Bad Rabbit

1、原理说明

1、病毒概述

2017年10月24日晚,俄罗斯、乌克兰等多个东欧国家遭Bad Rabbit勒索病毒的袭击,政府、交通、新闻等200多家机构收到不同程度影响。该勒索病毒通过虚假Flash更新链接传播,当用户访问被入侵控制的合法网站是,网页跳转到虚假的Flash更新网站,一旦用户下载并安装虚假的Flash更新包则导致系统被感染。

且被感染主机开始SMB扫描内网主机,通过硬编码的用户名和密码对内网SMB服务器进行暴力破解。爆破成功后,利用永恒浪漫漏洞进行提权,再释放infpub.dat文件到共享服务器上,再利用SCManager和rundll.exe执行恶意代码进行加密。

此次攻击中的受害者,被要求支持0.05比特币(约280美元)赎金,一个小时后计时器倒计时结束,赎金价格会上升。

2、病毒分析

1、该勒索软件通过注入网页脚本使访问者自动下载并运行恶意软件,通过该脚本可以发现其POST地址为185.149.120.3(目前已经无法访问)。

2、通过伪装成知名软件使用户下载安装最终达到传播目的,其下载名为install_flash_player.exe。

3、当执行完加密操作后便弹窗提示用户付费解密磁盘文件。

4、通过提供的安装Key生成bitcoin地址,用户付费后便得到一个解密密钥。

5、该加密算法使用的是用于驱动加密的开源加密算法DiskCryptor,密钥由CryptGenRandom生成,而后通过硬编码的RSA 2048位公共密钥保护,加密后文件扩展名均改为.encrypted。

6、该勒索软件还在代码中硬编码了用户名和密码用于枚举局域网的SMB共享,再通过永恒浪漫感染局域网更多主机。

3、网络行为

支付地址:  http://caforssztxqzf2nm.onion

注入URL:   http://185.149.120.3/scholargoogle/

下载感染URL:   http://1dnscontrol.com/flash_install.php

被注入网站地址:

hxxp://argumentiru[.]com

hxxp://www.fontanka[.]ru

hxxp://grupovo[.]bg

hxxp://www.sinematurk[.]com

hxxp://www.aica.co[.]jp

hxxp://spbvoditel[.]ru

hxxp://argumenti[.]ru

hxxp://www.mediaport[.]ua

hxxp://blog.fontanka[.]ru

hxxp://an-crimea[.]ru

hxxp://www.t.ks[.]ua

hxxp://most-dnepr[.]info

hxxp://osvitaportal.com[.]ua

hxxp://www.otbrana[.]com

hxxp://calendar.fontanka[.]ru

hxxp://www.grupovo[.]bg

hxxp://www.pensionhotel[.]cz

hxxp://www.online812[.]ru

hxxp://www.imer[.]ro

hxxp://novayagazeta.spb[.]ru

hxxp://i24.com[.]ua

hxxp://bg.pensionhotel[.]com

hxxp://ankerch-crimea[.]ru

2、危害说明

1、感染主机文件被加密,需向攻击者支持0.05比特币赎金才可以解密;

2、感染范围没有WannaCry广,因为采用水坑站点进行传播,并未使用永恒之蓝传播;

3、中毒主机极可能伴随着其它中毒症状,包括但不限于恶意软件、广告软件等。

3、处置建议

1、病毒取证

(1)被加密的时间和文件后缀名是否为“.encrypted”,截图取证。

(2)systeminfo命令检查服务器之前是否打过MS17-010补丁,服务器中的补丁编号与官方编号进行对比(如win2008R2应该打的MS17-010补丁为 KB4012212、KB4012215),此场景下可以发现服务器已经打上相应的漏洞补丁,截图取证。

(3)查看服务器是否开放135,139,445等高危端口,可以借助一些wannacry免疫工具(如深信服EDR工具等查杀的检测工具)进行检测(如果检测出有问题,不要免疫),截图取证。

