基本介绍
2017年10月24日晚,俄罗斯、乌克兰等多个东欧国家遭Bad Rabbit勒索软件袭击,政府、交通、新闻等200多家机构受到不同程度影响。目前,美国已发现感染传播情况,国内尚未监测发现被攻击情况。该勒索软件初始通过虚假Flash更新链接传播。当用户访问被入侵控制的合法网站时,网页跳转到虚假的Flash更新网站,一旦用户下载并安装虚假的Flash更新包则系统被感染。目前,监测发现23个被入侵网站,1个位于日本,其他多数为俄语网站。被感染主机可通过SMB等服务端口探测并试图感染内网其他主机。Bad Rabbit病毒潜在危害较高,影响较大,建议采取以下紧急措施:一是及时关闭TCP 137、139、445端口;二是检查内网机器设置,暂时关闭设备共享功能;三是禁用Windows系统下的管理控件WMI服务。请省电子政务外网接入单位及用户加强安全防护,防止被入侵控制。
Bad Rabbit勒索病毒分析
该木马的主要来自于网页诱导——在网页上弹出一个提示框提示需要安装Flash控件:
用户一旦上当,便会下载回来一个图标和文件名全面装成Flash的安装包,但该程序实际上却是一个敲诈者木马:
木马执行后,会先释放infpub.dat文件,该文件是一个动态链接库程序。生成后会调用系统的rundll32调用该库的1号函数执行:
Infpub.dat的核心功能依旧是传统敲诈者木马的文件加密功能,被加密的文件扩展名,整理后见下表:
加密手法并无太大新意,使用了常见的RSA2048算法,本文不再赘述:
而除了传统的加密文件之外。该木马还会创建一个名为dispci.exe的程序:
释放完dispci.exe后,会通过写入计划任务的方式定时重启机器以及在重启后让系统去执行该dispci.exe程序:
而这个dispci.exe在重启之后会创建一个名为cscc.dat的驱动程序并与之通信,驱动的功能则和之前曾大规模爆发的Petya相似——通过修改系统引导和MBR的方式劫持开机启动:
一旦驱动修修改系统引导和MBR,会再次重启系统。而这次系统重启后,被加密的就不仅仅是你的文件了:
若无法获取到登录凭证,会再通过内置的字典尝试账户和密码的爆破:
用户名字典:
Administrator Test rdpuser operator nasuser Admin root rdpadmin backup nasadmin Guest buh manager asus superuser User boss support ftpuser netguest User1 ftp work ftpadmin alex user-1 rdp other user nas
弱口令字典:
Administrator 123 Guest123 77777 zxc123 administrator 1234 guest123 777 zxc321 Guest 12345 User123 qwe zxcv guest 123456 user123 qwe123 uiop User 1234567 Admin123 qwe321 123321 user 12345678 admin123Test123 qwer 321 Admin 123456789 test123 qwert love adminTest 1234567890 password qwerty secret test Administrator123 111111 qwerty123 sex root administrator123 55555 zxc god
无论是Mimikatz还是弱口令字典,一旦木马成功获取到了局域网内其他机器的登录口令,便会通过获取到的登录口令登录对方机器,再将木马放置到对方机器上启动服务执行木马:
如果用该方法远程启动失败,木马还会再尝试wmi的远程命令以图让木马能够进一步在局域网中扩散:
解决和预防方法
直接安装知识兔分享的Bad Rabbit病毒专杀工具,事实上就是腾讯电脑管家,完全可以查杀,用户不必纠结。另外腾讯电脑管家最近推出的“文档守护者2.0”,基于管家的安全防御体系,通过对系统引导,边界防御,本地防御,执行保护,改写保护,备份等多个环节的保护构建完整的防御方案,保护用户的文档不被加密勒索。除支持包括Bad Rabbit在内的已知430多种勒索病毒的免疫之外,还能分享对未知的勒索病毒的拦截和备份能力,进一步保证文档安全。
>下载仅供下载体验和测试学习,不得商用和正当使用。
下载体验