坏兔子敲诈病毒事情基本剖析报告
华域联盟
登陆 / 注册 搜索

USERCENTER

SEARCHSITE

搜索

查看: 70|回复: 0

坏兔子敲诈病毒事情基本剖析报告

[复制链接]
发表于 2017-10-27 22:34:32 | 显示全部楼层 |阅读模式

【CHU】
信息来源: 华域联盟(www.cnhackhy.com)

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有帐号?立即注册 新浪微博登陆

x

t01580ac0437d1ebf46.png

$ G* H' ?5 N+ L3 b

0x00 事情描画


2017年10月24日,360CERT监测到有一同名为“坏兔子”(the Bad Rabbit)的敲诈病毒正在东欧和俄罗斯地域传播,据悉,目前影响了俄罗斯部分媒体组织,乌克兰的部分业务,包括基辅的公共交通系统和国度敖德萨机场,此外还影响了保加利亚和土耳其。

“坏兔子”主要是经过伪装flash装置程序让用户下载运转和暴力枚举SMB效劳帐号密码的方式中止传播,运用“永世浪漫”漏洞中止传播,感染方式上和此前的NotPetya敲诈病毒相似,会主动加密受害者的主引导记载(MBR)。“坏兔子”在敲诈赎金上有所变化,初始赎金为0.05 比特币(约280美圆),随时间的推移会进一步增加赎金。

依据监测,目前中国地域基本不受“坏兔子”敲诈病毒影响。

本文是360CERT对“坏兔子”事情的初步剖析。


  Z0 W) n' J3 L% P# s. r% Y* e

0x01 事情影响面


影响面

经过360CERT剖析,“坏兔子” 事情 属于敲诈病毒行为,需求重点关注其传播途径和危害:

• 主要经过入侵某合法新闻媒体网站,该媒体在乌克兰,土耳其,保加利亚,俄罗斯均有分网站。在受害者访问时会被引导装置一个伪装的flash装置程序(文件名为 install_flash_player. exe),用户一旦点击装置后就会被植入“坏兔子”敲诈病毒。

php?mod=logging&action=login'+'&referer='+encodeURIComponent(location))" src="http://p5.qhimg.com/t018ef6cf5bc63d62bc.png" border="0" alt="" />  ?) v4 F! a+ j/ N$ t
                               
php?mod=logging&action=login" onclick="showWindow('login', this.href+'&referer='+encodeURIComponent(location));">登录/注册后可看大图

php?mod=logging&action=login'+'&referer='+encodeURIComponent(location))" src="http://p1.qhimg.com/t01534b56dfc65d5178.png" border="0" alt="" />7 U  T1 o0 V- i3 @7 K
                               
php?mod=logging&action=login" onclick="showWindow('login', this.href+'&referer='+encodeURIComponent(location));">登录/注册后可看大图

• “坏兔子”样本主要经过提取主机NTLM认证信息和硬编码部分用户名密码暴力破解NTLM登录凭据和“永世浪漫”漏洞的方式来进一步感染能够触及的主机。

• “坏兔子”会试图感染目的主机上的以下类型文件和主引导分区,赎金会随着时间的推移而增长。

php?mod=logging&action=login'+'&referer='+encodeURIComponent(location))" src="http://p4.qhimg.com/t013bfd3cc7c049d77c.png" border="0" alt="" />% |; f, h% k8 v1 |
                               
php?mod=logging&action=login" onclick="showWindow('login', this.href+'&referer='+encodeURIComponent(location));">登录/注册后可看大图

