網站內容來源http://server.it168.com/

威脅聚焦：快速追蹤BadRabbit勒索軟件

2017-10-25 23:54    原創 　作者: 思科　編輯:
0購買

　　　　【IT168 技術】2017 年 10 月 24 日，思科 Talos 接到警報，網絡上出現了一種大規模的勒索軟件攻擊活動，影響到了東歐和俄羅斯的很多組織。與以前一樣，我們迅速行動起來，評估局勢並確保保護客戶不受此勒索軟件和其他新出現的威脅影響。

　　最近幾個月來已經出現了好幾次大規模的勒索軟件攻擊活動。這次的勒索軟件與 Nyetya 存在一些相似之處，也是以 Petya 勒索軟件為基礎，但是對大部分代碼進行了改寫。這次傳播的病毒似乎沒有我們最近發現的供應鏈攻擊那麼複雜。

　　傳播

　　Talos 進行了評估，確信攻擊者通過 "路過式下載" 方法傳播了一種虛假 Flash Player 更新，並通過此更新入侵系統。攻擊者將被入侵的網站重定向至 BadRabbit，受影響的網站很多，主要位於俄羅斯、保加利亞和土耳其。

　　當用戶訪問被入侵的網站時，系統會重定向至 1dnscontrol[.]com 這一託管該惡意文件的網站。在下載實際的惡意文件之前，攻擊者會向靜態 IP 地址 (185.149.120[.]3) 發送一個 POST 請求。我們發現該請求發布到了 "/scholasgoogle" 靜態路徑，並向用戶提供代理、引用站點、Cookie 和域名。在發布 POST 請求之後，系統從 1dnscontrol[.]com 的兩個不同路徑 /index.php 和 /flash_install.php 下載了植入程序。儘管使用了兩個路徑，但卻只下載了一個文件。根據當前信息，在服務器 1dnscontrol[.]com 被入侵之前，該惡意軟件似乎已經活動了大約六小時。我們觀察到的首次下載時間大約在 UTC 時間 2017 年 10 月 24 日早上 8:22。

　　植入程序 (630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da) 需要用戶協助實施感染，而未使用任何漏洞攻擊包來直接入侵系統。該植入程序包含 BadRabbit 勒索軟件。該植入程序安裝之後，它會使用一個 SMB 組件來進行內部擴散和進一步感染。其做法似乎是組合使用隨附的弱憑證列表和與 Nyetya 所用的類似的 mimikatz 版本。下面是我們觀察到的用戶名/密碼組合的列表。請注意，這與 1995 年臭名昭着的 "黑客" 存在重合。

▲我們觀察到的密碼列表

　　　儘管已經製作初步報告，但是我們目前沒有任何證據表明攻擊者利用了 EternalBlue 漏洞攻擊包來傳播感染。然而，我們的研究還在繼續，如果獲得更多信息，我們將及時公布。

　　技術詳情

　　該惡意軟件包含一個負責提取和執行蠕蟲負載的植入程序。這個負載包含以下存儲於資源中的附加二進制文件(使用 zlib 壓縮)：

　　●若干與 DiskCryptor 關聯的合法二進制文件(2 個驅動程序 x86/x64 和 1 個客戶端);

　　●2 個類似於 mimikatz 的二進制文件 (x86/x64)，與 Nyetya 中發現的樣本相似。這是一種常見的開源工具，用於通過幾種不同的方法從計算機內存中恢復用戶憑證。

　　該植入程序向 C:\Windows\ 目錄植入若干文件。攻擊者利用 Nyetya 攻擊活動中相同的方法執行那些類似於 mimikatz 的二進制文件。負載和憑證竊取程序之間使用指定管道命令進行通信，下面是一個這種管道命令的示例：

　　C:\WINDOWS\561D.tmp \\.\pipe\{C1F0BF2D-8C17-4550-AF5A-65A22C61739C}

　　然後，該惡意軟件使用 RunDLL32.exe 執行惡意軟件並繼續進行惡意操作。隨後，該惡意軟件使用如下屏幕截圖所示的參數創建一個預定任務：

　　除了上述預定任務，該惡意軟件還會再創建一個負責重啟系統的預定任務。這第二個任務不會立即執行，而是按照計劃稍後執行。

　　如果感覺這些預定任務的名稱看起來很熟悉，那是因為它們引用了《權利的遊戲》的內容，具體而言它們與裏面那些龍的名字是一致的。該惡意軟件還在受感染用戶的桌面上創建了一個名為 DECRYPT 的文件。如果受害者執行此文件，系統會显示一封如下所示的勒索信。

