欲知更多產品訊息:

企業用戶:http://www.eset.tw/business/endpoint-security/

個人用戶:http://www.eset.tw/home/

#欲購買產品:https://www.eset.tw/estore/zh/

或電洽ESET資安專業服務團隊:(02)7722-6899

加入電子報,可獲得最新資安防禦訊息:http://www.eset.tw/e-news/subscribe/


原文出處: https://www.welivesecurity.com/2017/10/24/bad-rabbit-not-petya-back/