壞兔子來襲，安天智甲有效防護

1、概述

安天安全研究與應急處理中心（Antiy CERT）在北京時間2017年10月24日關注到「Bad Rabbit」（壞兔子）勒索軟體的活動情況，並給與了跟蹤分析。截止到2017年10月26日晚，包括德國、烏克蘭、土耳其在內的歐洲多國基礎設施遭受病毒攻擊，尚未發現國內大面積感染跡象。目前全球用戶影響弱於魔窟「WannaCry」、偽必加「notPetya」等此前的流行病毒，但依然值得高度關注和警惕。

該病毒具有通過預設密碼檔的IPC$弱口令進行內網傳播的能力。對內網用戶會帶來一定威脅。目前未在樣本中發現利用其他漏洞進行橫向移動傳播的行為。

病毒初始傳播投放+內網擴散傳播，已經成為當前網路黑產犯罪的一種重要組合，這使普通互聯網用戶、政企內網包括關鍵基礎設施，都面臨嚴峻的關聯風險。而此前偽必加「notPetya」事件更開啟了，偽裝成勒索軟體對關鍵基礎設施進行破壞的先河，目前尚不能對此事件是否是純粹的勒索攻擊還是以破壞作為目的進行更準確的判斷。

安天智甲終端防護系統能對該病毒進行有效防護。

2、樣本分析

2.1 樣本標籤

2.2 加密文件

Infpub.dat首先利用CryptGenRandom生成隨機的AES密鑰，然後通過該密鑰對磁碟文件進行遍歷加密。

然後創建線程，首先生成Readme提示信息。

遍歷系統文件，檢測文件擴展名是否與硬編碼中的相匹配，如果相同則加密，不同則跳過加密行為。

有四個系統目錄不會被加密，以防系統崩潰。

具體加密部分利用Windows Crypto API完成。

加密後在文件末尾添加文件標記「encrypted」。

2.3 修改MBR

Infpub.dat除了加密文件，還會加密磁碟MBR，該功能由infpub.dat所釋放的驅動cscc.dat與dispci.exe共同完成。下圖為磁碟加密部分代碼：

計算機重啟後顯示被修改的MBR：

2.4 添加任務計劃

樣本運行後添加兩個任務計劃drogon與rhaegal，drogon為帶參數啟動dispci.exe的命令，rhaegal為重啟計算機。

2.5 橫向滲透

該樣本有著利用IPC$通過內網進行橫向滲透的能力，如圖所示：

樣本使用內置的硬編碼的字典對區域網主機進行進行弱口令連接，並傳播樣本：

3、防護建議

（1）警惕第三方未知來源文件下載安裝，對安裝文件進行簽名檢測；

（2）排查內網弱口令的主機；

（3）在終端安裝可靠的主動防護產品。

附錄一：參考資料

[1] Bad Rabbit ransomware

https://securelist.com/bad-rabbit-ransomware/82851/

[2] Kiev metro hit with a new variant of the infamous Diskcoder ransomware

https://www.welivesecurity.com/2017/10/24/kiev-metro-hit-new-variant-infamous-diskcoder-ransomware/

[3] BadRabbit: a closer look at the new version of Petya/NotPetya

https://blog.malwarebytes.com/threat-analysis/2017/10/badrabbit-closer-look-new-version-petyanotpetya/

附錄二：IoC

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！

本站內容充實豐富，博大精深，小編精選每日熱門資訊，隨時更新，點擊「搶先收到最新資訊」瀏覽吧！

請您繼續閱讀更多來自 嘶吼RoarTalk 的精彩文章: