<em id="rt9bf"></em>

    <cite id="rt9bf"><font id="rt9bf"></font></cite><strike id="rt9bf"></strike>
    <span id="rt9bf"><thead id="rt9bf"><meter id="rt9bf"></meter></thead></span>

    <pre id="rt9bf"><font id="rt9bf"><p id="rt9bf"></p></font></pre>
    <span id="rt9bf"></span>
    <video id="rt9bf"></video>

    網絡安全 頻道

    威脅聚焦:快速追蹤BadRabbit勒索軟件

        【IT168 技術】2017 年 10 月 24 日,思科 Talos 接到警報,網絡上出現了一種大規模的勒索軟件攻擊活動,影響到了東歐和俄羅斯的很多組織。與以前一樣,我們迅速行動起來,評估局勢并確保保護客戶不受此勒索軟件和其他新出現的威脅影響。

    威脅聚焦:追蹤BadRabbit勒索軟件

      最近幾個月來已經出現了好幾次大規模的勒索軟件攻擊活動。這次的勒索軟件與 Nyetya 存在一些相似之處,也是以 Petya 勒索軟件為基礎,但是對大部分代碼進行了改寫。這次傳播的病毒似乎沒有我們最近發現的供應鏈攻擊那么復雜。

      傳播

      Talos 進行了評估,確信攻擊者通過 “路過式下載” 方法傳播了一種虛假 Flash Player 更新,并通過此更新入侵系統。攻擊者將被入侵的網站重定向至 BadRabbit,受影響的網站很多,主要位于俄羅斯、保加利亞和土耳其。

      當用戶訪問被入侵的網站時,系統會重定向至 1dnscontrol[.]com 這一托管該惡意文件的網站。在下載實際的惡意文件之前,攻擊者會向靜態 IP 地址 (185.149.120[.]3) 發送一個 POST 請求。我們發現該請求發布到了 “/scholasgoogle” 靜態路徑,并向用戶提供代理、引用站點、Cookie 和域名。在發布 POST 請求之后,系統從 1dnscontrol[.]com 的兩個不同路徑 /index.php 和 /flash_install.php 下載了植入程序。盡管使用了兩個路徑,但卻只下載了一個文件。根據當前信息,在服務器 1dnscontrol[.]com 被入侵之前,該惡意軟件似乎已經活動了大約六小時。我們觀察到的首次下載時間大約在 UTC 時間 2017 年 10 月 24 日早上 8:22。

      植入程序 (630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da) 需要用戶協助實施感染,而未使用任何漏洞攻擊包來直接入侵系統。該植入程序包含 BadRabbit 勒索軟件。該植入程序安裝之后,它會使用一個 SMB 組件來進行內部擴散和進一步感染。其做法似乎是組合使用隨附的弱憑證列表和與 Nyetya 所用的類似的 mimikatz 版本。下面是我們觀察到的用戶名/密碼組合的列表。請注意,這與 1995 年臭名昭著的 “黑客” 存在重合。

    威脅聚焦:追蹤BadRabbit勒索軟件
    ▲我們觀察到的密碼列表

       盡管已經制作初步報告,但是我們目前沒有任何證據表明攻擊者利用了 EternalBlue 漏洞攻擊包來傳播感染。然而,我們的研究還在繼續,如果獲得更多信息,我們將及時公布。

      技術詳情

      該惡意軟件包含一個負責提取和執行蠕蟲負載的植入程序。這個負載包含以下存儲于資源中的附加二進制文件(使用 zlib 壓縮):

      ●若干與 DiskCryptor 關聯的合法二進制文件(2 個驅動程序 x86/x64 和 1 個客戶端);

      ●2 個類似于 mimikatz 的二進制文件 (x86/x64),與 Nyetya 中發現的樣本相似。這是一種常見的開源工具,用于通過幾種不同的方法從計算機內存中恢復用戶憑證。

      該植入程序向 C:\Windows\ 目錄植入若干文件。攻擊者利用 Nyetya 攻擊活動中相同的方法執行那些類似于 mimikatz 的二進制文件。負載和憑證竊取程序之間使用指定管道命令進行通信,下面是一個這種管道命令的示例:

      C:\WINDOWS\561D.tmp \\.\pipe\{C1F0BF2D-8C17-4550-AF5A-65A22C61739C}

      然后,該惡意軟件使用 RunDLL32.exe 執行惡意軟件并繼續進行惡意操作。隨后,該惡意軟件使用如下屏幕截圖所示的參數創建一個預定任務:

    威脅聚焦:追蹤BadRabbit勒索軟件

      除了上述預定任務,該惡意軟件還會再創建一個負責重啟系統的預定任務。這第二個任務不會立即執行,而是按照計劃稍后執行。

    威脅聚焦:追蹤BadRabbit勒索軟件

      如果感覺這些預定任務的名稱看起來很熟悉,那是因為它們引用了《權利的游戲》的內容,具體而言它們與里面那些龍的名字是一致的。該惡意軟件還在受感染用戶的桌面上創建了一個名為 DECRYPT 的文件。如果受害者執行此文件,系統會顯示一封如下所示的勒索信。

    威脅聚焦:追蹤BadRabbit勒索軟件

      為了揭示這類威脅在全球的傳播速度有多快,我們繪制了下圖,從中可以看出,在用于傳播那個在受害者系統上植入惡意軟件的虛假 Adobe Flash 更新的域中,其中一個域就存在非常活躍的 DNS 相關活動。

    威脅聚焦:追蹤BadRabbit勒索軟件

      該惡意軟件修改了被感染系統硬盤的主啟動記錄 (MBR),將啟動過程重定向到惡意軟件制作者代碼中,從而顯示勒索信。系統重啟之后顯示的勒索信如下,與今年其他重大攻擊中發現的其他勒索軟件變體(即 Petya)所顯示的勒索信非常相似。

    威脅聚焦:追蹤BadRabbit勒索軟件

      以下是 TOR 網站顯示的付款頁面:

    威脅聚焦:追蹤BadRabbit勒索軟件

      結論

      這次攻擊活動又一次證明了,勒索軟件可以如何高效地使用 SMB 等輔助傳播方法進行快速傳播。在此例中,初始攻擊媒介不是復雜的供應鏈攻擊,而是利用被入侵的網站實現的 “路過式下載” 基本攻擊。這正在迅速成為威脅形勢的新常態。威脅傳播速度越快,留給防御者的響應時間就越短,勢必造成巨大的危害。無論攻擊者是想謀取錢財,還是想蓄意破壞,勒索軟件都是首選威脅方式。只要還有牟利或造成破壞的可能,這類威脅就會繼續肆虐。

      這類威脅也擴大了需要處理的另一重要問題,那就是對用戶進行宣傳教育。在此次攻擊中,用戶需要協助攻擊者實現初步感染。如果用戶不安裝那個 Flash 更新,就不會幫助完成這個攻擊過程,該惡意軟件就會保持良性狀態,不會對該地區造成嚴重破壞。一旦用戶幫助完成了初步感染,該惡意軟件就可以利用現有的方法(例如 SMB)在整個網絡內傳播病毒,而無需用戶交互。

      防護

    威脅聚焦:追蹤BadRabbit勒索軟件

      ●高級惡意軟件防護(AMP )-- 解決方案可以有效防止執行威脅發起者使用的惡意軟件。

      ●CWS 和 WSA Web--掃描功能可以阻止訪問惡意網站,并檢測這些攻擊中所用的惡意軟件。

      ●網絡安全設備--(例如 NGFW、NGIPS 和 Meraki MX)可以檢測與此威脅相關的惡意活動。

      ●AMP ThreatGrid--可幫助識別惡意二進制文件,使所有思科安全產品都有內置保護措施。

      ●Umbrella--我們的安全互聯網網關 (SIG),可阻止用戶連接惡意域、IP 和 URL(無論用戶是否位于公司網絡上)。

      此次沒有發現攻擊者以郵件作為攻擊媒介。如果該惡意軟件在您網絡的這些系統之間傳輸,將會受到阻止。

      思科 Talos 簡介

      思科 Talos 團隊由業界領先的網絡安全專家組成,他們分析評估黑客活動,入侵企圖,惡意軟件以及漏洞的最新趨勢。包括 ClamAV 團隊和一些標準的安全工具書的作者中最知名的安全專家,都是思科 Talos 的成員。這個團隊同時得到了 Snort、ClamAV、Senderbase.org 和 Spamcop.net 社區的龐大資源支持,使得它成為網絡安全行業最大的安全研究團隊,也為思科的安全研究和安全產品服務提供了強大的后盾支持。  

    0
    相關文章
      影视站,婷婷亚洲,色谷,老司机电影院