10月24日，歐洲遭遇新一輪勒索病毒攻擊，俄羅斯、烏克蘭、土耳其、德國(guó)等國(guó)均受到影響，目前已經(jīng)開始向美國(guó)擴(kuò)散。該勒索病毒被命名為“Bad Rabbit”（中文譯名：壞兔子），亞信安全將其檢測(cè)為Ransom_BADRABBIT.SM和Ransom_BADRABBIT.SMA。

該勒索軟件將受害電腦的文件加密，讓電腦無法使用，從而要求支付贖金。“壞兔子”勒索軟件要求支付0.05比特幣（合275美元）。經(jīng)過研究人員深入分析，雖然 “壞兔子” 擁有部分與Petya勒索病毒相同的代碼，但是最新的這波攻擊不大可能造成Petya那種程度的全球性破壞。由于“壞兔子” 勒索病毒通過共享和弱密碼在內(nèi)網(wǎng)擴(kuò)散，因此對(duì)企業(yè)危害較大。

亞信安全技術(shù)詳解：“壞兔子”勒索病毒攻擊

“壞兔子”勒索病毒通過水坑攻擊傳播，攻擊者先在特定網(wǎng)站上注入包含URL的腳本文件，誘騙用戶下載虛假的Flash安裝程序“install_flash_player.exe”。嵌入的URL最終解析為：hxxp://1dnscontrol.com/flash_install，目前為止該鏈接已經(jīng)不可訪問。

【注入腳本代碼】

一旦虛假的安裝包被點(diǎn)擊，其會(huì)生成加密文件infpub.dat和解密文件dispci.exe。“壞兔子”通過三步驟來完成其勒索流程，其對(duì)應(yīng)的三個(gè)文件名均來源于美劇《權(quán)利的游戲》。

?rhaegal.job --- 負(fù)責(zé)執(zhí)行解密文件。

?drogon.job --- 負(fù)責(zé)關(guān)閉受害者電腦。然后勒索軟件加密系統(tǒng)中的文件，顯示如下勒索信息。

【勒索信息】

?viserion_23.job --- 負(fù)責(zé)重啟受害者電腦，重啟后屏幕被鎖定，顯示如下信息：

【重啟后屏幕顯示的信息】

“壞兔子”可以在內(nèi)網(wǎng)中擴(kuò)散傳播，其使用Windows ManagementInstrumentation（WMI）和服務(wù)控制遠(yuǎn)程協(xié)議，在網(wǎng)絡(luò)中生成并執(zhí)行自身拷貝文件。在使用服務(wù)控制遠(yuǎn)程協(xié)議時(shí)，“Bad Rabbit”采用字典攻擊方法獲取登陸憑證。

經(jīng)過深入分析，我們還發(fā)現(xiàn)“壞兔子”使用開源工具M(jìn)imikatz獲取憑證，其也會(huì)使用合法磁盤加密工具DiskCryptor加密受害者系統(tǒng)。

亞信安全教你如何防御

1、暫時(shí)關(guān)閉內(nèi)網(wǎng)中打開共享的機(jī)器；

2、關(guān)閉WMI服務(wù)；

3、更換復(fù)雜密碼；

4、亞信安全最新病毒碼版13.740.60已經(jīng)包含此病毒檢測(cè)（掃描引擎版本9.850及以上），該版本病毒碼已經(jīng)發(fā)布，請(qǐng)用戶及時(shí)升級(jí)病毒碼版本；

5、亞信安全客戶開啟OfficeScan 11的行為監(jiān)控功能（AEGIS），可有效阻攔勒索病毒對(duì)用戶文件的加密；

6、亞信安全DDAN沙盒產(chǎn)品已經(jīng)包含此病毒的檢測(cè)，檢測(cè)名：VAN_FILE_INFECTOR.UMXX。

早期的分析說明，該病毒利用了與Petya勒索病毒相似的組件進(jìn)行傳播，由于黑客在Petya勒索病毒及其變種中，使用了與WannaCry相同的攻擊方式，都是利用MS17-010（”永恒之藍(lán)”）漏洞傳播；有些更是通過帶有DOC文檔的垃圾郵件附件進(jìn)行傳播，通過Office CVE-2017-0199漏洞來觸發(fā)攻擊。因此，亞信安全建議用戶采取如下防護(hù)措施：

?及時(shí)更新系統(tǒng)補(bǔ)丁程序，或者部署虛擬補(bǔ)丁；

?啟用防火墻以及入侵檢測(cè)和預(yù)防系統(tǒng)；

?主動(dòng)監(jiān)控和驗(yàn)證進(jìn)出網(wǎng)絡(luò)的流量；

?主動(dòng)預(yù)防勒索軟件可能的入侵途徑，如郵件，網(wǎng)站；

?使用數(shù)據(jù)分類和網(wǎng)絡(luò)分段來減少數(shù)據(jù)暴露和損壞；

?禁用SMB端口；

?打全補(bǔ)丁程序，特別是ms17-010補(bǔ)丁程序。

針對(duì)Petya勒索病毒解決方案

亞信安全病毒碼版本（13.500.60），云病毒碼版本（13.500.71）已經(jīng)包含此病毒檢測(cè)，2017年6月28日已經(jīng)發(fā)布，請(qǐng)用戶及時(shí)升級(jí)病毒碼版本。

針對(duì)”永恒之藍(lán)”漏洞解決方案

亞信安全DeepSecurity和TDA 已經(jīng)于5月2號(hào)發(fā)布規(guī)則能夠抵御該勒索病毒在內(nèi)網(wǎng)的傳播：

?TDA：2383:cve-2017-0144-RemoteCode Executeion-SMB(Request)

?Deep Security：1008306- Microsoft Windows SMB Remote Code Execution Vulnerability (MS17-010)

?亞信安全DeepEdge在4月26日已發(fā)布了針對(duì)微軟遠(yuǎn)程代碼執(zhí)行漏洞 CVE-2017-0144的4條IPS規(guī)則

（規(guī)則名稱：微軟MS17 010 SMB遠(yuǎn)程代碼執(zhí)行1-4，規(guī)則號(hào):1133635,1133636,1133637,1133638）

針對(duì)Office CVE-2017-0199漏洞解決方案

亞信安全DeepSecurity 和TDA 已經(jīng)于4月13日發(fā)布規(guī)則，攔截該漏洞：

?1008285- Microsoft Word Remote Code Execution Vulnerability (CVE-2017-0199)

?1008295 - RestrictMicrosoft Word RTF File With Embedded OLE2link Objec

?1008297- IdentifiedSuspicious RTF File With Obfuscated Powershell Execution (CVE-2017-0199)

?TDA Rule 18 : DNS response of a queried malwareCommand and Control domain

亞信安全WRS已經(jīng)可以攔截上述惡意文檔相關(guān)C&C服務(wù)器及惡意鏈接。

原文發(fā)布時(shí)間為： 2017年10月26日

本文來自云棲社區(qū)合作伙伴至頂網(wǎng)，了解相關(guān)信息可以關(guān)注至頂網(wǎng)。

總結(jié)

以上是生活随笔為你收集整理的亚信安全火力全开猎捕“坏兔子”，全歼详解的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。