新勒索病毒 Bad Rabbit (壞兔子) ,透過偽冒的 Flash更新進行散播

一波進行中的勒索病毒攻擊正在東歐國家發生,疑是 Petya 勒索病毒的變種被稱為Bad Rabbit 壞兔子 (趨勢科技將其偵測為RANSOM_BADRABBIT.A)。趨勢科技具備 XGen 技術的產品在不更新病毒碼的情況下已可主動偵測並攔阻這支勒索病毒(TROJ.Win32.TRX.XXPE002FF019)。在今年六月Petya 勒索病毒重擊歐洲國家後的數月,BadRabbi t這次的攻擊事件顯得特別地引人矚目。

初步報導主要損害發生在烏克蘭和俄羅斯的運輸系統和媒體。烏克蘭的 CERT組織(CERT-UA)也發出一份公告來警告可能的進一步勒索病毒攻擊。

透過偽冒的 Flash更新來進行傳播;採用了合法的加密工具-DiskCryptor-來加密受害者的系統

從初期的幾份報告看來,BadRabbit勒索病毒會透過偽冒的Flash更新來進行傳播,再結合 Mimikatz工具提取憑證(過去攻擊中也曾使用)。此外,這次攻擊顯然也使用了常見的硬編碼憑證列表,例如Admin, Guest, User, Root等。另外也有證據顯示,BadRabbit 勒索病毒採用了合法的加密工具-DiskCryptor-來加密受害者的系統。

 

PC-cillin 2018雲端版 防範勒索 保護個資 ✓手機✓電腦✓平板,跨平台防護3到位

 

初步分析

Figure 1: Bad Rabbit Infection Chain

圖1:Bad Rabbit感染鍊

 

趨勢科技的初步分析顯示Bad Rabbit通過假Flash安裝程式“install_flash_player.exe”的水坑攻擊進行散播。被駭網站被注入了一個腳本,包含一個解析為hxxp://1dnscontrol[.]com/flash_install的網址,該連結在本文發表時已經無法連上。我們也在丹麥、愛爾蘭、土耳其和俄羅斯觀察到一些受駭網站會散播假Flash安裝程式。

 Figure 2: Code showing the injected script

圖2:顯示注入腳本的程式碼

 

一旦假安裝程式被執行,它會用rundll32.exe程序來植入加密程式infpub.dat,還有解密程式dispci.exe。Bad Rabbit惡意行為的一部分是會使用三個引用“權力遊戲”的檔案,首先是rhaegal.job,負責執行解密程式,以及第二個排程檔案drogon.job,用來關閉受害者的電腦。然後勒索病毒會繼續加密系統內的檔案並顯示贖金通知。

 Figure 3: Bad Rabbit ransom note showing the installation key

圖3:Bad Rabbit勒贖通知顯示安裝金鑰

 

第三個檔案viserion_23.job用來第二次重新啟動目標系統,接著會鎖住螢幕並顯示以下通知:

 Figure 4: Bad Rabbit ransom note displayed after system reboot

圖ˋ4:系統重新啟動後顯示Bad Rabbit勒贖通知

 

根據趨勢科技的初步分析,Bad Rabbit會透過網路來將自己複製到其他電腦來進行擴散,它會使用原本的檔案名稱並利用Windows Management Instrumentation(WMI)和服務控制管理遠端協定來加以執行。當使用服務控制管理遠端協定時,它會利用字典攻擊取得憑證。

據報Bad Rabbit使用了開放原始碼的工具Mimikatz來取得憑證。我們還發現它使用DiskCryptor來加密目標系統的證據,這是一套合法的磁碟加密工具。

如何降低感染風險?

