Bad Rabbit

1、原理說明

1、病毒概述

2017年10月24日晚，俄羅斯、烏克蘭等多個東歐國家遭Bad Rabbit勒索病毒的襲擊，政府、交通、新聞等200多家機(jī)構(gòu)收到不同程度影響。該勒索病毒通過虛假Flash更新鏈接傳播，當(dāng)用戶訪問被入侵控制的合法網(wǎng)站是，網(wǎng)頁跳轉(zhuǎn)到虛假的Flash更新網(wǎng)站，一旦用戶下載并安裝虛假的Flash更新包則導(dǎo)致系統(tǒng)被感染。

且被感染主機(jī)開始SMB掃描內(nèi)網(wǎng)主機(jī)，通過硬編碼的用戶名和密碼對內(nèi)網(wǎng)SMB服務(wù)器進(jìn)行暴力破解。爆破成功后，利用永恒浪漫漏洞進(jìn)行提權(quán)，再釋放infpub.dat文件到共享服務(wù)器上，再利用SCManager和rundll.exe執(zhí)行惡意代碼進(jìn)行加密。

此次攻擊中的受害者，被要求支持0.05比特幣（約280美元）贖金，一個小時后計時器倒計時結(jié)束，贖金價格會上升。

2、病毒分析

1、該勒索軟件通過注入網(wǎng)頁腳本使訪問者自動下載并運(yùn)行惡意軟件，通過該腳本可以發(fā)現(xiàn)其POST地址為185.149.120.3(目前已經(jīng)無法訪問)。

2、通過偽裝成知名軟件使用戶下載安裝最終達(dá)到傳播目的，其下載名為install_flash_player.exe。

3、當(dāng)執(zhí)行完加密操作后便彈窗提示用戶付費(fèi)解密磁盤文件。

4、通過提供的安裝Key生成bitcoin地址，用戶付費(fèi)后便得到一個解密密鑰。

5、該加密算法使用的是用于驅(qū)動加密的開源加密算法DiskCryptor，密鑰由CryptGenRandom生成，而后通過硬編碼的RSA 2048位公共密鑰保護(hù)，加密后文件擴(kuò)展名均改為.encrypted。

6、該勒索軟件還在代碼中硬編碼了用戶名和密碼用于枚舉局域網(wǎng)的SMB共享，再通過永恒浪漫感染局域網(wǎng)更多主機(jī)。

3、網(wǎng)絡(luò)行為

支付地址:? http://caforssztxqzf2nm.onion

注入URL:? ?http://185.149.120.3/scholargoogle/

下載感染URL:? ?http://1dnscontrol.com/flash_install.php

被注入網(wǎng)站地址:

hxxp://argumentiru[.]com

hxxp://www.fontanka[.]ru

hxxp://grupovo[.]bg

hxxp://www.sinematurk[.]com

hxxp://www.aica.co[.]jp

hxxp://spbvoditel[.]ru

hxxp://argumenti[.]ru

hxxp://www.mediaport[.]ua

hxxp://blog.fontanka[.]ru

hxxp://an-crimea[.]ru

hxxp://www.t.ks[.]ua

hxxp://most-dnepr[.]info

hxxp://osvitaportal.com[.]ua

hxxp://www.otbrana[.]com

hxxp://calendar.fontanka[.]ru

hxxp://www.grupovo[.]bg

hxxp://www.pensionhotel[.]cz

hxxp://www.online812[.]ru

hxxp://www.imer[.]ro

hxxp://novayagazeta.spb[.]ru

hxxp://i24.com[.]ua

hxxp://bg.pensionhotel[.]com

hxxp://ankerch-crimea[.]ru

2、危害說明

1、感染主機(jī)文件被加密，需向攻擊者支持0.05比特幣贖金才可以解密；

2、感染范圍沒有WannaCry廣，因?yàn)椴捎盟诱军c(diǎn)進(jìn)行傳播，并未使用永恒之藍(lán)傳播；

3、中毒主機(jī)極可能伴隨著其它中毒癥狀，包括但不限于惡意軟件、廣告軟件等。

3、處置建議

1、病毒取證

（1）被加密的時間和文件后綴名是否為“.encrypted”，截圖取證。

（2）systeminfo命令檢查服務(wù)器之前是否打過MS17-010補(bǔ)丁，服務(wù)器中的補(bǔ)丁編號與官方編號進(jìn)行對比（如win2008R2應(yīng)該打的MS17-010補(bǔ)丁為 KB4012212、KB4012215），此場景下可以發(fā)現(xiàn)服務(wù)器已經(jīng)打上相應(yīng)的漏洞補(bǔ)丁，截圖取證。

