Petya / Notpetya(又名Eternalpetya),6月份的头条新闻,由于它在乌克兰的巨大攻击。今天,我们注意到一个类似于寻常的恶意软件,称为Badrabbit,可能由同一个作者编写。就像以前的版本一样,Badrabbit有一个允许横向移动的Invector,使用SMB横向传播。与非特有人不同,它不使用ETERELBLUE,并更广泛传播。(受影响的国家包括乌克兰,俄罗斯,土耳其和保加利亚)。

更新:Talos研究人员发现Badrabbit使用其中一个泄露的NSA漏洞:Eternalromance(在Petya / Notpetya的之前攻击中也使用的两个漏洞之一)。

Petya / Notpetya和Badrabbit之间的另一个关键差异是初始向量是不同的(丢弃虚假更新的网站)。此外,一些组件已被替换。恶意软件包是复杂的,我们可能会致力于描述其所有功能的文章。但是让我们有一个初步的外观。

更新2.卡巴斯基实验室证明这次有一个有效的密码,磁盘可以解密- 与Petya / Notpetya相反,它不是一个破坏性的攻击

分析样品

行为分析

Dropper是一个可执行文件,假装是闪存更新。恶意软件必须使用管理权限运行,但没有部署UAC旁路技术 - 它纯粹依赖于社交工程,试图说服用户提升它。运行后,它会丢弃并部署C:\ Windows目录中的主模块。这次,它被命名为infpub.dat。(我们可以看到与之前的NotPetya爆发的类比,DLL名为Perfc.dat):

它由rundll32.exe运行,其中包含参数:

“C:\\ Windows \\ System32 \\ rundll32.exe C:\\ Windows \\ infpub.dat,#1 15”

请注意,恶意软件扫描LAN中的计算机:

我们的猜测是有关检测到的机器的信息用于横向运动。

恶意软件还会丢弃Windows目录中的其他元素:CSCC.DAT和DISPCI.EXE

删除的应用程序是在其中一个计划任务的帮助下运行:

恶意软件使用所选扩展程序加密文件。所有文件都以相同的密钥(相同的plaintext提供相同的密文)加密。

下面,我们展示了Badrabbit加密之前和之后的样本BMP文件的可视化:

加密版本中没有可见模式;它表明,已经使用了一些强大的算法,可能是CBC模式中的AES。

它不会更改文件扩展。指示文件已加密的标记在文件内容的末尾添加 - 它是Unicode文本:“加密”:

这是掉落的赎金笔记。如前所述,它是TXT格式,名为Readme.txt:

正如NotPetya以前所做的那样,Badrabbit为系统重新引导添加了一个计划任务:

攻击完成后,系统重新启动并弹出BootLocker屏幕:

我们可以清楚地看到Petya / Notpetya显示的屏幕的相似性:

但是,这次没有假chkdsk从每个Petya版本都知道

在赎金笔记之后,我们看到受害者必须能够恢复文件有两个加密密钥。第一个是bootlocker的关键。解锁第一阶段后,需要第二个密钥来解锁文件。

受害者的网站

上次,攻击的作者试图使用单个电子邮件帐户与受害者沟通。当然,这是不可靠的,因为他们很快就会失去对该帐户的访问。这次,就像大多数人一样勒索制造器作者,他们创建了一个基于Tor-基网页。作者在用户体验中投入了更多的努力,该网站包含视觉效果,包括赎金票据,慢慢地从丰富多彩的动画文本中出现:

从赎金票据粘贴到钥匙后,受害者获得了单独的比特币地址:

它们还提供了一个可用于报告问题的盒子。

里面

此恶意软件有多个元素。执行在PE文件中启动,负责丢弃和安装其他元素。

第一个组件 -infpub.dat.- 类似于类似的perfc.dat.从不受约束的攻击中知道。这次,DLL导出两个函数:

序数#1的功能首先由主滴管部署:

此DLL包含一个可执行传感器,将恶意软件传播到LAN中的其他机器中。在其他方法中,我们看到WMIC用于部署远程计算机上删除的模块。负责任的代码看起来类似于Petya / NotpetyA的类比元素:

此时,除了在基于Mimikatz的模块的帮助上转储的凭据之外,示例尝试执行字典攻击并“猜测”一些远程登录的密码。该列表包括常用的密码:

同样的DLL也是一个接一个地传染文件的负责。在Windows Crypto API的帮助下执行加密:

一些系统目录免于攻击:

\\ Windows \\程序文件\\ programdata \\ appdata

他们的攻击扩展名单看起来像Petya / Notpetya使用的列表的扩展版本:

3DS 7Z ACCDB AI ASM ASP ASPX AVHD BACK BMP BMP BRW C CAB CC CER CFG CONF COM CRT CS CTL CXX DBF DER DIB磁盘DJVU DOC DOCX DWG EML FDB GZ H HDD HPP HXX ISO Java JFIF JPE JPEG JPG JS KDBE JPEG JPG JS KDBE JPEG JPG JS KDBE JPEG JPG JS KDBE JPEG JPG JS KDBE JPEG JPG JS KDBE JPEG JPG JS KDBE JPEG JPG JS KDBE JPEG JPG JS KDBE JPEG JPG JS KDBX密钥邮件MDB MDB MDB MDBNRG ODC ODF ODG ODI ODM ODP ODS ODT ORA OVA OVA OVF P12 P7B P7C PDF PEM PEM PEM PFX PPP PPP PPT PPTX PS1 PPT PVI PYC PYW QCOW QCOW2 RAR RB RTF SCM SLN SQL TAR TIF TIF TIFF VB VBOX VBD vCB VDI VFD VHD VHDXVMC VMDK VMSD VMTM VMX VSDX VSV工作XLS XLSX X ML XVD ZIP

使用加密安全功能生成AES密钥cryptenrandom

然后它传递给加密例程,以及其他参数,例如硬编码公钥(稍后使用以保护随机键并以攻击者仅解密的形式保存它):

MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA5clDuVFr5sQxZ + feQlVvZcEK0k4uCSF5SkOkF9A3tR6O / xAt89 / PVhowvu2TfBTRsnBs83 hcFH8hjG2V5F5DxXFoSxpTqVsR4lOm5KB2S8ap4TinG / GN / SVNBFwllpR HV / vRWNmKgKIdROvkHxyALuJyUuCZlIoaJ5tB0YkATEHEyRsLcntZYsdw H1P + NmXiNg2MH5lZ9bEOk7YTMfwVKNqtHaX0LJOyAkx4NR0DPOFLDQONW 9OOhZSkRx3V7PC3Q29HHhyiKVCPJsOW1l1mNtwL7KX + 7kfNe0CefByEWf SBt1tbkvjdeP2xBnPjb3GE1GA / oGcGjrXc6wV8WKsfYQIDAQAB

此模块丢弃并安装用于执行攻击的其他阶段的其他模块。其中一个是合法的磁盘加密器(cscc.dat.)。它被删除并作为服务安装:

创建计划的任务,以便部署此模块-AxyCI.exe删除的另一个应用程序。该元素负责携带加密磁盘的操作。

该模块获取随机生成的-ID参数,用作受害者识别人:

dispci.exe.

此模块使用适当的丢弃驱动程序通信Ioctls.。丢弃的驱动程序是用于磁盘加密的合法模块 -dispci.exe.是为了采用驾驶员的特色以获得恶意目的。例子:

在其资源中,我们可以找到直接安装到磁盘的低级组件(类似于以前版本安装的Petya内核)。第一个资源是一个引导加载程序,另一个资源是恶意内核的类比变体:

低级组件:bootloader和内核

这次低杠杆部分看起来与不适的情况不同。Bootloader的片段:

事实证明,这次作者决定适应来自DiskCryptor的可启动组件而不是使用来自Petya的人。它还安装在磁盘的不同位置 - 最后而不是在开始时,因为Petya确实如此。安装在磁盘末尾的零件从第二阶段引导程序启动。代码的开头:

DiskCyptor组件中的等效代码:

https://github.com/smartinm/diskcryptor/blob/master/boot/vc2008_src/asm/stage1.asm#l25.

结论

该代码对Petya / Notpetya的代码具有许多重叠和模拟元素,这表明攻击背后的作者是一样的。再次,他们试图用被盗的元素撰写恶意捆绑,但是,被盗的petya内核已用一个具有合法驾驶员的更高级磁盘加密器代替。看起来作者试图改善以前的错误并完成未完成的业务。到目前为止,似乎在当前版本中,加密数据在购买密钥后可以恢复,这意味着Badrabbit攻击并不像前一个那样破坏性。但是,恶意软件是复杂的,详细分析需要更多时间。我们将通过最新的调查结果更新本文。

用户的必威平台APPWindows的Malwarebytes.必威平台APPMalwarebytes端点保护而且Malw必威平台APParebytes Endpoint Security受到BADRABBIT的保护。它被检测为ransom.badrabbit。

附录

https://www.welivesecurity.com/2017/10/24/bad-rabbit-not-petya-back//- ESET关于BADRABBIT的报告

关于之前的攻击,Petya / Notpetya的摘要:

无法显示此视频,因为您的功能饼干目前已禁用。

要启用它们,请访问我们的隐私政策并搜索cookie部分。选择“点击这里”打开隐私首选项中心并选择“功能饼干”在菜单中。您可以将标签切换回“积极的”或通过移动标签来禁用“不活跃。”点击“保存设置。”


这是由Hasherezade,独立的研究员和程序员撰写的客座帖子,具有强烈的Infosec。她喜欢详细说明恶意软件并与社区分享威胁信息。在Twitter上检查她hasherezade.和她的个人博客:https://hshrzd.wordpress.com.