综合判定“坏兔子”敲诈病毒经过“水坑”方式中止较大范围传播,且产生的危害严重,属于较大网络安全事情。

监测到IP央求态势和感染散布(图片来源:见参考)

php?mod=logging&action=login'+'&referer='+encodeURIComponent(location))" src="http://p8.qhimg.com/t017818d8f8f03445a4.png" border="0" alt="" />
$ n8 q& m( z) d0 K/ E                               
php?mod=logging&action=login" onclick="showWindow('login', this.href+'&referer='+encodeURIComponent(location));">登录/注册后可看大图

php?mod=logging&action=login'+'&referer='+encodeURIComponent(location))" src="http://p8.qhimg.com/t01269c7a9a8b6dc2c6.png" border="0" alt="" />
9 L! F, \( w! Y( m; s                               
php?mod=logging&action=login" onclick="showWindow('login', this.href+'&referer='+encodeURIComponent(location));">登录/注册后可看大图

php?mod=logging&action=login'+'&referer='+encodeURIComponent(location))" src="http://p6.qhimg.com/t0151c42221cdd3b7ea.png" border="0" alt="" />
' m( C8 d" r, ?                               
php?mod=logging&action=login" onclick="showWindow('login', this.href+'&referer='+encodeURIComponent(location));">登录/注册后可看大图

注:以上监测数据不一定完好,仅供参考。数据显现感染趋向并没有特别猛烈,持续时间较短。


( i. U* a2 Q, \( \0 m" r

0x02部分技术信息


“坏兔子”敲诈病毒的整体行为技术剖析上并没有太多的技术创新,以下是相关的部分技术信息。

传播信息

“坏兔子”敲诈病毒经过链接 hxxp://1dnscontrol[.]com/flash_install.php 链接中止传播,该域名下的可疑衔接如下:

php?mod=logging&action=login'+'&referer='+encodeURIComponent(location))" src="http://p9.qhimg.com/t018fd795df5561fd54.png" border="0" alt="" />
2 P4 z4 R5 F" F- Z! B6 C& u                               
php?mod=logging&action=login" onclick="showWindow('login', this.href+'&referer='+encodeURIComponent(location));">登录/注册后可看大图

整体行为

“坏兔子”敲诈病毒需求受害者手动启动下载名为 install_flash_player.exe的可行性文件,该文件需求提升的权限才干运转, Windows UAC会提示这个动作,假如受害者还是同意了,病毒就会依照预期运转。

“坏兔子”敲诈病毒主要包括如下流程:

“install_flash_player.exe”会下载名为 infpub.dat 的DLL歹意载体。

infpub.dat会夹带和释放传播模块和文件加密模块。

合法的DiskCryptor加密模块,discpci.exe,包括32和64位。

2个疑似mimikatz模块。

生成IP信息,暴力破解NTLM登陆凭证,完成进一步感染。

该文件会被保管到C[:]\Windows\infpub.dat途径中。

Rundll32.exe 加载infpub.dat文件。

增加计划任务“rhaegal”启动discpci.exe完成磁盘加密。

增加计划任务“drogon”重启系统,并显现被敲诈界面。

在暴力破解完成后,会试图应用“永世浪漫”漏洞完成进一步感染。

创建感染线程,尝试对外感染。

重启前会主动删除部分日志信息。

细致流程如下图所示:

php?mod=logging&action=login'+'&referer='+encodeURIComponent(location))" src="http://p2.qhimg.com/t01a3d2e14f8e5dcff4.png" border="0" alt="" />/ X: C4 e5 }! T$ w/ r
                               
php?mod=logging&action=login" onclick="showWindow('login', this.href+'&referer='+encodeURIComponent(location));">登录/注册后可看大图

“坏兔子”敲诈病毒在行为方面并没有太多的创新,细致的程序执行链能够直接经过360中心安全团队的沙箱平台剖析出来:

php?mod=logging&action=login'+'&referer='+encodeURIComponent(location))" src="http://p4.qhimg.com/t01bf12eb37b8b44f87.png" border="0" alt="" />9 O0 P( t( X' m5 ^
                               
php?mod=logging&action=login" onclick="showWindow('login', this.href+'&referer='+encodeURIComponent(location));">登录/注册后可看大图

其中,如上文所述。infpub.dat有5个资源文件,

资源文件1/2是相似于mimikatz的64位/32位版本;

资源文件7/8是diskcryptor中的64位/32位驱动文件,具有数字签名;

