BadRabbit样本 技术分析与防护方案

距离臭名卓著的“Petya”和“WannaCry”勒索软件大规模爆发还不到半年，又一个新的勒索软件于10月24日出现。这个命名为“坏兔子”（Bad Rabbit）的新型的勒索软件已经在欧洲多个国家进行传播，其中包括俄罗斯、乌克兰、保加利亚、土耳其和德国，并且已经扩散到美国。

目前“坏兔子”主要通过水坑站点传播，并没有利用之前的“永恒之蓝”的漏洞，因此，预计传播规模要小于之前的“Petya”与“WannaCry”。尽管如此，我们也要提醒客户，提高警惕。

事件背景

2017年10月24日，一个名为BadRabbit的勒索软件正在东欧和俄罗斯地区广泛传播，受害者就会被引诱安装一个伪装的flash_player安装程序，如果选择安装，则会被感染，加密文件，遭到勒索。

影响目标

BadRabbit勒索软件主要在在东欧和俄罗斯地区泛滥，同时也影响了保加利亚和土耳其。

攻击流程

传播与感染

样本投递

样本通过‘水坑攻击’的方式进行伪装投递。当正常网络用户访问被攻击者植入恶意代码的‘水坑网站’时，会被提示安装flashplayer插件，如果用户允许，则会从攻击者架设的恶意地址下载（h**p://1dnscontrol[.]com/flash_install[.]php）假冒伪装的flash_player安装文件，如果用户执行下载文件，则会被感染。

“水坑攻击”,黑客攻击方式之一，是在受害者必经之路设置了一个‘水坑’。最常见的做法是：黑客分析攻击目标的上网活动规律，寻找攻击目标经常访问的网站的弱点，先将此网站‘攻破’并植入攻击代码，即为‘挂马’。一旦攻击目标访问该网站就会被感染。

传播感染

样本使用暴力枚举 SMB 服务帐号和密码，同时利用 EternalRomance（MS17-010）漏洞进行传播。

机器分析（动态行为检测）

绿盟科技威胁分析系统TAC捕捉到这款恶意样本，安全风险为高危，沙箱也检测到释放样本、创建计划任务、扫描网络上的139和445端口，尝试感染。

文件操作

沙箱检测到样本运行后，在C盘下释放和创建多个恶意文件以及计划任务实现各个功能。

网络操作

沙箱检测到样本运行后，会扫描网络上的139和445端口，以便实现传播和感染。

进程控制

沙箱检测到样本运行后，通过释放文件创建进程的方式来启动各个恶意的功能模块。

高阶分析

样本执行流程图如下：

处理建议

安全通告

为使公司全员了解此勒索软件危害且遵从指导，避免不规范的行为导致不必要的损失，建议在公司范围内发布安全通告，形式包括但不限于：

• 微信/短信/邮件通知；

• 办公环境人工通告；

通告内容可参考如下：

安全操作建议

1）注意不要随意下载和安装软件

2）开启系统UAC（用户账户控制），并关注UAC告警提示，及时阻断可疑进程的运行。

3）关闭主机WMI服务，关闭Windows主机135/139/445端口；

4）如无必要，关闭网络共享

5）对于个人终端设备，安装防病毒软件并升级规则至最新版