新闻快讯
< >

坏兔子攻击:NSA网络武器“永恒浪漫”再被利用

E安全10月28日讯  “坏兔子”(Bad Rabbit)勒索病毒本周爆发以来,安全研究人员一直在深入挖掘这款恶意软件。最初安全专家认为,这款勒索软件利用依赖SMB协议的自定义扫描机制进行传播,此后陆续发现“坏兔子”勒索软件还使用修改过的NSA漏洞利用强化传播过程。

“坏兔子”勒索攻击:NSA黑客工具再被利用-E安全

今年三起大规模勒索攻击都利用NSA工具

“坏兔子”勒索软件攻击是今年第三起利用NSA网络武器(“影子经纪人”泄露)使勒索病毒席卷全球的勒索攻击。

WannaCry是第一波利用NSA网络武器的大规模勒索软件攻击:攻击者今年5月部署了“永恒之蓝”(ETERNALBLUE)MS17-010漏洞利用 在被感染的网络中横向活动。

一个月之后,NotPetya勒索病毒大范围爆发,攻击者在其中部署了“永恒之蓝”(ETERNALBLUE)和“永恒浪漫”(ETERNALROMANCE)。

“坏兔子”利用“永恒浪漫”

 “坏兔子”爆发之后,研究人员猜测攻击者可能利用了NSA工具,但出乎意料的是,初步分析并未发现NSA工具的踪影。

“坏兔子”勒索攻击:NSA黑客工具再被利用-E安全

首批报告指出,这款勒索软件使用Mimikatz工具获取被感染电脑内存的密码,并利用硬编码凭证访问同一网络的SMB共享文件。

思科Talos的研究人员深入挖掘“坏兔子”的代码后发现“永恒浪漫”相关证据。“永恒浪漫”也是通过SMB传播的一款漏洞利用。

 “永恒浪漫”为何开始未被发现?

初步分析并未发现“永恒浪漫”,其原因在于攻击者对代码做了修改。正是因为如此,大多数研究人员和自动扫描系统无从察觉。
思科Talos团队的研究人员发现的代码与公开可获取的“永恒浪漫”漏洞利用的Python实现非常类似,但“坏兔子”在实现上不同于NotPetya。

F-Secure也证实了思科的发现。此外,思科还提供了更多细节证明,“坏兔子”和NotPetya出自同一人之手。

思科Talos团队认为,“坏兔子”与NotPetya构建在相同的核心代码库上,“坏兔子”的构建工具链与NotPetya非常相似。其背后黑手被认为与NotPetya勒索软件存在联系的俄罗斯网络间谍组织“TeleBots”有关。

“TeleBots”组织自2007年即开始活动,且曾经使用Sandworm(沙虫)、BlackEnergy、Electrum、TEMP.Noble以及Quedagh等。

相关阅读:

NSA黑客工具信息被泄 网安江湖掀起一轮“淘金热”

“坏兔子”攻击很可能出自TeleBots组织之手!
警告:多国遭“坏兔子”(Bad Rabbit)勒索软件攻击【附攻击细节】

最详尽“永恒之蓝”勒索病毒防范视频教程
"永恒之蓝"勒索病毒凶猛 周一上班请用正确姿势打开电脑
紧急预警 | “永恒之蓝”勒索病毒爆发,安恒APT产品可检测

Wannacry主要针对Win7系统,恶意间谍软件“雅典娜”却威胁所有Windows版本

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。