Bad Rabbit勒索软件正在攻击乌克兰

此次攻击中被称为Bad Rabbit勒索软件，这可以追溯到今年夏天集中在乌克兰和俄罗斯爆发的 ExPetr/NotPetya 攻击事件, 但那次是传播磁盘擦除器，这个恶意软件在2016年的Petya攻击中也用过。

ExPetr勒索软件是在6月下旬出现的, 各界普遍认为它比 WannaCry勒索软件 更危险。像 WannaCry一样, ExPetr背后的攻击者， 使用 美国家安全局NSA 泄漏的 EternalBlue 进行传播。在袭击的早期, 丹麦船运巨头马士基和俄罗斯石油公司正向各自的业务层，报告感染和影响情况。最终ExPetr勒索软件被认定为, 并 不是一个 勒索攻击 , 而是一个擦除器。

此次攻击中的受害者的赎金，被要求支付0.05 比特币,目前合大概280美元左右， 一个小时后计时器倒计时结束, 赎金的价格会上升。

Bad Rabbit勒索软件传播机制

据卡巴斯基实验室的研究人员说, 今天的攻击是通过从合法的新闻网站下载开始传播的,。俄罗斯的文传电讯社报告其服务因此次袭击被迫下线了。其主站被一个假的 Adobe Flash Player安装程序Dropper感染了。卡巴斯基实验室说, 它已经观察到了土耳其和德国也有受害者, 大概有将近200个目标。

ESET研究人员表示，磁盘加密的可执行文件可以通过SMB传播。Bad Rabbit勒索软件还在受害者的机器上使用Mimikatz渗透测试工具，窃取登录凭据以及获取硬编码的用户名和密码。

卡巴斯基实验室说, 这次攻击没有利用任何漏洞, 受害者必须手动启动下载文件，文件名为 install_flash_player. exe。可执行文件需要提升的权限才能运行, 而且Windows UAC会再次提示这个动作，如果受害者还是同意了，这个恶意可执行文件就会按照预期运行, 它会获取一个名为 infpub.dat 的档案加密恶意软件, 该文件可以暴力破解NTLM登录凭据。卡巴斯基实验室在一份声明中说

"该勒索软件入侵了俄罗斯媒体网站并感染设备。 根据我们的调查, 这是针对公司网络的目标进行的攻击, 使用的方法与 ExPetr 勒索软件 攻击时使用的类似。"然而, 我们不能确认它与 ExPetr有关。我们继续我们的调查。

在今天的攻击中， infpub.dat 文件也将安装另一个恶意可执行文件，称为 dispci.exe。它在注册表中创建任务以启动可执行文件，这些任务以《权利的游戏》中的龙命名:Viserion, Drogon and Rhaegal。在代码中，还有一个参考了权利的游戏中 GrayWorm 角色。之前MalwareHunter也曾表示， Locky勒索软件变种中的变量名， 大量使用“权利的游戏”角色名字

详细的代码分析在这里

https://securelist.com/bad-rabbit-ransomware/82851/

Bad Rabbit勒索软件加密模块用的是开源软件DiskCryptor

卡巴斯基实验室说:

"dispci.exe可执行文件，似乎是从 DiskCryptor 的开源完整磁盘加密实用程序 的代码库中衍生出来的。"它充当磁盘加密模块, 它还安装修改后的引导程序, 并防止受感染机器的正常启动过程。

（小编， Mamba勒索软件新变种，也是用了DiskCryptor ）

#BadRabbit 勒索软件使用 DiskCryptor (用于磁盘加密的合法实用程序) 中的代码。

-安东-伊万诺夫 (@antonivanovm) 2017年10月24日

DiskCryptor磁盘加密程序是一种可自由使用的用于 Windows 的开放源码完整磁盘加密系统, 可用于加密硬盘驱动器或分区。

MalwareBytes Bad Rabbit勒索软件样本分析报告

MalwareBytes 给出了Bad Rabbit勒索软件样本分析报告

• fbbdc39af1139aebba4da004475e8839 – 木马释放器（最初被释放的样本）
• 1d724f95c61f1055f0d02c2154bbccd3 – infpub.dat – 主要的DLL
• b4e6d97dafd9224ed9a547d52c26ce02 – cscc.dat – 用于磁盘加密的合法驱动（ diskcryptor.net ）
• b14d8faf7f0cbcfad051cefe5f39645f – dispci.exe – 安装bootlocker，与驱动通信

木马释放器是伪装为Flash更新的可执行文件。恶意软件必须以管理员权限运行，但并未部署UAC绕过技术，仅依赖社会工程诱使用户提权。一旦运行，恶意软件会释放并部署主模块至C:\Windows目录下。这次它被命名为infpub.dat（这就看出与NotPetya的相似之处了，NotPetya的DLL名称是perfc.dat）

该模块由参数调用的rundll32.exe运行。注意，恶意软件扫描局域网中的计算机

我们估计，被扫描机器的信息是用于横向移动的。恶意软件还在Windows目录中释放了其他组件：cscc.dat和dispci.exe。

恶意软件将具有指定扩展名的文件用相同密钥（相同明文对应相同密文）加密。下图展示了“坏兔子”加密前后的BMP文件样本

并未改变文件扩展名，在文件末尾加入了表示文件已加密的标记—一段Unicode文本：“%encrypted”勒索信息如下所示。与之前一样，是TXT格式，文件名为Readme.txt。与NotPetya如出一辙的是，“坏兔子”在系统重启中新增了一个调度任务，以便重启计算机。攻击完成后，系统重启，弹出bootlocker屏幕：

显然，该屏幕与Petya/NotPetya展示的屏幕颇为相似：

不过，这次没有Petya各版本中都会提供的虚假CHKDSK。根据勒索信息，我们发现受害者要恢复文件须获得两个加密密钥，首先是bootlocker密钥，完成第一阶段解锁后，再用第二个密钥解锁文件。

绿盟威胁分析系统TAC检查结果及建议

绿盟威胁分析系统TAC 捕捉到这款恶意样本，安全风险为高：

另外，沙箱分析样本行为，也能看到其扫描网络，连接主机的445端口，尝试进行感染：

目前“坏兔子”主要通过水坑站点传播，并没有利用之前的“永恒之蓝”的漏洞，因此，预计传播规模要小于之前的“Petya”。尽管如此，我们也要提醒客户，提高警惕，有条件的客户，考虑部署绿盟科技沙箱产品TAC。之前的安全建议依然有效，操作系统补丁更新，备份重要数据。

对于本次的“坏兔子”勒索软件：

• 注意不要随意下载和安装软件

• 关闭主机WMI服务，关闭Windows主机135/139/445端口

• 不要运行这两个文件：c:\windows\infpub.dat 和 c:\Windows\cscc.dat