正在阅读:技术解析:火力全开猎捕“坏兔子” 全歼详解技术解析:火力全开猎捕“坏兔子” 全歼详解

2017-10-26 12:37 出处:其他 作者:佚名 责任编辑:sunziyi

  【PConline 资讯】10月24日,欧洲遭遇新一轮勒索病毒攻击,俄罗斯、乌克兰、土耳其、德国等国均受到影响,目前已经开始向美国扩散。该勒索病毒被命名为“Bad Rabbit”(中文译名:坏兔子),亚信安全将其检测为Ransom_BADRABBIT.SM和Ransom_BADRABBIT.SMA。

  该勒索软件将受害电脑的文件加密,让电脑无法使用,从而要求支付赎金。“坏兔子”勒索软件要求支付0.05比特币(合275美元)。经过研究人员深入分析,虽然 “坏兔子” 拥有部分与Petya勒索病毒相同的代码,但是最新的这波攻击不大可能造成Petya那种程度的全球性破坏。由于“坏兔子” 勒索病毒通过共享和弱密码在内网扩散,因此对企业危害较大。

亚信安全技术详解:“坏兔子”勒索病毒攻击

  “坏兔子”勒索病毒通过水坑攻击传播,攻击者先在特定网站上注入包含URL的脚本文件,诱骗用户下载虚假的Flash安装程序“install_flash_player.exe”。嵌入的URL最终解析为:hxxp://1dnscontrol.com/flash_install,目前为止该链接已经不可访问。

注入脚本代码

注入脚本代码   

  一旦虚假的安装包被点击,其会生成加密文件infpub.dat和解密文件dispci.exe。“坏兔子”通过三步骤来完成其勒索流程,其对应的三个文件名均来源于美剧《权利的游戏》。

  •rhaegal.job --- 负责执行解密文件。

  •drogon.job --- 负责关闭受害者电脑。然后勒索软件加密系统中的文件,显示如下勒索信息。

勒索信息
勒索信息

  •viserion_23.job --- 负责重启受害者电脑,重启后屏幕被锁定,显示如下信息:

重启后屏幕显示的信息
重启后屏幕显示的信息

  “坏兔子”可以在内网中扩散传播,其使用Windows ManagementInstrumentation(WMI)和服务控制远程协议,在网络中生成并执行自身拷贝文件。在使用服务控制远程协议时,“Bad Rabbit”采用字典攻击方法获取登陆凭证。   

  经过深入分析,我们还发现“坏兔子”使用开源工具Mimikatz获取凭证,其也会使用合法磁盘加密工具DiskCryptor加密受害者系统。  

亚信安全教你如何防御

  1、暂时关闭内网中打开共享的机器;

  2、关闭WMI服务;

  3、更换复杂密码;

  4、亚信安全最新病毒码版13.740.60已经包含此病毒检测(扫描引擎版本9.850及以上),该版本病毒码已经发布,请用户及时升级病毒码版本;

  5、亚信安全客户开启OfficeScan 11的行为监控功能(AEGIS),可有效阻拦勒索病毒对用户文件的加密;

  6、亚信安全DDAN沙盒产品已经包含此病毒的检测,检测名:VAN_FILE_INFECTOR.UMXX。

  早期的分析说明,该病毒利用了与Petya勒索病毒相似的组件进行传播,由于黑客在Petya勒索病毒及其变种中,使用了与WannaCry相同的攻击方式,都是利用MS17-010(”永恒之蓝”)漏洞传播;有些更是通过带有DOC文档的垃圾邮件附件进行传播,通过Office CVE-2017-0199漏洞来触发攻击。因此,亚信安全建议用户采取如下防护措施:

  •及时更新系统补丁程序,或者部署虚拟补丁;

  •启用防火墙以及入侵检测和预防系统;

  •主动监控和验证进出网络的流量;

  •主动预防勒索软件可能的入侵途径,如邮件,网站;

  •使用数据分类和网络分段来减少数据暴露和损坏;

  •禁用SMB端口;

  •打全补丁程序,特别是ms17-010补丁程序。

针对Petya勒索病毒解决方案

  亚信安全病毒码版本(13.500.60),云病毒码版本(13.500.71)已经包含此病毒检测,2017年6月28日已经发布,请用户及时升级病毒码版本。

针对”永恒之蓝”漏洞解决方案

  亚信安全DeepSecurity和TDA 已经于5月2号发布规则能够抵御该勒索病毒在内网的传播:

  •TDA:2383:cve-2017-0144-RemoteCode Executeion-SMB(Request)

  •Deep Security:1008306- Microsoft Windows SMB Remote Code Execution Vulnerability (MS17-010)

  •亚信安全DeepEdge在4月26日已发布了针对微软远程代码执行漏洞 CVE-2017-0144的4条IPS规则

  (规则名称:微软MS17 010 SMB远程代码执行1-4,规则号:1133635,1133636,1133637,1133638)

针对Office CVE-2017-0199漏洞解决方案

  亚信安全DeepSecurity 和TDA 已经于4月13日发布规则,拦截该漏洞:

  •1008285- Microsoft Word Remote Code Execution Vulnerability (CVE-2017-0199)

  •1008295 - RestrictMicrosoft Word RTF File With Embedded OLE2link Objec

  •1008297- IdentifiedSuspicious RTF File With Obfuscated Powershell Execution (CVE-2017-0199)

  •TDA  Rule 18 : DNS response of a queried malwareCommand and Control domain

 
专为电影而生 奥图码HE3101影吧投影机评测 超千流明普及型新品 极米无屏电视H2 Slim评测 看似普通的A4纸 其尺寸为何如此“怪异”? 当人工智能画作首次拍卖 艺术还只是人类专属么? Google推出“七夕”限时关卡 还不快去刷!

为您推荐

加载更多
加载更多
加载更多
加载更多
加载更多
加载更多
加载更多
加载更多
加载更多

网络设备论坛帖子排行

最高点击 最高回复 最新
最新资讯离线随时看 聊天吐槽赢奖品