Petya昨日重現:Bad Rabbit勒索病毒突襲東歐
近日,360互聯網安全中心檢測到一款名為「Bad Rabbit」的新型敲詐者木馬在東歐為主的各個國家和地區開始傳播。
圖1
該木馬的主要來自於網頁誘導——在網頁上彈出一個提示框提示需要安裝Flash控制項:
圖2
用戶一旦上當,便會下載回來一個圖標和文件名全面裝成Flash的安裝包,但該程序實際上卻是一個敲詐者木馬:
圖3
木馬執行後,會先釋放infpub.dat文件,該文件是一個動態鏈接庫程序。生成後會調用系統的rundll32調用該庫的1號函數執行:
圖4
Infpub.dat的核心功能依舊是傳統敲詐者木馬的文件加密功能,被加密的文件擴展名如下:
圖5
整理後見下表:
加密手法並無太大新意,使用了常見的RSA2048演算法,本文不再贅述:
圖6
而除了傳統的加密文件之外。該木馬還會創建一個名為dispci.exe的程序:
圖7
釋放完dispci.exe後,會通過寫入計劃任務的方式定時重啟機器以及在重啟後讓系統去執行該dispci.exe程序:
圖8
圖9
而這個dispci.exe在重啟之後會創建一個名為cscc.dat的驅動程序並與之通信,驅動的功能則和之前曾大規模爆發的Petya相似——通過修改系統引導和MBR的方式劫持開機啟動:
圖10
圖11
一旦驅動修修改系統引導和MBR,會再次重啟系統。而這次系統重啟後,被加密的就不僅僅是你的文件了:
圖12
除此之外,該木馬還有一個另類之處——該木馬還具有區域網蠕蟲攻擊的功能。infpub.dat的代碼中我們發現其會使用Mimikatz嘗試獲取區域網內其他機器的登錄憑證:
圖13
若無法獲取到登錄憑證,會再通過內置的字典嘗試賬戶和密碼的爆破:
用戶名字典:
弱口令字典:
無論是Mimikatz還是弱口令字典,一旦木馬成功獲取到了區域網內其他機器的登錄口令,便會通過獲取到的登錄口令登錄對方機器,再將木馬放置到對方機器上啟動服務執行木馬:
圖14
圖15
如果用該方法遠程啟動失敗,木馬還會再嘗試wmi的遠程命令以圖讓木馬能夠進一步在區域網中擴散:
圖16
根據360互聯網安全中心的統計,該木馬主要在俄羅斯、烏克蘭等東歐國家和地區流行。
圖17
※LOKIBOT——首個「變形金剛」式的Android 惡意軟體
TAG:嘶吼RoarTalk |