资源9是主要用来加密的程序:

php?mod=logging&action=login'+'&referer='+encodeURIComponent(location))" src="http://p6.qhimg.com/t01de5095cd7f128661.png" border="0" alt="" />3 n% R( @( x' ^  n& B  L
                               
php?mod=logging&action=login" onclick="showWindow('login', this.href+'&referer='+encodeURIComponent(location));">登录/注册后可看大图

php?mod=logging&action=login'+'&referer='+encodeURIComponent(location))" src="http://p9.qhimg.com/t01b651d5dec419b349.png" border="0" alt="" />
2 Y* j" x+ L/ e                               
php?mod=logging&action=login" onclick="showWindow('login', this.href+'&referer='+encodeURIComponent(location));">登录/注册后可看大图

相关落地到磁盘的样本如下:

php?mod=logging&action=login'+'&referer='+encodeURIComponent(location))" src="http://p5.qhimg.com/t018e473176c29eb51e.png" border="0" alt="" />" }/ L$ Q, @7 w% _
                               
php?mod=logging&action=login" onclick="showWindow('login', this.href+'&referer='+encodeURIComponent(location));">登录/注册后可看大图

0 e3 |) {) i! E6 s0 J7 q

“永世浪漫”漏洞相关细节

BadRabbit疑似在暴力破解NTLM之后,还试图应用了“永世浪漫”EternalRomance漏洞传播。

php?mod=logging&action=login'+'&referer='+encodeURIComponent(location))" src="http://p6.qhimg.com/t01c7f83655fc06d986.png" border="0" alt="" />$ c' c' \0 |2 L& R6 u1 j7 u- H
                               
php?mod=logging&action=login" onclick="showWindow('login', this.href+'&referer='+encodeURIComponent(location));">登录/注册后可看大图

* K6 E  }) j6 \! e


7 N: g$ L! r" |9 J3 ^" K

与之前NotPetya运用TheShadowBrokers中的shellcode不同,BadRabbit中的应用疑似依据github上发布的python漏洞应用脚本修正而来:

https://github.com/worawit/MS17-010/blob/master/zzz_exploit.py

程序的数据段中的部分内容经过按位取反后和python脚本中定义的结构体相同。

php?mod=logging&action=login'+'&referer='+encodeURIComponent(location))" src="http://p6.qhimg.com/t01604f102c3a33d867.png" border="0" alt="" />
( G6 t. v- ^9 K& @! I# V                               
php?mod=logging&action=login" onclick="showWindow('login', this.href+'&referer='+encodeURIComponent(location));">登录/注册后可看大图
php?mod=logging&action=login'+'&referer='+encodeURIComponent(location))" src="http://p9.qhimg.com/t01a639401c8503014d.png" border="0" alt="" />
: x4 Y8 g5 H- ^                               
php?mod=logging&action=login" onclick="showWindow('login', this.href+'&referer='+encodeURIComponent(location));">登录/注册后可看大图

同样都解析SMB响应中包含的走漏出的Frag Pool结构:

php?mod=logging&action=login'+'&referer='+encodeURIComponent(location))" src="http://p6.qhimg.com/t01f574e782b4554d90.png" border="0" alt="" />2 C" @# O* V$ W: q
                               
php?mod=logging&action=login" onclick="showWindow('login', this.href+'&referer='+encodeURIComponent(location));">登录/注册后可看大图
php?mod=logging&action=login'+'&referer='+encodeURIComponent(location))" src="http://p8.qhimg.com/t01403da3c4c1442143.png" border="0" alt="" />" U; |" l3 ~* C) W5 V! Q
                               
php?mod=logging&action=login" onclick="showWindow('login', this.href+'&referer='+encodeURIComponent(location));">登录/注册后可看大图

