文档信息
编号 | QiAnXinTI-SE-2017-0012 |
关键字 | BadRabbit Ransomware 勒索软件 |
发布日期 | 2017年10月25日 |
更新日期 | 2017年10月27日 |
TLP | WHITE |
分析团队 | 奇安信威胁情报中心、安全监测与响应中心 |
通告背景
2017年10月24日,一款被命名为“坏兔子”(BadRabbit)的勒索软件被发现大量传播,奇安信威胁情报中心分析对其进行了技术分析和影响面评估,提供处置建议。
事件概要
攻击目标 | 特定俄语系网站及相关的访问者 |
攻击目的 | 表现为文件加密勒索,不排除实质为破坏性攻击 |
主要风险 | 数据损毁,信息丢失 |
攻击入口 | 攻击者入侵合法网站分发伪装Flash软件的勒索恶意代码,准定向攻击 |
使用漏洞 | 无 |
通信控制 | 连接Tor网络传递密钥,收取赎金 |
抗检测能力 | 中 |
受影响应用 | Windows操作系统 |
已知影响 | 目前评估国内受影响用户数量极少,感染用户主要集中在俄罗斯、乌克兰及东欧地区 |
分析摘要: - 战术 - 技术 - 过程 |
1. 入侵俄语系新闻网站植入恶意代码诱导访问者下载执行看起来是Flash升级的勒索软件,执行典型的水坑攻击,投放有一定的定向性。 2. 恶意代码执行以后会扫描本地网络的SMB共享尝试用一个内置的弱口令列表进行暴破,并使用NSA永恒浪漫SMB服务漏洞进行攻击,感染更多内网系统。 3. 恶意代码会释放本地认证凭据提取工具Mimikatz程序,通过账号信息进行横向移动。 4. 恶意代码复用了Petya勒索软件的部分代码,与此家族具有一定的继承性。 |
事件描述
2017年10月24日,一款被命名为“坏兔子”(BadRabbit)的勒索软件在境外发生了一定规模的感染,目前涉及的国家主要有俄罗斯、乌克兰、保加利亚、土耳其和德国,有用户通过水坑攻击被恶意代码加密系统文件要求支付赎金。作为恶意软件分发渠道而被入侵的网站包括俄罗斯的国际文传电讯社、乌克兰基辅的地铁系统、乌克兰敖德萨的国际机场以及乌克兰的基础设施部等多家大型机构。
事件时间线
2017年10月24日俄罗斯、乌克兰及东欧地区发现一定规模的勒索软件攻击,大量用户的系统文件被加密要求支付赎金。
2017年10月25日主要的防病毒厂商发现此攻击并作出响应。
影响面和危害分析
受恶意代码感染的用户电脑上的文件会被加密并要求支付赎金,超过一定期限赎金会上涨。
根据360网络研究院和威胁情报中心的数据评估,此勒索软件目前在国内几乎还没有批量的感染发生,但是需要引起必要的重视并采取应对措施以避免受可能的影响。
处置建议
- 备份电脑上的重要文件到本机以外的其他机器上,检查组织内部的备份机制是否正常运作。
- 电脑安装防病毒安全软件,确认规则升级到最新。
- 检查SMB共享是否使用了弱口令,本次事件相关的账号和弱口令列表见附件。
技术分析
BadRabbit通过水坑攻击将恶意代码植入到合法网站,伪装成Flash升级更新弹窗,诱骗用户主动下载运行恶意程序。此恶意程序除了加密受害终端的文档外,还会扫描内网SMB共享,使用弱口令和NSA永恒浪漫漏洞进行攻击传播。此恶意代码还会释放Mimikatz类工具,通过获取登录凭证尝试登录和感染内网其他主机。
更多技术细节可以参看参考资料的网页。
关联分析及溯源
勒索软件复用了部分Petya家族的代码,可以视其与Petya家族有一定的继承关系。
勒索软件使用了1dnscontrol.com域名作为恶意代码的分发站点,查询奇安信威胁情报中心,此域名注册于2016年3月22日并作了隐私保护:
域名解析到IP 5.61.37.209,此IP所绑定其他域名也非常可疑,极有可能为同一攻击团伙所有:
参考资料
https://securelist.com/bad-rabbit-ransomware/82851/
http://blog.talosintelligence.com/2017/10/cyber-conflict-decoy-document.html?m=1
更新历史
时间 | 内容 |
2017年10月25日 | 初始报告 |
2017年10月27日 | 补充利用NSA永恒浪漫漏洞的信息 |
附件
IOC列表
C&C |
caforssztxqzf2nm.onion http://185.149.120.3/scholargoogle/ http://1dnscontrol.com/flash_install.php 1dnscontrol.com |
挂马站点 |
argumentiru.com www.fontanka.ru grupovo.bg www.sinematurk.com www.aica.co.jp spbvoditel.ru argumenti.ru www.mediaport.ua blog.fontanka.ru an-crimea.ru www.t.ks.ua most-dnepr.info osvitaportal.com.ua www.otbrana.com calendar.fontanka.ru www.grupovo.bg www.pensionhotel.cz www.online812.ru www.imer.ro novayagazeta.spb.ru i24.com.ua bg.pensionhotel.com ankerch-crimea.ru |
同源IP可疑域名 |
fastmonitor1.net openmonitor1.net secure-dns1.net |
Hash | 备注 |
fbbdc39af1139aebba4da004475e8839 1d724f95c61f1055f0d02c2154bbccd3 b14d8faf7f0cbcfad051cefe5f39645f b4e6d97dafd9224ed9a547d52c26ce02 347ac3b6b791054de3e5720a7144a977 37945c44a897aa42a66adcab68f560e0 |
install_flash_player.exe infpub.dat dispci.exe cscc.dat Mimikatz x64 Mimikatz x86 |
BadRabbit尝试暴破的SMB用户名和弱口令列表
账号 | 口令 |
Administrator Admin Guest User User1 user-1 Test root buh boss ftp rdp rdpuser rdpadmin manager support work other user operator backup asus ftpuser ftpadmin nas nasuser nasadmin superuser netguest alex |
Administrator administrator Guest guest User user Admin adminTest test root 123 1234 12345 123456 1234567 12345678 123456789 1234567890 Administrator123 administrator123 Guest123 guest123 User123 user123 Admin123 admin123Test123 test123 password 111111 55555 77777 777 qwe qwe123 qwe321 qwer qwert qwerty qwerty123 zxc zxc123 zxc321 zxcv uiop 123321 321 love secret sex god |