Petya昨日重现:Bad Rabbit勒索病毒分析
  • 作者:管理员
  • 发表时间:2017-10-26 23:34
  • 来源:FreeBuf

近日,360互联网安全中心检测到一款名为“Bad Rabbit”的新型敲诈者木马在东欧为主的各个国家和地区开始传播。

Petya昨日重现:Bad Rabbit勒索病毒分析

该木马的主要来自于网页诱导——在网页上弹出一个提示框提示需要安装Flash控件:

Petya昨日重现:Bad Rabbit勒索病毒分析

用户一旦上当,便会下载回来一个图标和文件名全面装成Flash的安装包,但该程序实际上却是一个敲诈者木马:

Petya昨日重现:Bad Rabbit勒索病毒分析

木马执行后,会先释放infpub.dat文件,该文件是一个动态链接库程序。生成后会调用系统的rundll32调用该库的1号函数执行:

Petya昨日重现:Bad Rabbit勒索病毒分析

Infpub.dat的核心功能依旧是传统敲诈者木马的文件加密功能,被加密的文件扩展名如下:

Petya昨日重现:Bad Rabbit勒索病毒分析

整理后见下表:

.3ds .cer .dwg .kdbx .ost .pst .tif .vsdx
.7z .cfg .eml .key .ova .pvi .tiff .vsv
.accdb .conf .fdb .mail .ovf .py .vb .work
.ai .cpp .gz .mdb .p12 .pyc .vbox .xls
.asm .crt .h .msg .p7b .pyw .vbs .xlsx
.asp .cs .hdd .nrg .p7c .qcow .vcb .xml
.aspx .ctl .hpp .odc .pdf .qcow2 .vdi .xvd
.avhd .cxx .hxx .odf .pem .rar .vfd .zip
.back .dbf .iso .odg .pfx .rb .vhd  
.bak .der .java .odi .php .rtf .vhdx  
.bmp .dib .jfif .odm .pmf .scm .vmc  
.brw .disk .jpe .odp .png .sln .vmdk  
.c .djvu .jpeg .ods .ppt .sql .vmsd  
.cab .doc .jpg .odt .pptx .tar .vmtm  
.cc .docx .js .ora .ps1 .tib .vmx  

加密手法并无太大新意,使用了常见的RSA2048算法,本文不再赘述:

Petya昨日重现:Bad Rabbit勒索病毒分析

而除了传统的加密文件之外。该木马还会创建一个名为dispci.exe的程序:

Petya昨日重现:Bad Rabbit勒索病毒分析

释放完dispci.exe后,会通过写入计划任务的方式定时重启机器以及在重启后让系统去执行该dispci.exe程序:

Petya昨日重现:Bad Rabbit勒索病毒分析

Petya昨日重现:Bad Rabbit勒索病毒分析

而这个dispci.exe在重启之后会创建一个名为cscc.dat的驱动程序并与之通信,驱动的功能则和之前曾大规模爆发的Petya相似——通过修改系统引导和MBR的方式劫持开机启动:

Petya昨日重现:Bad Rabbit勒索病毒分析

Petya昨日重现:Bad Rabbit勒索病毒分析

一旦驱动修修改系统引导和MBR,会再次重启系统。而这次系统重启后,被加密的就不仅仅是你的文件了:

Petya昨日重现:Bad Rabbit勒索病毒分析

Petya昨日重现:Bad Rabbit勒索病毒分析

若无法获取到登录凭证,会再通过内置的字典尝试账户和密码的爆破:

用户名字典:

Administrator Test rdpuser operator nasuser
Admin root rdpadmin backup nasadmin
Guest buh manager asus superuser
User boss support ftpuser netguest
User1 ftp work ftpadmin alex
user-1 rdp other user nas  

弱口令字典:

Administrator 123 Guest123 77777 zxc123
administrator 1234 guest123 777 zxc321
Guest 12345 User123 qwe zxcv
guest 123456 user123 qwe123 uiop
User 1234567 Admin123 qwe321 123321
user 12345678 admin123Test123 qwer 321
Admin 123456789 test123 qwert love
adminTest 1234567890 password qwerty secret
test Administrator123 111111 qwerty123 sex
root administrator123 55555 zxc god

无论是Mimikatz还是弱口令字典,一旦木马成功获取到了局域网内其他机器的登录口令,便会通过获取到的登录口令登录对方机器,再将木马放置到对方机器上启动服务执行木马:

Petya昨日重现:Bad Rabbit勒索病毒分析

Petya昨日重现:Bad Rabbit勒索病毒分析

如果用该方法远程启动失败,木马还会再尝试wmi的远程命令以图让木马能够进一步在局域网中扩散:

Petya昨日重现:Bad Rabbit勒索病毒分析

根据360互联网安全中心的统计,该木马主要在俄罗斯、乌克兰等东欧国家和地区流行。

Petya昨日重现:Bad Rabbit勒索病毒分析

*本文作者:360安全卫士,转载请注明来自 FreeBuf.COM