(4)查看服务器是否开放3389远程登录,截图取证。

(5)使用EDR、QQ管家等杀毒工具对服务器进行查杀,看是否能杀出病毒样本(目前不少勒索病毒加密完会自行删除本体,杀软不一定能100%杀出病毒),上传样本到virustotal、微步在线等平台进行确认,看是否报样本为勒索病毒,同时记录病毒的创建时间和修改时间,截图取证。

(6)根据勒索病毒的后缀名,尽可能的找出最早被加密的那个文件,记录文件的创建时间,修改时间(如下图在某次勒索病毒事件处置中,我们发现文件最早被加密的时间是在2017年10月5日12:40),截图取证。

(7)Win+R运行eventvwr,打开时事件查看器,打开安全日志(windows安全日志分析可参考附录4.3)。

(8)根据管理员发现服务器被勒索的时间和文件被加密的时间(如在步骤6中的文件最早被加密的时间是在2017年10月5日12:40),排查文件被加密的时间前后的安全日志(2017年10月5日12:40前后),看是否有异常ip地址远程登录了服务器(如下图可以发现在12:36分,172.168.1.101这个ip地址登录了服务器,该ip为一个内网的IP地址,经与管理员沟通后得知,172.168.1.101为跳板机,用来登录内网服务器,确认在10月5日客户与开发商都未登录过172.168.1.101这台服务器,由此可以推测是黑客登录了172.168.1.101跳板机,之后利用跳板机登录了内网服务器,植入了勒索病毒),截图取证。

根据文件被加密的时间,排查文件被加密的时间前后的安全日志,看是否有异常ip地址远程登录了服务器,如果发现公网ip登录服务器(如下图某次应急事件中我们发现195.22.127.114这个ip远程登录了服务器)对于公网ip,可以结合威胁情报去确认该ip是否为异常ip(通过微步在线查询ip地址195.22.127.114,发现该ip地址来自波兰,瓦尔米亚-马祖里省,奥尔什丁,该地址被微步识别为僵尸网络,很明显这个地址不会是管理员用来登录服务器的ip地址),截图取证。

(9)告知管理员服务器3389登录密码被黑客获取,黑客远程登录服务器,植入勒索病毒,导致被勒索,

2、病毒处置

(1)打补丁

请到微软官网下载MS17-010补丁,并安装;

下载地址:

MSRC - Microsoft Security Response Center

注意:该步骤必须要做,如果主机不打补丁,即使病毒通过杀软清理之后,仍会被二次感染。

(2)隔离感染主机

已中毒计算机尽快隔离,关闭所有网络连接,禁用网卡。

(3)切断感染源

关闭文件共享:控制面板>启动“Windows防火墙”>“高级选项”>“入站规则”>关闭SMB应用端口(135、137、139、445)。

(4)病毒查杀

推荐使用深信服EDR工具进行分析并查杀:http://edr.sangfor.com.cn/tool/SfabAntiBot.zip

3、日常预防建议

(1)SMB服务器尽量设置较为复杂的密码,建议密码设置为字符串+特殊字符+数字;

(2)不要随意下载并安装来源不明的软件;

(3)经常及时为系统打补丁,防止被黑客漏洞利用;

(4)下载软件后,先进行查杀,再打开;

(5)不随意打开来历不明的邮件和可疑网站;

Bad Rabbit相关推荐

  1. Virtual host / experienced an error on node rabbit@wohu-rabbit and may be inaccessible

    RabbitMQ 如下错误: Virtual host / experienced an error on node rabbit@wohu-rabbit and may be inaccessibl ...

  2. Error creating bean with name 'org.springframework.amqp.rabbit.config.ListenerContainerFactoryBean#0

    Spring 整合rabbitmq 出现错误 严重: Exception sending context initialized event to listener instance of class ...