同样都在尝试修正另一个Transaction的数据之后检查NT status code:

php?mod=logging&action=login'+'&referer='+encodeURIComponent(location))" src="http://p3.qhimg.com/t010260a9de28f18613.png" border="0" alt="" />/ m- a+ g: h# ?4 m: ]
                               
php?mod=logging&action=login" onclick="showWindow('login', this.href+'&referer='+encodeURIComponent(location));">登录/注册后可看大图
php?mod=logging&action=login'+'&referer='+encodeURIComponent(location))" src="http://p0.qhimg.com/t01011537544806d704.png" border="0" alt="" />
; h6 S0 {% \) A; ~/ _4 ^+ [8 w/ P                               
php?mod=logging&action=login" onclick="showWindow('login', this.href+'&referer='+encodeURIComponent(location));">登录/注册后可看大图

运用不同的MultiplexID值发送nt_trans_secondary,相似于python脚本中的write_data()函数:

php?mod=logging&action=login'+'&referer='+encodeURIComponent(location))" src="http://p0.qhimg.com/t010bcfe4fc2c1daf70.png" border="0" alt="" />0 b8 x3 V, S) m' L
                               
php?mod=logging&action=login" onclick="showWindow('login', this.href+'&referer='+encodeURIComponent(location));">登录/注册后可看大图
php?mod=logging&action=login'+'&referer='+encodeURIComponent(location))" src="http://p2.qhimg.com/t01ba75ad9ed20231f5.png" border="0" alt="" />
4 q* X9 ]9 ?& d- q                               
php?mod=logging&action=login" onclick="showWindow('login', this.href+'&referer='+encodeURIComponent(location));">登录/注册后可看大图

相关信息

Rundll32.exe启动infpub.dat动态库

php?mod=logging&action=login'+'&referer='+encodeURIComponent(location))" src="http://p1.qhimg.com/t013c367fe36bc27b0f.png" border="0" alt="" />1 |, a/ N- Q  O: U0 u5 q, x
                               
php?mod=logging&action=login" onclick="showWindow('login', this.href+'&referer='+encodeURIComponent(location));">登录/注册后可看大图

公钥信息

php?mod=logging&action=login'+'&referer='+encodeURIComponent(location))" src="http://p1.qhimg.com/t0152f60ed7c8f46d34.png" border="0" alt="" />4 ^/ ?1 n5 I5 u" f2 z+ \. S7 `
                               
php?mod=logging&action=login" onclick="showWindow('login', this.href+'&referer='+encodeURIComponent(location));">登录/注册后可看大图

提权相关

php?mod=logging&action=login'+'&referer='+encodeURIComponent(location))" src="http://p0.qhimg.com/t01fcee006b11de1c44.png" border="0" alt="" />5 T9 k5 {0 i% h5 f+ R6 C8 V- U
                               
php?mod=logging&action=login" onclick="showWindow('login', this.href+'&referer='+encodeURIComponent(location));">登录/注册后可看大图

感染目的IP段生成(依次获取已树立TCP衔接的IP,本地ARP缓存的IP和局域网内的效劳器IP地址)

php?mod=logging&action=login'+'&referer='+encodeURIComponent(location))" src="http://p0.qhimg.com/t01f00be8505cf29e8d.png" border="0" alt="" />: ~' G6 ?; L9 q
                               
php?mod=logging&action=login" onclick="showWindow('login', this.href+'&referer='+encodeURIComponent(location));">登录/注册后可看大图

php?mod=logging&action=login'+'&referer='+encodeURIComponent(location))" src="http://p3.qhimg.com/t011763e2ded0f967ee.png" border="0" alt="" />
) Y* w* J2 y8 q: \2 \% Q5 f, H$ S                               
php?mod=logging&action=login" onclick="showWindow('login', this.href+'&referer='+encodeURIComponent(location));">登录/注册后可看大图

NTLM暴破的用户/密码列表

php?mod=logging&action=login'+'&referer='+encodeURIComponent(location))" src="http://p7.qhimg.com/t01b7e313fd5cc3210d.png" border="0" alt="" />
0 L, s6 S" \+ A; c                               
php?mod=logging&action=login" onclick="showWindow('login', this.href+'&referer='+encodeURIComponent(location));">登录/注册后可看大图

php?mod=logging&action=login'+'&referer='+encodeURIComponent(location))" src="http://p5.qhimg.com/t0116e8d504cb6e1487.png" border="0" alt="" />! R- O& {! L4 X- l: W3 N! w
                               
php?mod=logging&action=login" onclick="showWindow('login', this.href+'&referer='+encodeURIComponent(location));">登录/注册后可看大图

