新闻快讯
< >

Petya昨日重现:BadRabbit勒索病毒突袭东欧

近日,360互联网安全中心检测到一款名为“Bad Rabbit”的新型敲诈者木马在东欧为主的各个国家和地区开始传播。

图片1.png

图1

该木马的主要来自于网页诱导——在网页上弹出一个提示框提示需要安装Flash控件:

图片2.png

图2

用户一旦上当,便会下载回来一个图标和文件名全面装成Flash的安装包,但该程序实际上却是一个敲诈者木马:

图片3.png

图3

    木马执行后,会先释放infpub.dat文件,该文件是一个动态链接库程序。生成后会调用系统的rundll32调用该库的1号函数执行:

图片4.png

图4

    Infpub.dat的核心功能依旧是传统敲诈者木马的文件加密功能,被加密的文件扩展名如下:

图片5.png

图5

整理后见下表:

.3ds

.cer

.dwg

.kdbx

.ost

.pst

.tif

.vsdx

.7z

.cfg

.eml

.key

.ova

.pvi

.tiff

.vsv

.accdb

.conf

.fdb

.mail

.ovf

.py

.vb

.work

.ai

.cpp

.gz

.mdb

.p12

.pyc

.vbox

.xls

.asm

.crt

.h

.msg

.p7b

.pyw

.vbs

.xlsx

.asp

.cs

.hdd

.nrg

.p7c

.qcow

.vcb

.xml

.aspx

.ctl

.hpp

.odc

.pdf

.qcow2

.vdi

.xvd

.avhd

.cxx

.hxx

.odf

.pem

.rar

.vfd

.zip

.back

.dbf

.iso

.odg

.pfx

.rb

.vhd


.bak

.der

.java

.odi

.php

.rtf

.vhdx


.bmp

.dib

.jfif

.odm

.pmf

.scm

.vmc


.brw

.disk

.jpe

.odp

.png

.sln

.vmdk


.c

.djvu

.jpeg

.ods

.ppt

.sql

.vmsd


.cab

.doc

.jpg

.odt

.pptx

.tar

.vmtm


.cc

.docx

.js

.ora

.ps1

.tib

.vmx


    加密手法并无太大新意,使用了常见的RSA2048算法,本文不再赘述:

图片6.png

图6

而除了传统的加密文件之外。该木马还会创建一个名为dispci.exe的程序:

图片7.png

图7

    释放完dispci.exe后,会通过写入计划任务的方式定时重启机器以及在重启后让系统去执行该dispci.exe程序:

图片8.png

图8

图片9.png

图9

    而这个dispci.exe在重启之后会创建一个名为cscc.dat的驱动程序并与之通信,驱动的功能则和之前曾大规模爆发的Petya相似——通过修改系统引导和MBR的方式劫持开机启动:

图片10.png

图10

图片11.png

图11

    一旦驱动修修改系统引导和MBR,会再次重启系统。而这次系统重启后,被加密的就不仅仅是你的文件了:

图片12.png

图12

除此之外,该木马还有一个另类之处——该木马还具有局域网蠕虫攻击的功能。infpub.dat的代码中我们发现其会使用Mimikatz尝试获取局域网内其他机的登录凭证:

图片13.png

图13

若无法获取到登录凭证,会再通过内置的字典尝试账户和密码的爆破:

用户名字典:

Administrator

Test

rdpuser

operator

nasuser

Admin

root

rdpadmin

backup

nasadmin

Guest

buh

manager

asus

superuser

User

boss

support

ftpuser

netguest

User1

ftp

work

ftpadmin

alex

user-1

rdp

other user

nas


弱口令字典:

Administrator

123

Guest123

77777

zxc123

administrator

1234

guest123

777

zxc321

Guest

12345

User123

qwe

zxcv

guest

123456

user123

qwe123

uiop

User

1234567

Admin123

qwe321

123321

user

12345678

admin123Test123

qwer

321

Admin

123456789

test123

qwert

love

adminTest

1234567890

password

qwerty

secret

test

Administrator123

111111

qwerty123

sex

root

administrator123

55555

zxc

god

无论是Mimikatz还是弱口令字典,一旦木马成功获取到了局域网内其他机器的登录口令,便会通过获取到的登录口令登录对方机器,再将木马放置到对方机器上启动服务执行木马:

图片14.png

图14

图片15.png

图15

    如果用该方法远程启动失败,木马还会再尝试wmi的远程命令以图让木马能够进一步在局域网中扩散:

图片16.png

图16

    根据360互联网安全中心的统计,该木马主要在俄罗斯、乌克兰等东欧国家和地区流行。

图片17.png

图17

360以第一时间取得样本,经测试360可以有效防御该木马。大家只要正常开启防护即可。

图片18.png

图18