BadRabbit样本 技术分析与防护方案

举报
人生苦短,我用Python 发表于 2017/11/02 12:43:03 2017/11/02
【摘要】 距离臭名卓著的“Petya”和“WannaCry”勒索软件大规模爆发还不到半年,又一个新的勒索软件于10月24日出现。这个命名为“坏兔子”(Bad Rabbit)的新型的勒索软件已经在欧洲多个国家进行传播,其中包括俄罗斯、乌克兰、保加利亚、土耳其和德国,并且已经扩散到美国。目前“坏兔子”主要通过水坑站点传播,并没有利用之前的“永恒之蓝”的漏洞,因此,预计传播规模要小于之前的“Petya”与“Wan

距离臭名卓著的“Petya”和“WannaCry”勒索软件大规模爆发还不到半年,又一个新的勒索软件于10月24日出现。这个命名为“坏兔子”(Bad Rabbit)的新型的勒索软件已经在欧洲多个国家进行传播,其中包括俄罗斯、乌克兰、保加利亚、土耳其和德国,并且已经扩散到美国。

目前“坏兔子”主要通过水坑站点传播,并没有利用之前的“永恒之蓝”的漏洞,因此,预计传播规模要小于之前的“Petya”与“WannaCry”。尽管如此,我们也要提醒客户,提高警惕。

事件背景

2017年10月24日,一个名为BadRabbit的勒索软件正在东欧和俄罗斯地区广泛传播,受害者就会被引诱安装一个伪装的flash_player安装程序,如果选择安装,则会被感染,加密文件,遭到勒索。

影响目标

BadRabbit勒索软件主要在在东欧和俄罗斯地区泛滥,同时也影响了保加利亚和土耳其。

攻击流程

传播与感染

样本投递

样本通过‘水坑攻击’的方式进行伪装投递。当正常网络用户访问被攻击者植入恶意代码的‘水坑网站’时,会被提示安装flashplayer插件,如果用户允许,则会从攻击者架设的恶意地址下载(h**p://1dnscontrol[.]com/flash_install[.]php)假冒伪装的flash_player安装文件,如果用户执行下载文件,则会被感染。

“水坑攻击”,黑客攻击方式之一,是在受害者必经之路设置了一个‘水坑’。最常见的做法是:黑客分析攻击目标的上网活动规律,寻找攻击目标经常访问的网站的弱点,先将此网站‘攻破’并植入攻击代码,即为‘挂马’。一旦攻击目标访问该网站就会被感染。

 

传播感染

样本使用暴力枚举 SMB 服务帐号和密码,同时利用 EternalRomance(MS17-010)漏洞进行传播。

机器分析(动态行为检测)

绿盟科技威胁分析系统TAC捕捉到这款恶意样本,安全风险为高危,沙箱也检测到释放样本、创建计划任务、扫描网络上的139和445端口,尝试感染。

文件操作

沙箱检测到样本运行后,在C盘下释放和创建多个恶意文件以及计划任务实现各个功能。

网络操作

沙箱检测到样本运行后,会扫描网络上的139和445端口,以便实现传播和感染。

进程控制

沙箱检测到样本运行后,通过释放文件创建进程的方式来启动各个恶意的功能模块。

高阶分析

样本执行流程图如下:

处理建议

安全通告

为使公司全员了解此勒索软件危害且遵从指导,避免不规范的行为导致不必要的损失,建议在公司范围内发布安全通告,形式包括但不限于:

  • 微信/短信/邮件通知;

  • 办公环境人工通告;

通告内容可参考如下:

继WannaCry和Petya勒索病毒之后,近期又爆发“坏兔子”勒索软件,为避免个人及办公资料被此勒索软件加密,建议:


1、 禁止安装来源不明的软件;

2、 谨慎点击来自不明邮件中的文件和链接;

3、 开启系统UAC(用户账户控制),并关注UAC告警提示,及时阻断可疑进程的运行。

已经发现自己中病毒,文件被加密的电脑、服务器,请立即拔网线,禁止接入网络!

安全操作建议

1)注意不要随意下载和安装软件

2)开启系统UAC(用户账户控制),并关注UAC告警提示,及时阻断可疑进程的运行。

3)关闭主机WMI服务,关闭Windows主机135/139/445端口;

4)如无必要,关闭网络共享

5)对于个人终端设备,安装防病毒软件并升级规则至最新版


【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。