1. <small id="rw2jk"></small>
      網絡安全 頻道

      威脅聚焦:快速追蹤BadRabbit勒索軟件

          【IT168 技術】2017 年 10 月 24 日,思科 Talos 接到警報,網絡上出現了一種大規模的勒索軟件攻擊活動,影響到了東歐和俄羅斯的很多組織。與以前一樣,我們迅速行動起來,評估局勢并確保保護客戶不受此勒索軟件和其他新出現的威脅影響。

      威脅聚焦:追蹤BadRabbit勒索軟件

        最近幾個月來已經出現了好幾次大規模的勒索軟件攻擊活動。這次的勒索軟件與 Nyetya 存在一些相似之處,也是以 Petya 勒索軟件為基礎,但是對大部分代碼進行了改寫。這次傳播的病毒似乎沒有我們最近發現的供應鏈攻擊那么復雜。

        傳播

        Talos 進行了評估,確信攻擊者通過 “路過式下載” 方法傳播了一種虛假 Flash Player 更新,并通過此更新入侵系統。攻擊者將被入侵的網站重定向至 BadRabbit,受影響的網站很多,主要位于俄羅斯、保加利亞和土耳其。

        當用戶訪問被入侵的網站時,系統會重定向至 1dnscontrol[.]com 這一托管該惡意文件的網站。在下載實際的惡意文件之前,攻擊者會向靜態 IP 地址 (185.149.120[.]3) 發送一個 POST 請求。我們發現該請求發布到了 “/scholasgoogle” 靜態路徑,并向用戶提供代理、引用站點、Cookie 和域名。在發布 POST 請求之后,系統從 1dnscontrol[.]com 的兩個不同路徑 /index.php 和 /flash_install.php 下載了植入程序。盡管使用了兩個路徑,但卻只下載了一個文件。根據當前信息,在服務器 1dnscontrol[.]com 被入侵之前,該惡意軟件似乎已經活動了大約六小時。我們觀察到的首次下載時間大約在 UTC 時間 2017 年 10 月 24 日早上 8:22。

        植入程序 (630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da) 需要用戶協助實施感染,而未使用任何漏洞攻擊包來直接入侵系統。該植入程序包含 BadRabbit 勒索軟件。該植入程序安裝之后,它會使用一個 SMB 組件來進行內部擴散和進一步感染。其做法似乎是組合使用隨附的弱憑證列表和與 Nyetya 所用的類似的 mimikatz 版本。下面是我們觀察到的用戶名/密碼組合的列表。請注意,這與 1995 年臭名昭著的 “黑客” 存在重合。

      威脅聚焦:追蹤BadRabbit勒索軟件
      ▲我們觀察到的密碼列表

         盡管已經制作初步報告,但是我們目前沒有任何證據表明攻擊者利用了 EternalBlue 漏洞攻擊包來傳播感染。然而,我們的研究還在繼續,如果獲得更多信息,我們將及時公布。

        技術詳情

        該惡意軟件包含一個負責提取和執行蠕蟲負載的植入程序。這個負載包含以下存儲于資源中的附加二進制文件(使用 zlib 壓縮):

        ●若干與 DiskCryptor 關聯的合法二進制文件(2 個驅動程序 x86/x64 和 1 個客戶端);

        ●2 個類似于 mimikatz 的二進制文件 (x86/x64),與 Nyetya 中發現的樣本相似。這是一種常見的開源工具,用于通過幾種不同的方法從計算機內存中恢復用戶憑證。

        該植入程序向 C:\Windows\ 目錄植入若干文件。攻擊者利用 Nyetya 攻擊活動中相同的方法執行那些類似于 mimikatz 的二進制文件。負載和憑證竊取程序之間使用指定管道命令進行通信,下面是一個這種管道命令的示例:

        C:\WINDOWS\561D.tmp \\.\pipe\{C1F0BF2D-8C17-4550-AF5A-65A22C61739C}

        然后,該惡意軟件使用 RunDLL32.exe 執行惡意軟件并繼續進行惡意操作。隨后,該惡意軟件使用如下屏幕截圖所示的參數創建一個預定任務:

