Bad Rabbit

1、原理說明

1、病毒概述

2017年10月24日晚，俄羅斯、烏克蘭等多個東歐國家遭Bad Rabbit勒索病毒的襲擊，政府、交通、新聞等200多家機構收到不同程度影響。該勒索病毒通過虛假Flash更新鏈接傳播，當用戶訪問被入侵控制的合法網站是，網頁跳轉到虛假的Flash更新網站，一旦用戶下載并安裝虛假的Flash更新包則導致系統被感染。

且被感染主機開始SMB掃描內網主機，通過硬編碼的用戶名和密碼對內網SMB服務器進行暴力破解。爆破成功后，利用永恒浪漫漏洞進行提權，再釋放infpub.dat文件到共享服務器上，再利用SCManager和rundll.exe執行惡意代碼進行加密。

此次攻擊中的受害者，被要求支持0.05比特幣（約280美元）贖金，一個小時后計時器倒計時結束，贖金價格會上升。

2、病毒分析

1、該勒索軟件通過注入網頁腳本使訪問者自動下載并運行惡意軟件，通過該腳本可以發現其POST地址為185.149.120.3(目前已經無法訪問)。

2、通過偽裝成知名軟件使用戶下載安裝最終達到傳播目的，其下載名為install_flash_player.exe。

3、當執行完加密操作后便彈窗提示用戶付費解密磁盤文件。

4、通過提供的安裝Key生成bitcoin地址，用戶付費后便得到一個解密密鑰。

5、該加密算法使用的是用于驅動加密的開源加密算法DiskCryptor，密鑰由CryptGenRandom生成，而后通過硬編碼的RSA 2048位公共密鑰保護，加密后文件擴展名均改為.encrypted。

6、該勒索軟件還在代碼中硬編碼了用戶名和密碼用于枚舉局域網的SMB共享，再通過永恒浪漫感染局域網更多主機。

3、網絡行為

支付地址:? http://caforssztxqzf2nm.onion

注入URL:? ?http://185.149.120.3/scholargoogle/

下載感染URL:? ?http://1dnscontrol.com/flash_install.php

被注入網站地址:

hxxp://argumentiru[.]com

hxxp://www.fontanka[.]ru

hxxp://grupovo[.]bg

hxxp://www.sinematurk[.]com

hxxp://www.aica.co[.]jp

hxxp://spbvoditel[.]ru

hxxp://argumenti[.]ru

hxxp://www.mediaport[.]ua

hxxp://blog.fontanka[.]ru

hxxp://an-crimea[.]ru

hxxp://www.t.ks[.]ua

hxxp://most-dnepr[.]info

hxxp://osvitaportal.com[.]ua

hxxp://www.otbrana[.]com

hxxp://calendar.fontanka[.]ru

hxxp://www.grupovo[.]bg

hxxp://www.pensionhotel[.]cz

hxxp://www.online812[.]ru

hxxp://www.imer[.]ro

hxxp://novayagazeta.spb[.]ru

hxxp://i24.com[.]ua

hxxp://bg.pensionhotel[.]com

hxxp://ankerch-crimea[.]ru

2、危害說明

1、感染主機文件被加密，需向攻擊者支持0.05比特幣贖金才可以解密；

2、感染范圍沒有WannaCry廣，因為采用水坑站點進行傳播，并未使用永恒之藍傳播；

3、中毒主機極可能伴隨著其它中毒癥狀，包括但不限于惡意軟件、廣告軟件等。

3、處置建議

1、病毒取證

（1）被加密的時間和文件后綴名是否為“.encrypted”，截圖取證。

（2）systeminfo命令檢查服務器之前是否打過MS17-010補丁，服務器中的補丁編號與官方編號進行對比（如win2008R2應該打的MS17-010補丁為 KB4012212、KB4012215），此場景下可以發現服務器已經打上相應的漏洞補丁，截圖取證。

（3）查看服務器是否開放135,139,445等高危端口，可以借助一些wannacry免疫工具（如深信服EDR工具等查殺的檢測工具）進行檢測（如果檢測出有問題，不要免疫），截圖取證。

（4）查看服務器是否開放3389遠程登錄，截圖取證。

（5）使用EDR、QQ管家等殺毒工具對服務器進行查殺，看是否能殺出病毒樣本（目前不少勒索病毒加密完會自行刪除本體，殺軟不一定能100%殺出病毒），上傳樣本到virustotal、微步在線等平臺進行確認，看是否報樣本為勒索病毒，同時記錄病毒的創建時間和修改時間，截圖取證。

（6）根據勒索病毒的后綴名，盡可能的找出最早被加密的那個文件，記錄文件的創建時間，修改時間（如下圖在某次勒索病毒事件處置中，我們發現文件最早被加密的時間是在2017年10月5日12:40），截圖取證。

（7）Win+R運行eventvwr，打開時事件查看器，打開安全日志（windows安全日志分析可參考附錄4.3）。

（8）根據管理員發現服務器被勒索的時間和文件被加密的時間（如在步驟6中的文件最早被加密的時間是在2017年10月5日12:40），排查文件被加密的時間前后的安全日志（2017年10月5日12:40前后），看是否有異常ip地址遠程登錄了服務器（如下圖可以發現在12:36分，172.168.1.101這個ip地址登錄了服務器，該ip為一個內網的IP地址，經與管理員溝通后得知，172.168.1.101為跳板機，用來登錄內網服務器，確認在10月5日客戶與開發商都未登錄過172.168.1.101這臺服務器，由此可以推測是黑客登錄了172.168.1.101跳板機，之后利用跳板機登錄了內網服務器，植入了勒索病毒），截圖取證。

根據文件被加密的時間，排查文件被加密的時間前后的安全日志，看是否有異常ip地址遠程登錄了服務器，如果發現公網ip登錄服務器（如下圖某次應急事件中我們發現195.22.127.114這個ip遠程登錄了服務器）對于公網ip，可以結合威脅情報去確認該ip是否為異常ip（通過微步在線查詢ip地址195.22.127.114，發現該ip地址來自波蘭,瓦爾米亞－馬祖里省,奧爾什丁，該地址被微步識別為僵尸網絡，很明顯這個地址不會是管理員用來登錄服務器的ip地址），截圖取證。

（9）告知管理員服務器3389登錄密碼被黑客獲取，黑客遠程登錄服務器，植入勒索病毒，導致被勒索，

2、病毒處置

（1）打補丁

請到微軟官網下載MS17-010補丁，并安裝；

下載地址：

MSRC - Microsoft Security Response Center

注意：該步驟必須要做，如果主機不打補丁，即使病毒通過殺軟清理之后，仍會被二次感染。

（2）隔離感染主機

已中毒計算機盡快隔離，關閉所有網絡連接，禁用網卡。

（3）切斷感染源

關閉文件共享：控制面板>啟動“Windows防火墻”>“高級選項”>“入站規則”>關閉SMB應用端口（135、137、139、445）。

（4）病毒查殺

推薦使用深信服EDR工具進行分析并查殺：http://edr.sangfor.com.cn/tool/SfabAntiBot.zip

3、日常預防建議

（1）SMB服務器盡量設置較為復雜的密碼，建議密碼設置為字符串+特殊字符+數字；

（2）不要隨意下載并安裝來源不明的軟件；

（3）經常及時為系統打補丁，防止被黑客漏洞利用；

（4）下載軟件后，先進行查殺，再打開；

（5）不隨意打開來歷不明的郵件和可疑網站；

總結

以上是生活随笔為你收集整理的Bad Rabbit的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。