（3）查看服務(wù)器是否開放135,139,445等高危端口，可以借助一些wannacry免疫工具（如深信服EDR工具等查殺的檢測工具）進(jìn)行檢測（如果檢測出有問題，不要免疫），截圖取證。

（4）查看服務(wù)器是否開放3389遠(yuǎn)程登錄，截圖取證。

（5）使用EDR、QQ管家等殺毒工具對服務(wù)器進(jìn)行查殺，看是否能殺出病毒樣本（目前不少勒索病毒加密完會自行刪除本體，殺軟不一定能100%殺出病毒），上傳樣本到virustotal、微步在線等平臺進(jìn)行確認(rèn)，看是否報樣本為勒索病毒，同時記錄病毒的創(chuàng)建時間和修改時間，截圖取證。

（6）根據(jù)勒索病毒的后綴名，盡可能的找出最早被加密的那個文件，記錄文件的創(chuàng)建時間，修改時間（如下圖在某次勒索病毒事件處置中，我們發(fā)現(xiàn)文件最早被加密的時間是在2017年10月5日12:40），截圖取證。

（7）Win+R運(yùn)行eventvwr，打開時事件查看器，打開安全日志（windows安全日志分析可參考附錄4.3）。

（8）根據(jù)管理員發(fā)現(xiàn)服務(wù)器被勒索的時間和文件被加密的時間（如在步驟6中的文件最早被加密的時間是在2017年10月5日12:40），排查文件被加密的時間前后的安全日志（2017年10月5日12:40前后），看是否有異常ip地址遠(yuǎn)程登錄了服務(wù)器（如下圖可以發(fā)現(xiàn)在12:36分，172.168.1.101這個ip地址登錄了服務(wù)器，該ip為一個內(nèi)網(wǎng)的IP地址，經(jīng)與管理員溝通后得知，172.168.1.101為跳板機(jī)，用來登錄內(nèi)網(wǎng)服務(wù)器，確認(rèn)在10月5日客戶與開發(fā)商都未登錄過172.168.1.101這臺服務(wù)器，由此可以推測是黑客登錄了172.168.1.101跳板機(jī)，之后利用跳板機(jī)登錄了內(nèi)網(wǎng)服務(wù)器，植入了勒索病毒），截圖取證。

根據(jù)文件被加密的時間，排查文件被加密的時間前后的安全日志，看是否有異常ip地址遠(yuǎn)程登錄了服務(wù)器，如果發(fā)現(xiàn)公網(wǎng)ip登錄服務(wù)器（如下圖某次應(yīng)急事件中我們發(fā)現(xiàn)195.22.127.114這個ip遠(yuǎn)程登錄了服務(wù)器）對于公網(wǎng)ip，可以結(jié)合威脅情報去確認(rèn)該ip是否為異常ip（通過微步在線查詢ip地址195.22.127.114，發(fā)現(xiàn)該ip地址來自波蘭,瓦爾米亞－馬祖里省,奧爾什丁，該地址被微步識別為僵尸網(wǎng)絡(luò)，很明顯這個地址不會是管理員用來登錄服務(wù)器的ip地址），截圖取證。

（9）告知管理員服務(wù)器3389登錄密碼被黑客獲取，黑客遠(yuǎn)程登錄服務(wù)器，植入勒索病毒，導(dǎo)致被勒索，

2、病毒處置

（1）打補(bǔ)丁

請到微軟官網(wǎng)下載MS17-010補(bǔ)丁，并安裝；

下載地址：

MSRC - Microsoft Security Response Center

注意：該步驟必須要做，如果主機(jī)不打補(bǔ)丁，即使病毒通過殺軟清理之后，仍會被二次感染。

（2）隔離感染主機(jī)

已中毒計算機(jī)盡快隔離，關(guān)閉所有網(wǎng)絡(luò)連接，禁用網(wǎng)卡。

（3）切斷感染源

關(guān)閉文件共享：控制面板>啟動“Windows防火墻”>“高級選項(xiàng)”>“入站規(guī)則”>關(guān)閉SMB應(yīng)用端口（135、137、139、445）。

（4）病毒查殺

推薦使用深信服EDR工具進(jìn)行分析并查殺：http://edr.sangfor.com.cn/tool/SfabAntiBot.zip

3、日常預(yù)防建議

（1）SMB服務(wù)器盡量設(shè)置較為復(fù)雜的密碼，建議密碼設(shè)置為字符串+特殊字符+數(shù)字；

（2）不要隨意下載并安裝來源不明的軟件；

（3）經(jīng)常及時為系統(tǒng)打補(bǔ)丁，防止被黑客漏洞利用；

（4）下載軟件后，先進(jìn)行查殺，再打開；

（5）不隨意打開來歷不明的郵件和可疑網(wǎng)站；

總結(jié)

以上是生活随笔為你收集整理的Bad Rabbit的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。