  3. Rabbit 安装步骤

    2019独角兽企业重金招聘Python工程师标准>>> ###1. Erlang 安装[下载地址: 官网] 从源码编译安装Erlang,以下库或工具是必须安装的:1)完整的GCC编译 ...

  4. Spring Boot:使用Rabbit MQ消息队列

    综合概述 消息队列 消息队列就是一个消息的链表,可以把消息看作一个记录,具有特定的格式以及特定的优先级.对消息队列有写权限的进程可以向消息队列中按照一定的规则添加新消息,对消息队列有读权限的进程则可以 ...

  5. buu Rabbit

    查看题目 题目叫Rabbit这是一个加密,我们直接Rabbit在线解密即可

  6. 牛客第六场 H-Hopping Rabbit

    牛客第六场 H-Hopping Rabbit 给出平面上的n个矩形,一只兔子从(x0+0.5,y0+0.5)(x_0+0.5,y_0+0.5)(x0​+0.5,y0​+0.5)出发,每一次可以平行于x ...

  7. Rabbit寻宝记(2)

    Description Rabbit成功地打开了大门后,没多久就见到了梦寐以求的宝藏.里面的宝石种类共有N 种,每一种都有一个体积v 和它的价值val .(已知第i 种宝石的体积为i ,编号从1 ~N ...

  8. Rabbit寻宝记(1)

    Description Rabbit 为了寻宝来到了一个神秘森林,但是她却发现森林唯一入口的大门被锁上了. 大门上写着一个奇怪的字符串.字符串只由大写字母,小写字母,数字组成,且至少有一个非数字字符. ...

  9. rabbit以及php amqp扩展使用

    来源:https://blog.51cto.com/chinalx1/2150793 一定要注意php安装AMQP的版本,版本不同使用的方法不一样.在官方网站就有2个版本的AMQP 第一版本:xxx, ...

  10. 启动rabbitmq,提示ERROR: node with name rabbit already running on localhost(亲测)

    ➜  ~ rabbitmq-server ERROR: node with name "rabbit" already running on "localhost&quo ...

最新文章

  1. chrome浏览器无法上网_低调使用,内置特殊功能的浏览器。。
  2. 三十岁前不要去在乎的29件事
  3. 部署php项目到linux
  4. 从浏览器中下载文件如何修改默认保存位置
  5. aws lambda使用_如何使用AWS Lambda为发布/订阅消息选择最佳事件源
  6. php 替换img宽度,php 如何替换img
  7. 《Scikit-Learn与TensorFlow机器学习实用指南》第5章 支持向量机
  8. highlightjs 详解
  9. 开源流媒体系统:OBS ( Open Broadcaster Software ) 介绍
  10. MYSQL常用查询函数
  11. 「转」101个著名的心理效应
  12. 结构梁配筋最牛插件_YouTube 字幕翻译 —— Chrome 插件
  13. vivado综合阶段部分IP报错--需要安装y2k22补丁包
  14. lnmp无法删除.user.ini文件的解决办法
  15. Sophix热修复的简单使用
  16. IO流文件指针(移动和获取文件读指针)
  17. 大数据学习教程之java SE 教程
  18. C语言小写转大写,小写字母转换成大写字母!
  19. java el表达式 if else_EL表达式 JSTL 三层架构
  20. 配置SMTP发信认证

热门文章

  1. 度分秒与度数相互转换的Matlab函数
  2. 微星MSI电脑(GL63 8RE-416CN)打开BIOS隐藏的高级设置方法
  3. 一篇文章搞懂BIM技术的要点和前景
  4. js自动弹窗被拦截 html,JS打开新窗口防止被浏览器阻止的方法
  5. Win10 删除网络驱动器
  6. 汤家凤:九月前强化复习结束不了怎么办?
  7. Android性能测试用例
  8. Qt 车牌识别 (EasyPR)
  9. 计算机专业的大专大学规划,大学生计算机专业职业规划个人简历
  10. Git利用命令行提交代码步骤