趨勢科技建議用戶可實施以下做法以降低受感染的風險:

  • 更新/修補作業系統漏洞,或是考慮使用virtual patching虛擬補丁方案。
  • 啟動防火牆/IDS/IPS等安全防護措施。
  • 主動監控與驗證環境中進出網路的流量、來源與目的。
  • 針對可能病毒攻擊的管道建立安全防護機制,例如電子郵件掃描、網頁瀏覽過濾與掃描等。
  • 部署Apllication Control應用程式管控機制,以防止可疑的程式被執行,從而阻止惡意程式對系統進行不當的篡改。
  • 採用資料分類管理與網段分割架構,降低受駭後資料損害的風險。
  • 透過GPO或按照微軟提供的說明停用SMB v1。
  • 確認所有可能受影響的系統皆已套用最新的修補程式。(或透過虛擬補丁解決方案來進行)。特別是關於 MS17-010 與近來所發布的各項安全性弱點。

 

透過趨勢科技產品進行防護

趨勢科技建議在端點電腦、郵件閘道、伺服器、HTTP閘道等處採用多層次安全防護,以確保所有可能被攻擊的電腦都能獲得適當的防護,進而抵擋類似的攻擊 :

  • 趨勢科技預測性機器學習 (內建於如OfficeScan XG等) 可攔截此勒索病毒並將之偵測為TROJ.Win32.TRX.XXPE002FF019.
  • 趨勢科技網頁信譽評等服務(WRS) 已將攻擊行為中所使用的Flash Installer URL歸類於惡意連結。
  • 趨勢科技Deep Discovery Analyzer (DDAN) 目前可攔截此攻擊手法並將之偵測為 VAN_FILE_INFECTOR.UMXX.
  • Smart Scan Agent與OPR病毒碼: 趨勢科技目前已針對此病毒及其變種進行病毒碼的製作
    • Smart Scan Pattern – 自17594.019.00 及 17594.020.00之後的版本偵測為 Ransom_BADRABBIT.A
    • Smart Scan Agent Pattern與OPR (conventional) –13.739.00與之後的版本,將該病毒偵測為Ransom_BADRABBIT.SMA, 與 Ransom_BADRABBIT.A

 

請注意,以上病毒碼是防範此次攻擊時的最低建議,但是,由於病毒隨時可能出現新形的變種,用戶必須隨時保持病毒碼的更新並確定掃描引擎為9.8x以上的版本。

下列MD5雜湊值目前趨勢科技最新病毒碼已可進行偵測 :

37945c44a897aa42a66adcab68f560e0
347ac3b6b791054de3e5720a7144a977
b14d8faf7f0cbcfad051cefe5f39645f
b14d8faf7f0cbcfad051cefe5f39645f

 

趨勢科技解決方案

趨勢科技XGen安全防護結合了跨世代的威脅防禦技術來對抗資料中心雲端環境網路端點所會面對到的所有威脅。它具備高保真機器學習技術來保護閘道端點資料和應用程式,並且能夠保護實體、虛擬和雲端的工作機。通過網頁/網址過濾、行為分析和客製化沙盒等功能,XGen能夠防禦今日設計來繞過傳統安全措施的威脅,針對已知、未知或未公開漏洞的攻擊、竊取或加密個人身份資料等。智慧化、最佳化且隨時在線,XGen可以提供趨勢科技各種安全解決方案套件(Hybrid Cloud Security,User Protection和Network Defense)最佳的防護技術。

想了解更多關於趨勢科技解決方案的相關資訊請參考此文

 

以下SHA256雜湊值被偵測為RANSOM_BADRABBIT.A

  • 630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da
  • 8ebc97e05c8e1073bda2efb6f4d00ad7e789260afa2c276f0c72740b838a0a93

 

其他跟勒索病毒相關的雜湊值:

install_flash_player.exe

  • 630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da

infpub.dat

  • 579fd8a0385482fb4c789561a30b09f25671e86422f40ef5cca2036b28f99648
  • 141d45d650580ed4b0d0fc4b8fd5448da67b30afbe07781da02c39d345a8f4a0

dispci.exe

  • 8ebc97e05c8e1073bda2efb6f4d00ad7e789260afa2c276f0c72740b838a0a93

 

@原文出處:Bad Rabbit Ransomware Spreads via Network, Hits Ukraine and Russia

 

 

其他參考:

第三方訊息

 

PC-cillin 2018雲端版 防範勒索 保護個資 ✓手機✓電腦✓平板,跨平台防護3到位

PC-cillin 2018 智能防毒超進化

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

 

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。