BadRabbit样本 技术分析与防护方案

网友投稿 759 2022-05-29

距离臭名卓著的“Petya”和“WannaCry”勒索软件大规模爆发还不到半年,又一个新的勒索软件于10月24日出现。这个命名为“坏兔子”(Bad Rabbit)的新型的勒索软件已经在欧洲多个国家进行传播,其中包括俄罗斯、乌克兰、保加利亚、土耳其和德国,并且已经扩散到美国。

目前“坏兔子”主要通过水坑站点传播,并没有利用之前的“永恒之蓝”的漏洞,因此,预计传播规模要小于之前的“Petya”与“WannaCry”。尽管如此,我们也要提醒客户,提高警惕。

事件背景

2017年10月24日,一个名为BadRabbit的勒索软件正在东欧和俄罗斯地区广泛传播,受害者就会被引诱安装一个伪装的flash_player安装程序,如果选择安装,则会被感染,加密文件,遭到勒索。

影响目标

BadRabbit勒索软件主要在在东欧和俄罗斯地区泛滥,同时也影响了保加利亚和土耳其。

攻击流程

传播与感染

样本投递

样本通过‘水坑攻击’的方式进行伪装投递。当正常网络用户访问被攻击者植入恶意代码的‘水坑网站’时,会被提示安装flashplayer插件,如果用户允许,则会从攻击者架设的恶意地址下载(h**p://1dnscontrol[.]com/flash_install[.]php)假冒伪装的flash_player安装文件,如果用户执行下载文件,则会被感染。

“水坑攻击”,黑客攻击方式之一,是在受害者必经之路设置了一个‘水坑’。最常见的做法是:黑客分析攻击目标的上网活动规律,寻找攻击目标经常访问的网站的弱点,先将此网站‘攻破’并植入攻击代码,即为‘挂马’。一旦攻击目标访问该网站就会被感染。

传播感染

样本使用暴力枚举 SMB 服务帐号和密码,同时利用 EternalRomance(MS17-010)漏洞进行传播。

机器分析(动态行为检测)

绿盟科技威胁分析系统TAC捕捉到这款恶意样本,安全风险为高危,沙箱也检测到释放样本、创建计划任务、扫描网络上的139和445端口,尝试感染。

文件操作

沙箱检测到样本运行后,在C盘下释放和创建多个恶意文件以及计划任务实现各个功能。

网络操作

沙箱检测到样本运行后,会扫描网络上的139和445端口,以便实现传播和感染。

BadRabbit样本 技术分析与防护方案

进程控制

沙箱检测到样本运行后,通过释放文件创建进程的方式来启动各个恶意的功能模块。

高阶分析

样本执行流程图如下:

处理建议

安全通告

为使公司全员了解此勒索软件危害且遵从指导,避免不规范的行为导致不必要的损失,建议在公司范围内发布安全通告,形式包括但不限于:

微信/短信/邮件通知;

办公环境人工通告;

通告内容可参考如下:

1、 禁止安装来源不明的软件;

2、 谨慎点击来自不明邮件中的文件和链接;

3、 开启系统UAC(用户账户控制),并关注UAC告警提示,及时阻断可疑进程的运行。

已经发现自己中病毒,文件被加密的电脑、服务器,请立即拔网线,禁止接入网络!

安全操作建议

1)注意不要随意下载和安装软件

2)开启系统UAC(用户账户控制),并关注UAC告警提示,及时阻断可疑进程的运行。

3)关闭主机WMI服务,关闭Windows主机135/139/445端口;

4)如无必要,关闭网络共享

5)对于个人终端设备,安装防病毒软件并升级规则至最新版

边缘数据中心管理 EDCM

版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。

上一篇:【云原生 | Docker篇】网络和存储原理【与云原生的故事】
下一篇:【软考】2021软件设计师复习开坑指南
相关文章