　　為了揭示這類威脅在全球的傳播速度有多快，我們繪製了下圖，從中可以看出，在用於傳播那個在受害者系統上植入惡意軟件的虛假 Adobe Flash 更新的域中，其中一個域就存在非常活躍的 DNS 相關活動。

　　該惡意軟件修改了被感染系統硬盤的主啟動記錄 (MBR)，將啟動過程重定向到惡意軟件製作者代碼中，從而显示勒索信。系統重啟之後显示的勒索信如下，與今年其他重大攻擊中發現的其他勒索軟件變體(即 Petya)所显示的勒索信非常相似。

　　以下是 TOR 網站显示的付款頁面：

　　結論

　　這次攻擊活動又一次證明了，勒索軟件可以如何高效地使用 SMB 等輔助傳播方法進行快速傳播。在此例中，初始攻擊媒介不是複雜的供應鏈攻擊，而是利用被入侵的網站實現的 "路過式下載" 基本攻擊。這正在迅速成為威脅形勢的新常態。威脅傳播速度越快，留給防禦者的響應時間就越短，勢必造成巨大的危害。無論攻擊者是想謀取錢財，還是想蓄意破壞，勒索軟件都是首選威脅方式。只要還有牟利或造成破壞的可能，這類威脅就會繼續肆虐。

　　這類威脅也擴大了需要處理的另一重要問題，那就是對用戶進行宣傳教育。在此次攻擊中，用戶需要協助攻擊者實現初步感染。如果用戶不安裝那個 Flash 更新，就不會幫助完成這個攻擊過程，該惡意軟件就會保持良性狀態，不會對該地區造成嚴重破壞。一旦用戶幫助完成了初步感染，該惡意軟件就可以利用現有的方法(例如 SMB)在整個網絡內傳播病毒，而無需用戶交互。

　　防護

　　●高級惡意軟件防護(AMP )-- 解決方案可以有效防止執行威脅發起者使用的惡意軟件。

　　●CWS 和 WSA Web--掃描功能可以阻止訪問惡意網站，並檢測這些攻擊中所用的惡意軟件。

　　●網絡安全設備--(例如 NGFW、NGIPS 和 Meraki MX)可以檢測與此威脅相關的惡意活動。

　　●AMP ThreatGrid--可幫助識別惡意二進制文件，使所有思科安全產品都有內置保護措施。

　　●Umbrella--我們的安全互聯網網關 (SIG)，可阻止用戶連接惡意域、IP 和 URL(無論用戶是否位於公司網絡上)。

　　此次沒有發現攻擊者以郵件作為攻擊媒介。如果該惡意軟件在您網絡的這些系統之間傳輸，將會受到阻止。

　　思科 Talos 簡介

　　思科 Talos 團隊由業界領先的網絡安全專家組成，他們分析評估黑客活動，入侵企圖，惡意軟件以及漏洞的最新趨勢。包括 ClamAV 團隊和一些標準的安全工具書的作者中最知名的安全專家，都是思科 Talos 的成員。這個團隊同時得到了 Snort、ClamAV、Senderbase.org 和 Spamcop.net 社區的龐大資源支持，使得它成為網絡安全行業最大的安全研究團隊，也為思科的安全研究和安全產品服務提供了強大的後盾支持。　　

網站內容來源http://safe.it168.com/網站內容來源http://safe.it168.com/

【精選推薦文章】

自行創業 缺乏曝光? 下一步"網站設計"幫您第一時間規劃公司的門面形象

網頁設計一頭霧水??該從何著手呢? 找到專業技術的網頁設計公司，幫您輕鬆架站!

評比前十大台北網頁設計、台北網站設計公司知名案例作品心得分享

台北網頁設計公司這麼多，該如何挑選?? 網頁設計報價省錢懶人包"嚨底家"

https://www.3chy3.com/?p=2474

---

Orignal From: 威脅聚焦：快速追蹤BadRabbit勒索軟件