尝试经过IPC匿名管道加密

php?mod=logging&action=login'+'&referer='+encodeURIComponent(location))" src="http://p8.qhimg.com/t01a73135ab51db1c86.png" border="0" alt="" />
$ B* X3 F# ^3 p7 p4 [                               
php?mod=logging&action=login" onclick="showWindow('login', this.href+'&referer='+encodeURIComponent(location));">登录/注册后可看大图

php?mod=logging&action=login'+'&referer='+encodeURIComponent(location))" src="http://p9.qhimg.com/t01a811d53d00066d2e.png" border="0" alt="" />
7 y( E' G) G) B3 T3 d- [                               
php?mod=logging&action=login" onclick="showWindow('login', this.href+'&referer='+encodeURIComponent(location));">登录/注册后可看大图

php?mod=logging&action=login'+'&referer='+encodeURIComponent(location))" src="http://p6.qhimg.com/t0143bc374ae79a28cf.png" border="0" alt="" />
* y$ M, J& w3 \6 h/ |6 y                               
php?mod=logging&action=login" onclick="showWindow('login', this.href+'&referer='+encodeURIComponent(location));">登录/注册后可看大图

感染胜利后的logo

php?mod=logging&action=login'+'&referer='+encodeURIComponent(location))" src="http://p3.qhimg.com/t01d29392052e8b8f79.png" border="0" alt="" />
" a7 L  A5 ~, V; H) ?  V$ j                               
php?mod=logging&action=login" onclick="showWindow('login', this.href+'&referer='+encodeURIComponent(location));">登录/注册后可看大图

Indicators of Compromise (IOCs)

文件哈希

fbbdc39af1139aebba4da004475e8839 – 木马释放器(最初被释放的样本)

1d724f95c61f1055f0d02c2154bbccd3 – infpub.dat – 主要的DLL

b4e6d97dafd9224ed9a547d52c26ce02 – cscc.dat – 用于磁盘加密的合法驱动

b14d8faf7f0cbcfad051cefe5f39645f – dispci.exe – 装置bootlocker,与驱动通讯

域名

1dnscontrol[.]com

caforssztxqzf2nm[.]onion

IP地址

185.149.120[.]3

疑似受影响网站

Argumentiru[.]com

Fontanka[.]ru

Adblibri[.]ro

Spbvoditel[.]ru

Grupovo[.]bg

www.sinematurk[.]com

加密的目的文件后缀

".3ds.7z.accdb.ai.asm.asp.aspx.avhd.back.bak.bmp.brw.c.cab.cc.cer.cfg.conf.cpp.crt.cs.ctl.cxx.dbf.der.dib.disk.d"

"jvu.doc.docx.dwg.eml.fdb.gz.h.hdd.hpp.hxx.iso.java.jfif.jpe.jpeg.jpg.js.kdbx.key.mail.mdb.msg.nrg.odc.odf.odg."

"odi.odm.odp.ods.odt.ora.ost.ova.ovf.p12.p7b.p7c.pdf.pem.pfx.php.pmf.png.ppt.pptx.ps1.pst.pvi.py.pyc.pyw.qcow.q"

"cow2.rar.rb.rtf.scm.sln.sql.tar.tib.tif.tiff.vb.vbox.vbs.vcb.vdi.vfd.vhd.vhdx.vmc.vmdk.vmsd.vmtm.vmx.vsdx.vsv."

