登录 / 注册
IT168网络安全频道
IT168首页 > 网络安全 > 网络安全技术 > 正文

威胁聚焦:快速追踪BadRabbit勒索软件

2017-10-25 23:54    it168网站 原创  作者: 思科 编辑: 闫志坤

    【IT168 技术】2017 年 10 月 24 日,思科 Talos 接到警报,网络上出现了一种大规模的勒索软件攻击活动,影响到了东欧和俄罗斯的很多组织。与以前一样,我们迅速行动起来,评估局势并确保保护客户不受此勒索软件和其他新出现的威胁影响。

威胁聚焦:追踪BadRabbit勒索软件

  最近几个月来已经出现了好几次大规模的勒索软件攻击活动。这次的勒索软件与 Nyetya 存在一些相似之处,也是以 Petya 勒索软件为基础,但是对大部分代码进行了改写。这次传播的病毒似乎没有我们最近发现的供应链攻击那么复杂。

  传播

  Talos 进行了评估,确信攻击者通过 “路过式下载” 方法传播了一种虚假 Flash Player 更新,并通过此更新入侵系统。攻击者将被入侵的网站重定向至 BadRabbit,受影响的网站很多,主要位于俄罗斯、保加利亚和土耳其。

  当用户访问被入侵的网站时,系统会重定向至 1dnscontrol[.]com 这一托管该恶意文件的网站。在下载实际的恶意文件之前,攻击者会向静态 IP 地址 (185.149.120[.]3) 发送一个 POST 请求。我们发现该请求发布到了 “/scholasgoogle” 静态路径,并向用户提供代理、引用站点、Cookie 和域名。在发布 POST 请求之后,系统从 1dnscontrol[.]com 的两个不同路径 /index.php 和 /flash_install.php 下载了植入程序。尽管使用了两个路径,但却只下载了一个文件。根据当前信息,在服务器 1dnscontrol[.]com 被入侵之前,该恶意软件似乎已经活动了大约六小时。我们观察到的首次下载时间大约在 UTC 时间 2017 年 10 月 24 日早上 8:22。

  植入程序 (630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da) 需要用户协助实施感染,而未使用任何漏洞攻击包来直接入侵系统。该植入程序包含 BadRabbit 勒索软件。该植入程序安装之后,它会使用一个 SMB 组件来进行内部扩散和进一步感染。其做法似乎是组合使用随附的弱凭证列表和与 Nyetya 所用的类似的 mimikatz 版本。下面是我们观察到的用户名/密码组合的列表。请注意,这与 1995 年臭名昭着的 “黑客” 存在重合。

威胁聚焦:追踪BadRabbit勒索软件
▲我们观察到的密码列表

   尽管已经制作初步报告,但是我们目前没有任何证据表明攻击者利用了 EternalBlue 漏洞攻击包来传播感染。然而,我们的研究还在继续,如果获得更多信息,我们将及时公布。

  技术详情

  该恶意软件包含一个负责提取和执行蠕虫负载的植入程序。这个负载包含以下存储于资源中的附加二进制文件(使用 zlib 压缩):

  ●若干与 DiskCryptor 关联的合法二进制文件(2 个驱动程序 x86/x64 和 1 个客户端);

  ●2 个类似于 mimikatz 的二进制文件 (x86/x64),与 Nyetya 中发现的样本相似。这是一种常见的开源工具,用于通过几种不同的方法从计算机内存中恢复用户凭证。

  该植入程序向 C:\Windows\ 目录植入若干文件。攻击者利用 Nyetya 攻击活动中相同的方法执行那些类似于 mimikatz 的二进制文件。负载和凭证窃取程序之间使用指定管道命令进行通信,下面是一个这种管道命令的示例:

  C:\WINDOWS\561D.tmp \\.\pipe\{C1F0BF2D-8C17-4550-AF5A-65A22C61739C}

  然后,该恶意软件使用 RunDLL32.exe 执行恶意软件并继续进行恶意操作。随后,该恶意软件使用如下屏幕截图所示的参数创建一个预定任务:

