回归最本质的信息安全

Petya昨日重现:Bad Rabbit勒索病毒突袭东欧

2017年10月26日发布

43,817
0
0

导语:近日,360互联网安全中心检测到一款名为“Bad Rabbit”的新型敲诈者木马在东欧为主的各个国家和地区开始传播。

近日,360互联网安全中心检测到一款名为“Bad Rabbit”的新型敲诈者木马在东欧为主的各个国家和地区开始传播。

图片1.png

图1

该木马的主要来自于网页诱导——在网页上弹出一个提示框提示需要安装Flash控件:

图片2.png

图2

用户一旦上当,便会下载回来一个图标和文件名全面装成Flash的安装包,但该程序实际上却是一个敲诈者木马:

 

图片3.png

图3

木马执行后,会先释放infpub.dat文件,该文件是一个动态链接库程序。生成后会调用系统的rundll32调用该库的1号函数执行:

图片4.png

图4

Infpub.dat的核心功能依旧是传统敲诈者木马的文件加密功能,被加密的文件扩展名如下:

图片5.png

图5

整理后见下表:

58.png

加密手法并无太大新意,使用了常见的RSA2048算法,本文不再赘述:

图片6.png

图6

而除了传统的加密文件之外。该木马还会创建一个名为dispci.exe的程序:

图片7.png

图7

释放完dispci.exe后,会通过写入计划任务的方式定时重启机器以及在重启后让系统去执行该dispci.exe程序:

图片8.png

图8

图片9.png

图9

而这个dispci.exe在重启之后会创建一个名为cscc.dat的驱动程序并与之通信,驱动的功能则和之前曾大规模爆发的Petya相似——通过修改系统引导和MBR的方式劫持开机启动:

图片10.png

图10

图片11.png

图11

一旦驱动修修改系统引导和MBR,会再次重启系统。而这次系统重启后,被加密的就不仅仅是你的文件了:

图片12.png

图12

除此之外,该木马还有一个另类之处——该木马还具有局域网蠕虫攻击的功能。infpub.dat的代码中我们发现其会使用Mimikatz尝试获取局域网内其他机器的登录凭证:

图片13.png

图13

若无法获取到登录凭证,会再通过内置的字典尝试账户和密码的爆破:

用户名字典:

0.png

弱口令字典:

00.png

无论是Mimikatz还是弱口令字典,一旦木马成功获取到了局域网内其他机器的登录口令,便会通过获取到的登录口令登录对方机器,再将木马放置到对方机器上启动服务执行木马:

图片14.png

图14

图片15.png

图15

如果用该方法远程启动失败,木马还会再尝试wmi的远程命令以图让木马能够进一步在局域网中扩散:

图片16.png

图16

根据360互联网安全中心的统计,该木马主要在俄罗斯、乌克兰等东欧国家和地区流行。

图片17.png

图17

本文为 360安全卫士 授权嘶吼发布,如若转载,请注明原文地址: http://www.4hou.com/typ/8178.html

点赞 0
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

360安全卫士

360安全卫士

360安全卫士官方账号

发私信

发表评论