当前位置: 学院首页 > 新闻中心 > 专题 > 正文
站内搜索:
安全威胁预警-“Bad Rabbit 坏兔子”勒索病毒事件报告
2017-10-26 10:19     (点击: )

1、事件描述  

 

 

2017年10月24日,网上出现了一个被命名为“Bad Rabbit”(中文译名:坏兔子)的勒索病毒,俄罗斯、乌克兰、土耳其、德国等欧洲国均受到影响,目前已经开始向美国扩散。  

 

该勒索病毒将受害电脑的文件加密,让电脑无法使用,从而要求支付赎金,“坏兔子”勒索病毒要求支付0.05比特币(合275美元)。经过研究人员深入分析,虽然“坏兔子”拥有部分与Petya勒索病毒相同的代码,但是最新的这波攻击不大可能造成Petya那种程度的全球性破坏。但是由于“坏兔子”勒索病毒通过共享和弱密码在内网扩散,因此对企业危害较大。  

 

2、事件影响
 

l通过伪装成大众熟悉的正常程序(AdobeFlash Player),人为点击运行,如果同局域网还无人中招,基本不会有影响;  

 

l病毒通过局域网共享协议传播(通过IPC$、ADMIN$连接),如果同局域网已有人中招,并且开启了共享服务,可能会扩散;  

 

l通过读取已经中招电脑的当前用户密码和内置的弱口令列表传播,如果同局域网已有人中招,并且大家密码相同或是在列表中的弱密码,会有传播影响;  

 

l“坏兔子”勒索病毒暂未发现通过系统漏洞传播,因此它反而可以覆盖所有的Windows系统,而不限于只存在漏洞的系统。  

 

3、事件分析
 

“坏兔子”勒索病毒通过水坑攻击传播,攻击者先在特定网站上注入包含URL的脚本文件,诱骗用户下载虚假的Flash安装程序“install_flash_player.exe”。嵌入的URL最终解析为:hxxp://1dnscontrol.com/flash_install,目前为止该链接已经不可访问。  

 


 

一旦虚假的安装包被点击,其会生成加密文件infpub.dat和解密文件dispci.exe。“坏兔子”通过三步骤来完成其勒索流程,其对应的三个文件名均来源于美剧《权利的游戏》。  

 

lrhaegal.job --- 负责执行解密文件;  

 

ldrogon.job --- 负责关闭受害者电脑。然后勒索病毒加密系统中的文件,显示如下勒索信息:  

 


 

lviserion_23.job --- 负责重启受害者电脑,重启后屏幕被锁定,显示如下信息:  

 


 

“坏兔子”可以在内网中扩散传播,其使用WindowsManagementInstrumentation(WMI)和服务控制远程协议,在网络中生成并执行自身拷贝文件。在使用服务控制远程协议时,“BadRabbit”采用字典攻击方法获取登陆凭证。  

 

经过深入分析,我们还发现“坏兔子”使用开源工具Mimikatz获取凭证,其也会使用合法磁盘加密工具DiskCryptor加密受害者系统。  

 

4、加固建议
 

网络侧应急解决方案
 

Ø在边界防火墙上调整访问控制策略,禁止外网对内网135/137/139/445端口的连接;  

 

Ø在内网核心主干交换路由设备禁止135/137/139/445端口(会影响相关端口的服务)的连接;  

 

Ø更新IDS入侵检测系统事件库,加强对该事件的监测。  

 

终端侧应急解决方案
 

Ø及时更新杀毒软件病毒库,以便能检测到该勒索病毒;  

 

Ø由于“BadRabbit”采用字典攻击方法获取登陆凭证,因此局域网开共享的电脑请使用比较复杂的密码,如果跟勒索病毒自带列表中的密码请及时修改(参见“附录:账号字典和弱口令列表”);  

 

Ø建议安装正版可信来源的AdobeFlash Player;  

 

Ø“BadRabbit”利用了与“Petya”勒索病毒相似的组件进行传播,由于黑客在“Petya”勒索病毒及其变种中,使用了与“WannaCry”相同的攻击方式,都是利用MS17-010(“永恒之蓝”)漏洞传播,因此建议信息中心进一步确认ms17-010补丁程序的修复情况;  

 

Ø做好重要文件的备份工作(非本地备份);  

 

Ø开启系统防火墙,阻止向445端口进行连接(该操作会影响使用445端口的服务);  

 

Ø关注是否存在病毒在系统目录下(通常是C:\Windows目录)生成多个的文件(infpub.dat、dispci.exe、cscc.dat),请列入进程黑名单,阻止其自动运行。  

 

Ø关闭系统WMI服务器,或在手动在“控制面板-管理工具-服务”关闭该服务;  

 


 

已经感染设备应急解决方案
 

Ø断开网络连接,组织进一步扩散;  

 

Ø已经感染终端,根据终端数据类型决定处置方式,如果重新安装系统则建议完全格式化硬盘、使用新操作系统、完善操作系统补丁、通过检查确认无相关漏洞后再恢复网络连接。  

 

5、总结
 

目前“BadRabbit 坏兔子”勒索病毒病毒样本已公开,新的变种随时都可能出现,请养成备份好重要文件的习惯。  

 

同时由于利用渗透技巧传播的勒索病毒越来越多,强烈建议数据中心逐步完善内网安全防护策略,启明星辰将持续关注该病毒发展态势,跟踪相关病毒细节。  

 

6、附录:账号字典和弱口令列表  

“BadRabbit 坏兔子”在内网传播中通过猜测以下列表的用户名来登录:  

 

Administrator、Admin、Guest、User、User1、user-1 、Test、root、buh、boss、ftp、rdp、rdpuser、rdpadmin、manager、support、work、other user、operator、backup、asus、ftpuser、ftpadmin、nas、nasuser、nasadmin、superuser、netguest、alex  

 

“BadRabbit 坏兔子”在内网传播中通过猜测以下列表的弱口令来登录:  

 

Administrator、administrator、Guest、guest、User、user、Admin、adminTest、test、root、123、1234、12345、123456、1234567、12345678、123456789、1234567890、Administrator123、administrator123、Guest123、guest123、User123、user123、Admin123、admin123Test123、test123、password、111111、55555、77777、777、qwe、qwe123、qwe321、qwer、qwert、qwerty、qwerty123、zxc、zxc123、zxc321、zxcv、uiop、123321、321、love、secret、sex、 god
 

上一条:十九大开幕式发言文字实录
下一条:建设百强决战百强为争创全国优质院校而奋斗—庆祝第三十三个教师节暨表彰大会上的讲话
关闭窗口
工业和信息化部备案登记号:蜀ICP备05003421号    川公网安备 51150202000048号     事业单位标识
版权所有:宜宾职业技术学院   地址:四川省宜宾市翠屏区新村74号    招生咨询电话:0831-8275466、8274690、8274290
今日访问:
总访问量: