新闻快讯
< >

警告:多国遭“坏兔子”(Bad Rabbit)勒索软件攻击【附攻击细节】

E安全10月26日讯 据报道,俄罗斯、乌克兰和其它多国的组织机构遭受新一轮网络攻击,这次的罪魁祸首是一款被称为“坏兔子”(Bad Rabbit)的加密勒索软件——Diskcoder.D, 这款软件目前已被广泛认定为Petya勒索软件的新变种。

俄罗斯多家企业陆续遭到黑客攻击

俄罗斯网络安全企业Group-IB公司发推文指出,目前俄罗斯国内至少已经有三家媒体机构遭到文件加密恶意软件攻击。

“坏兔子”勒索软件来袭:俄罗斯和乌克兰感染最为严重 -E安全

同一时间,俄罗斯国际文传电讯社(Interfax)亦表示,其系统受到一起“黑客攻击”的影响。

Interfax方面在一份声明中指出, Interfax服务器遭到黑客攻击,目前技术部门正在采取一切措施以恢复新闻服务。

“坏兔子”勒索软件来袭:俄罗斯和乌克兰感染最为严重 -E安全

“坏兔子”勒索信息

Interfax也在Facebook上表示遭到“病毒”攻击,且正在采取“技术措施”恢复系统。

除此之外,多家乌克兰组织机构亦发布了系统故障消息:基辅地铁支付系统似乎也不幸中招。敖德萨国际机场则在Facebook主页发表声明称,机场信息系统遭遇黑客攻击。

这条俄语更新指出,“我们特此发布通告,敖德萨国际机场的信息系统遭遇到黑客攻击。”

CERT-UA(乌克兰计算机应急响应小组)亦发文指出,随着“坏兔子”感染范围的持续扩大,“新一波针对乌克兰信息资源的网络攻击可能已经开始”。

ESET公司的网络安全研究人员亦监测到了这波攻击活动,并确定对部分计算机信息进行加密的勒索软件为Diskcoder.D—— Petya勒索软件的一个全新变种。这种文件加密型恶意软件自今年6月起已经开始影响到全球范围内的多家组织机构。

黑客到底用/没用“永恒之蓝”漏洞?

ESET公司研究人员Lukas Stefanko(卢卡斯·斯戴芬科)发布推文提到,此勒索软件变种利用“永恒之蓝”(从NSA流出,后来被WannaCry及Petya等勒索软件广泛利用)漏洞通过伪造Flash更新的方式传播。具体来讲,“永恒之蓝”利用某一Windows服务器消息块(简称SMB)网络协议版本经由网络实现横向传播但后来Stefanko再发推文证实称,“坏兔子”并未利用“永恒之蓝”。

“坏兔子”勒索软件来袭:俄罗斯和乌克兰感染最为严重 -E安全

“坏兔子”还采用了木马式Mimikatz工具,借以从受感染系统当中提取凭证信息。

ESET通过遥测发现数百个Diskcoder.D的踪迹。其中大部分受害者位于俄罗斯与乌克兰,不过类似的报告也出现在土耳其、保加利亚以及其它一些国家。

卡巴斯基实验室的研究人员们指出,此勒索软件背后使用的加密机制名为“坏兔子”; 受害者们会被引导至同一Tor页面,并被要求支付0.05比特币(折合286美元)的赎金以恢复自己的文件。该勒索信息页面还包含一套计时器,计时周期为41小时多一点,其中提示用户需要在此段时间之内支付赎金,否则勒索活动还将进一步加剧。

研究人员们同时强调称,“坏兔子”采用的攻击方法“类似于”今年6月的Petya攻击,不过目前还无法确定两起事故之间存在关联,“坏兔子”是否拥有广泛的传播能力尚需调查。

卡巴斯基实验室调查后表示,“这是一起针对企业网络的专项攻击活动,且采用的方法类似于ExPetr攻击。”他们同时补充称,攻击当中采取的分发方法为从受入侵网站处投放恶意软件。

在一篇推文当中,卡巴斯基实验室全球研究与分析主管指出,其中部分受入侵网站——包括乌克兰政府网站Bakhmut——自今年7月起即已遭突破。

黑客是《权力的游戏》的忠粉

截至目前,尚无法确定“坏兔子”攻击活动的幕后黑手。但无论其真实身份如何,几乎可以肯定其属于《权力的游戏》的粉丝:其代码当中包含有韦赛利昂、卓耿以及雷哥的参考资料,这三只龙正是源自《权力的游戏》电视剧及原著小说中的人气角色。

“坏兔子”攻击细节

“坏兔子”对知名网站发起路过式下载水坑钓鱼攻击。

路过式下载是“坏兔子”的传播途径之一。攻击者入侵知名网站,并在HTML或其中一个.js文件注入JavaScript。

“坏兔子”勒索软件来袭:俄罗斯和乌克兰感染最为严重 -E安全

下方为此类注入的一类做法:

“坏兔子”勒索软件来袭:俄罗斯和乌克兰感染最为严重 -E安全

脚本会将以下内容报告给185.149.120[.]3:

  • 浏览器 User-Agent;

  • Referrer;

  • 来自访问网站的Cookie;

  • 访问网站的域名。

服务器端的逻辑可确定访客是否感兴趣,之后将内容添加到页面。这种情况下,我们会看到以下弹出对话框,提示下载并更新仿冒的Flash Player。

“坏兔子”勒索软件来袭:俄罗斯和乌克兰感染最为严重 -E安全

用户点击“安装”按钮便会从1dnscontrol[.]com下载可执行文件---install_flash_player.exe。该可执行文件是Win32/Filecoder.D Dropper。最终结果是设备被锁,并显示如下勒索信息:

“坏兔子”勒索软件来袭:俄罗斯和乌克兰感染最为严重 -E安全

支付页面如下:

“坏兔子”勒索软件来袭:俄罗斯和乌克兰感染最为严重 -E安全

通过SMB传播

Win32/Diskcoder.D有能力通过SMB传播。但是,“坏兔子”并未像Win32/Diskcoder.C(NotPetya)一样利用“永恒之蓝”漏洞。“坏兔子”首先会扫描SMB协议的共享文件:

admin、atsvc、browser、eventlog、lsarpc、netlogon、ntsvcs、spoolss、samr、srvsvc、scerpc、svcctl、wkssvc、

“坏兔子”还会在被黑电脑上启用Mimikatz获取凭证。硬编用户和密码包括:

“坏兔子”勒索软件来袭:俄罗斯和乌克兰感染最为严重 -E安全

当发现有效的凭证时, infpub.dat文件会被丢进Windows目录、SCManager和rundll.exe。

加密

Win32/Diskcoder.D是修改版的Win32/Diskcoder.C,其文件加密中的漏洞已被修复。“坏兔子”使用合法开源软件DiskCryptor加密,并使用CryptGenRandom 生成密钥,随后通过硬编RSA 2048公共密钥保护密钥。

影响范围

ESET的遥测数据显示,乌克兰仅占12.2%,统计如下:

  • 俄罗斯: 65%

  • 乌克兰: 12.2%

  • 保加利亚: 10.2%

  • 土耳其: 6.4%

  • 日本: 3.8%

  • 其它: 2.4%

值得关注的是,所有受害公司均在同一时间遭受攻击。研究人员认为,黑客组织或已渗透进了这些公司的网络,同时发起水坑式攻击。ESET仍在继续调查,并表示会公布最新调查结果。

“坏兔子”勒索软件来袭:俄罗斯和乌克兰感染最为严重 -E安全

样本

C&C服务器:

支付网站: http://caforssztxqzf2nm[.]onion

注入URL: http://185.149.120[.]3/scholargoogle/

散布URL: hxxp://1dnscontrol[.]com/flash_install.php

被黑网站列表:

  1. hxxp://argumentiru[.]com

  2. hxxp://www.fontanka[.]ru

  3. hxxp://grupovo[.]bg

  4. hxxp://www.sinematurk[.]com

  5. hxxp://www.aica.co[.]jp

  6. hxxp://spbvoditel[.]ru

  7. hxxp://argumenti[.]ru

  8. hxxp://www.mediaport[.]ua

  9. hxxp://blog.fontanka[.]ru

  10. hxxp://an-crimea[.]ru

  11. hxxp://www.t.ks[.]ua

  12. hxxp://most-dnepr[.]info

  13. hxxp://osvitaportal.com[.]ua

  14. hxxp://www.otbrana[.]com

  15. hxxp://calendar.fontanka[.]ru

  16. hxxp://www.grupovo[.]bg

  17. hxxp://www.pensionhotel[.]cz

  18. hxxp://www.online812[.]ru

  19. hxxp://www.imer[.]ro

  20. hxxp://novayagazeta.spb[.]ru

  21. hxxp://i24.com[.]ua

  22. hxxp://bg.pensionhotel[.]com

  23. hxxp://ankerch-crimea[.]ru

避免遭到“兔子”骚扰,您可以:

卡巴斯基实验室表示用户可以屏蔽“c:\windows\infpub.dat, C:\Windows\cscc.dat”文件的执行,从而防止遭受感染。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。