"work.xls.xlsx.xml.xvd.zip."

base64编码后的公钥信息

"MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA5clDuVFr5sQxZ+feQlVvZcEK0k4uCSF5SkOkF9A3tR6O/xAt89/PV"

"howvu2TfBTRsnBs83hcFH8hjG2V5F5DxXFoSxpTqVsR4lOm5KB2S8ap4TinG/GN/SVNBFwllpRhV/vRWNmKgKIdROvkHxyAL"

"uJyUuCZlIoaJ5tB0YkATEHEyRsLcntZYsdwH1P+NmXiNg2MH5lZ9bEOk7YTMfwVKNqtHaX0LJOyAkx4NR0DPOFLDQONW9OOh"

"ZSkRx3V7PC3Q29HHhyiKVCPJsOW1l1mNtwL7KX+7kfNe0CefByEWfSBt1tbkvjdeP2xBnPjb3GE1GA/oGcGjrXc6wV8WKsfYQIDAQAB"

硬编码的爆破帐号/密码

帐号:

Administrator, Admin, Guest, User, User1, user-1, Test, root, buh, boss, ftprdp,rdpuser,rdpadmin,manager,support,work,other user,operator,backup,asus,ftpuser,ftpadmin,nas,nasuser,nasadmin,superuser,netguest,alex

密码

Administrator, administrator, Guest, guest, User, user, Admin, adminTest, test root, 123, 1234, 12345, 123456, 1234567, 12345678, 123456789, 1234567890, Administrator123, administrator123, Guest123, guest123, User123, user123, Admin123, admin123Test123, test123, password, 111111, 55555, 77777, 777, qwe, qwe123, qwe321, qwer, qwert, qwerty, qwerty123, zxc, zxc123, zxc321, zxcv, uiop, 123321, 321, love, secret, sex, god


7 }8 o  ?! t/ i5 _  w

0x03处置倡议


1. 倡议用户默许开启防火墙禁用Windows客户端139, 445端口访问,如若需求开启端口倡议定期更新微软补丁。

2. 下载360安全卫士,更新“永世浪漫”等永世系列漏洞

3. 该类敲诈病毒360安全卫士在该病毒迸发之前已能拦截,倡议下载并装置360安全卫士中止有效防御。

, f. Y' v- I3 D0 @+ D

0x04 时间线


2017-10-24 事情被披露

2017-10-25 360CERT完成了基本剖析报告

2017-10-27 报告 增加“永世浪漫”漏洞运用技术信息

! R+ {+ K+ ^/ }) `5 N

0x05 参考


1. http://blog.talosintelligence.com/2017/10/bad-rabbit.html#more

2. https://www.forbes.com/forbes/welcome/?toURL=https://www.forbes.com/sites/thomasbrewster/2017/10/24/bad-rabbit-ransomware-using-nsa-exploit-in-russia/&refURL=https://t.co/zIjBLXa1BI&referrer=https://t.co/zIjBLXa1BI

3. https://securelist.com/bad-rabbit-ransomware/82851/

4. https://securingtomorrow.mcafee.com/mcafee-labs/badrabbit-ransomware-burrows-russia-ukraine/

5. https://www.forbes.com/sites/thomasbrewster/2017/10/24/bad-rabbit-ransomware-using-nsa-exploit-in-russia/#8697ad455368

6. https://www.virustotal.com/en/domain/1dnscontrol.com/information/

7. https://github.com/worawit/MS17-010/blob/master/zzz_exploit.py

) K, R6 ]$ [; @& P. d
文章来源:华域联盟

 

                                                  




上一篇:手机远控 绝密教材
下一篇:中央游戏很火:揭好媳妇爬三细致玩法

帖子的最近访客

回复 百度谷歌雅虎搜狗搜搜有道360奇虎 天涯海角搜一下: 百度 谷歌 360 搜狗 搜搜 有道 谷粉 雅虎 必应 即刻

使用道具 举报

GMT+8, 2017-11-22 19:17 , Processed in 0.421875 second(s), 42 queries .

© 2020 华域联盟 | 蒙公网安备 15062202000105号 版权删帖举报人口

备案号: 蒙ICP备17000689号-2                                                                                                                                                                    

快速回复 返回列表