      威脅聚焦:追蹤BadRabbit勒索軟件

        除了上述預定任務,該惡意軟件還會再創建一個負責重啟系統的預定任務。這第二個任務不會立即執行,而是按照計劃稍后執行。

      威脅聚焦:追蹤BadRabbit勒索軟件

        如果感覺這些預定任務的名稱看起來很熟悉,那是因為它們引用了《權利的游戲》的內容,具體而言它們與里面那些龍的名字是一致的。該惡意軟件還在受感染用戶的桌面上創建了一個名為 DECRYPT 的文件。如果受害者執行此文件,系統會顯示一封如下所示的勒索信。

      威脅聚焦:追蹤BadRabbit勒索軟件

        為了揭示這類威脅在全球的傳播速度有多快,我們繪制了下圖,從中可以看出,在用于傳播那個在受害者系統上植入惡意軟件的虛假 Adobe Flash 更新的域中,其中一個域就存在非常活躍的 DNS 相關活動。

      威脅聚焦:追蹤BadRabbit勒索軟件

        該惡意軟件修改了被感染系統硬盤的主啟動記錄 (MBR),將啟動過程重定向到惡意軟件制作者代碼中,從而顯示勒索信。系統重啟之后顯示的勒索信如下,與今年其他重大攻擊中發現的其他勒索軟件變體(即 Petya)所顯示的勒索信非常相似。

      威脅聚焦:追蹤BadRabbit勒索軟件

        以下是 TOR 網站顯示的付款頁面:

      威脅聚焦:追蹤BadRabbit勒索軟件

        結論

        這次攻擊活動又一次證明了,勒索軟件可以如何高效地使用 SMB 等輔助傳播方法進行快速傳播。在此例中,初始攻擊媒介不是復雜的供應鏈攻擊,而是利用被入侵的網站實現的 “路過式下載” 基本攻擊。這正在迅速成為威脅形勢的新常態。威脅傳播速度越快,留給防御者的響應時間就越短,勢必造成巨大的危害。無論攻擊者是想謀取錢財,還是想蓄意破壞,勒索軟件都是首選威脅方式。只要還有牟利或造成破壞的可能,這類威脅就會繼續肆虐。

        這類威脅也擴大了需要處理的另一重要問題,那就是對用戶進行宣傳教育。在此次攻擊中,用戶需要協助攻擊者實現初步感染。如果用戶不安裝那個 Flash 更新,就不會幫助完成這個攻擊過程,該惡意軟件就會保持良性狀態,不會對該地區造成嚴重破壞。一旦用戶幫助完成了初步感染,該惡意軟件就可以利用現有的方法(例如 SMB)在整個網絡內傳播病毒,而無需用戶交互。

        防護

      威脅聚焦:追蹤BadRabbit勒索軟件

        ●高級惡意軟件防護(AMP )-- 解決方案可以有效防止執行威脅發起者使用的惡意軟件。

        ●CWS 和 WSA Web--掃描功能可以阻止訪問惡意網站,并檢測這些攻擊中所用的惡意軟件。

        ●網絡安全設備--(例如 NGFW、NGIPS 和 Meraki MX)可以檢測與此威脅相關的惡意活動。

        ●AMP ThreatGrid--可幫助識別惡意二進制文件,使所有思科安全產品都有內置保護措施。

        ●Umbrella--我們的安全互聯網網關 (SIG),可阻止用戶連接惡意域、IP 和 URL(無論用戶是否位于公司網絡上)。

        此次沒有發現攻擊者以郵件作為攻擊媒介。如果該惡意軟件在您網絡的這些系統之間傳輸,將會受到阻止。

        思科 Talos 簡介

        思科 Talos 團隊由業界領先的網絡安全專家組成,他們分析評估黑客活動,入侵企圖,惡意軟件以及漏洞的最新趨勢。包括 ClamAV 團隊和一些標準的安全工具書的作者中最知名的安全專家,都是思科 Talos 的成員。這個團隊同時得到了 Snort、ClamAV、Senderbase.org 和 Spamcop.net 社區的龐大資源支持,使得它成為網絡安全行業最大的安全研究團隊,也為思科的安全研究和安全產品服務提供了強大的后盾支持。  

      0
      相關文章
        影视站