0x00 执行描述
2017年10月24日,监测到有一起名为“坏兔子”(the Bad )的勒索病毒正在东欧和俄罗斯地区传播,据悉,目前影响了俄罗斯部分媒体组织,乌克兰的部分业务,包括基辅的公共交通系统和国家敖德萨机场,此外还影响了保加利亚和土耳其。
“坏兔子”主要是通过伪装flash安装程序让用户下载运行和暴力枚举SMB服务帐号密码的形式进行传播,并未使用“永恒之蓝”漏洞进行传播,感染形式上和此前的勒索病毒相似,会主动加密受害者的主引导记录(MBR)。“坏兔子”在勒索赎金上有所变化,初始赎金为0.05 比特币(约280美元),随时间的推移会进一步增加赎金。
根据监测,目前中国地区基本不受“坏兔子”勒索病毒影响。
本文是对“坏兔子”事件的初步分析。
0x01 事件影响面1、影响面
经过分析,“坏兔子”事件属于勒索病毒行为,需要重点关注其传播途径和危害:
·主要通过入侵某合法新闻媒体网站,该媒体在乌克兰,土耳其,保加利亚,俄罗斯均有分网站。在受害者访问时会被引导安装一个伪装的flash安装程序(文件名为 . exe),用户一旦点击安装后就会被植入“坏兔子”勒索病毒。
·“坏兔子”样本主要通过提取主机NTLM认证信息和硬编码部分用户名密码暴力破解NTLM登录凭据的方式来进一步感染可以触及的主机。
·“坏兔子”会试图感染目标主机上的以下类型文件和主引导分区,赎金会随着时间的推移而增长。
综合判定“坏兔子”勒索病毒通过“水坑”方式进行较大规模传播,且产生的危害严重,属于较大网络安全事件。
2、监测到IP请求态势和感染分布(图片来源:见参考)
注:以上监测数据不一定完整,仅供参考。数据显示感染趋势并没有特别剧烈,持续时间较短。
0x02 部分技术信息
“坏兔子”勒索病毒的整体行为技术分析上并没有太多的技术创新,中间也没有证据表明该病毒利用任何漏洞,以下是相关的部分技术信息。
传播信息
“坏兔子”勒索病毒通过链接hxxp://[.]com/.php 链接进行传播,该域名下的可疑连接如下:
整体行为
“坏兔子”勒索病毒并没有利用任何漏洞, 需要受害者手动启动下载名为.exe的可行性文件,该文件需要提升的权限才能运行, UAC会提示这个动作,如果受害者还是同意了,病毒就会按照预期运行。
“坏兔子”勒索病毒主要包括如下流程:
·“.exe”会下载名为 .dat 的DLL恶意载体。
·.dat会夹带和释放传播模块和文件加密模块。
o合法的加密模块,.exe,包括32和64位。
o2个疑似模块。
o生成IP信息,暴力破解NTLM登陆凭证,实现进一步感染。
o该文件会被保存到C[:]\.dat路径中。
.exe 加载.dat文件。
o增加计划任务“”启动.exe实现磁盘加密。
o增加计划任务“”重启系统,并显示被勒索界面。
o创建感染线程病毒分析网站,尝试对外感染。
o重启前会主动删除部分日志信息。
具体流程如下图所示:
“坏兔子”勒索病毒在行为方面并没有太多的创新,具体的程序执行链可以直接通过360核心安全团队的沙箱平台分析出来:
其中,如上文所述。.dat有5个资源文件,资源文件1/2是类似于的64位/32位版本;资源文件7/8是中的64位/32位驱动文件病毒分析网站,具有数字签名;资源9是主要用来加密的程序:
相关落地到磁盘的样本如下:
相关信息
·.exe启动.dat动态库
·公钥信息
·提权相关
·感染目标IP段生成(依次获取已建立TCP连接的IP,本地ARP缓存的IP和局域网内的服务器IP地址)
·NTLM暴破的用户/密码列表
·尝试通过IPC匿名管道加密
·感染成功后的logo
(IOCs)
·文件哈希
– 木马释放器(最初被释放的样本)
– .dat– 主要的DLL
– cscc.dat – 用于磁盘加密的合法驱动
– .exe – 安装,与驱动通信
·域名
[.]com
[.]onion
·IP地址
185.149.120[.]3
·疑似受影响网站
[.]com
[.]ru
[.]ro
[.]ru
[.]bg
[.]com
0x03 处理建议
1. 建议用户默认开启防火墙禁用客户端139, 445端口访问,如若需要开启端口建议定期更新微软补丁。
2. 该类勒索病毒360安全卫士在该病毒爆发之前已能拦截,建议下载并安装360安全卫士进行有效防御。
0x04 时间线
限时特惠:本站持续每日更新海量各大内部创业课程,一年会员仅需要98元,全站资源免费下载
点击查看详情
站长微信:Jiucxh