威胁聚焦:追踪BadRabbit勒索软件

  除了上述预定任务,该恶意软件还会再创建一个负责重启系统的预定任务。这第二个任务不会立即执行,而是按照计划稍后执行。

威胁聚焦:追踪BadRabbit勒索软件

  如果感觉这些预定任务的名称看起来很熟悉,那是因为它们引用了《权利的游戏》的内容,具体而言它们与里面那些龙的名字是一致的。该恶意软件还在受感染用户的桌面上创建了一个名为 DECRYPT 的文件。如果受害者执行此文件,系统会显示一封如下所示的勒索信。

威胁聚焦:追踪BadRabbit勒索软件

  为了揭示这类威胁在全球的传播速度有多快,我们绘制了下图,从中可以看出,在用于传播那个在受害者系统上植入恶意软件的虚假 Adobe Flash 更新的域中,其中一个域就存在非常活跃的 DNS 相关活动。

威胁聚焦:追踪BadRabbit勒索软件

  该恶意软件修改了被感染系统硬盘的主启动记录 (MBR),将启动过程重定向到恶意软件制作者代码中,从而显示勒索信。系统重启之后显示的勒索信如下,与今年其他重大攻击中发现的其他勒索软件变体(即 Petya)所显示的勒索信非常相似。

威胁聚焦:追踪BadRabbit勒索软件

  以下是 TOR 网站显示的付款页面:

威胁聚焦:追踪BadRabbit勒索软件

  结论

  这次攻击活动又一次证明了,勒索软件可以如何高效地使用 SMB 等辅助传播方法进行快速传播。在此例中,初始攻击媒介不是复杂的供应链攻击,而是利用被入侵的网站实现的 “路过式下载” 基本攻击。这正在迅速成为威胁形势的新常态。威胁传播速度越快,留给防御者的响应时间就越短,势必造成巨大的危害。无论攻击者是想谋取钱财,还是想蓄意破坏,勒索软件都是首选威胁方式。只要还有牟利或造成破坏的可能,这类威胁就会继续肆虐。

  这类威胁也扩大了需要处理的另一重要问题,那就是对用户进行宣传教育。在此次攻击中,用户需要协助攻击者实现初步感染。如果用户不安装那个 Flash 更新,就不会帮助完成这个攻击过程,该恶意软件就会保持良性状态,不会对该地区造成严重破坏。一旦用户帮助完成了初步感染,该恶意软件就可以利用现有的方法(例如 SMB)在整个网络内传播病毒,而无需用户交互。

  防护

威胁聚焦:追踪BadRabbit勒索软件

  ●高级恶意软件防护(AMP )-- 解决方案可以有效防止执行威胁发起者使用的恶意软件。

  ●CWS 和 WSA Web--扫描功能可以阻止访问恶意网站,并检测这些攻击中所用的恶意软件。

  ●网络安全设备--(例如 NGFW、NGIPS 和 Meraki MX)可以检测与此威胁相关的恶意活动。

  ●AMP ThreatGrid--可帮助识别恶意二进制文件,使所有思科安全产品都有内置保护措施。

  ●Umbrella--我们的安全互联网网关 (SIG),可阻止用户连接恶意域、IP 和 URL(无论用户是否位于公司网络上)。

  此次没有发现攻击者以邮件作为攻击媒介。如果该恶意软件在您网络的这些系统之间传输,将会受到阻止。

  思科 Talos 简介

  思科 Talos 团队由业界领先的网络安全专家组成,他们分析评估黑客活动,入侵企图,恶意软件以及漏洞的最新趋势。包括 ClamAV 团队和一些标准的安全工具书的作者中最知名的安全专家,都是思科 Talos 的成员。这个团队同时得到了 Snort、ClamAV、Senderbase.org 和 Spamcop.net 社区的庞大资源支持,使得它成为网络安全行业最大的安全研究团队,也为思科的安全研究和安全产品服务提供了强大的后盾支持。  

标签: 思科 Talos
  • IT168企业级IT168企业级
  • IT168文库IT168文库

扫一扫关注

行车视线文章推荐

首页 评论 返回顶部