当前位置:安全客 >> 内参详情

Petya昨日重现:Bad Rabbit勒索病毒突袭东欧

2017-10-25 20:51:19 阅读:9393次 作者:360安全卫士

http://p7.qhimg.com/t0118e700f16606a71f.jpg


简介


近日,360互联网安全中心检测到一款名为“Bad Rabbit”的新型敲诈者木马在东欧为主的各个国家和地区开始传播。

http://p2.qhimg.com/t01e0db8b7f7ab1c94c.jpg


木马感染过程


该木马的主要来自于网页诱导——在网页上弹出一个提示框提示需要安装Flash控件:

 http://p9.qhimg.com/t013a8c9fb7dd775ebe.png

用户一旦上当,便会下载回来一个图标和文件名全面装成Flash的安装包,但该程序实际上却是一个敲诈者木马:

 http://p0.qhimg.com/t014e87ed3d09aaade7.png

木马执行后,会先释放infpub.dat文件,该文件是一个动态链接库程序。生成后会调用系统的rundll32调用该库的1号函数执行:

 http://p3.qhimg.com/t014f77977bf538ad73.jpg

Infpub.dat的核心功能依旧是传统敲诈者木马的文件加密功能,被加密的文件扩展名如下: 

http://p7.qhimg.com/t01ff13d5436f112758.jpg

整理后见下表:

.3ds.cer.dwg.kdbx.ost.pst.tif.vsdx

.7z.cfg.eml.key.ova.pvi.tiff.vsv

.accdb.conf.fdb.mail.ovf.py.vb.work

.ai.cpp.gz.mdb.p12.pyc.vbox.xls

.asm.crt.h.msg.p7b.pyw.vbs.xlsx

.asp.cs.hdd.nrg.p7c.qcow.vcb.xml

.aspx.ctl.hpp.odc.pdf.qcow2.vdi.xvd

.avhd.cxx.hxx.odf.pem.rar.vfd.zip

.back.dbf.iso.odg.pfx.rb.vhd 

.bak.der.java.odi.php.rtf.vhdx 

.bmp.dib.jfif.odm.pmf.scm.vmc 

.brw.disk.jpe.odp.png.sln.vmdk 

.c.djvu.jpeg.ods.ppt.sql.vmsd 

.cab.doc.jpg.odt.pptx.tar.vmtm 

.cc.docx.js.ora.ps1.tib.vmx 

加密手法并无太大新意,使用了常见的RSA2048算法,本文不再赘述:

 http://p5.qhimg.com/t01c9debfb98671cb8b.jpg

而除了传统的加密文件之外。该木马还会创建一个名为dispci.exe的程序:

 http://p1.qhimg.com/t01c24b4db786552aee.jpg

释放完dispci.exe后,会通过写入计划任务的方式定时重启机器以及在重启后让系统去执行该dispci.exe程序:

http://p9.qhimg.com/t01196b12ea56201711.jpg

http://p8.qhimg.com/t01bd3a8639f2638877.jpg

而这个dispci.exe在重启之后会创建一个名为cscc.dat的驱动程序并与之通信,驱动的功能则和之前曾大规模爆发的Petya相似——通过修改系统引导和MBR的方式劫持开机启动:

 http://p3.qhimg.com/t0124b9615cde8f480a.jpg

http://p5.qhimg.com/t017ef79712235f404e.jpg

一旦驱动修修改系统引导和MBR,会再次重启系统。而这次系统重启后,被加密的就不仅仅是你的文件了:

http://p3.qhimg.com/t013dfa209cd9496db0.png 

除此之外,该木马还有一个另类之处——该木马还具有局域网蠕虫攻击的功能。infpub.dat的代码中我们发现其会使用Mimikatz尝试获取局域网内其他机器的登录凭证: 

http://p0.qhimg.com/t01a9f4dc16bc130017.jpg

若无法获取到登录凭证,会再通过内置的字典尝试账户和密码的爆破:

用户名字典:

http://p3.qhimg.com/t01f43549ee9aa644a0.png

弱口令字典:

http://p8.qhimg.com/t01a610124a5c151034.png

无论是Mimikatz还是弱口令字典,一旦木马成功获取到了局域网内其他机器的登录口令,便会通过获取到的登录口令登录对方机器,再将木马放置到对方机器上启动服务执行木马:

 http://p8.qhimg.com/t01fa2802bfdc6b79db.jpg

如果用该方法远程启动失败,木马还会再尝试wmi的远程命令以图让木马能够进一步在局域网中扩散:

 http://p8.qhimg.com/t01bea9aea95927e46c.jpg

根据360互联网安全中心的统计,该木马主要在俄罗斯、乌克兰等东欧国家和地区流行。

 http://p9.qhimg.com/t01ae35525abc9579b1.png

开启360防护即可有效防御该木马


360以第一时间取得样本,经测试360可以有效防御该木马。大家只要正常开启防护即可。

http://p1.qhimg.com/t01bff9c8762ed89b35.png


本文由 安全客 原创发布,如需转载请注明来源及本文地址。
本文地址:http://bobao.360.cn/news/detail/241.html

参与讨论,请先 | 注册 | 匿名评论
发布
用户评论
无任何评论