解密坏兔子（Bad Rabbit）勒索软件

dongwenqi

2017-10-27 卡巴斯基实验室

                                                                                                                       

10月24日，我们观察到一种被称为坏兔子（Bad Rabbit）的勒索软件出现大量攻击。这种勒索软件主要针对俄罗斯的组织和消费者实施攻击，但也出现了乌克兰受害者的相关报道。一旦不幸成为这种勒索软件的受害者，会看到如下这样一条类似的勒索信息：

坏兔子属于一种之前未知的勒索软件家族。

这种勒索软件下载器是在浏览即下载的攻击方式的帮助下进行传播的。当目标访问合法网站时，会通过攻击者的基础设施下载一个恶意软件下载器到受害者计算机。攻击过程中没有使用漏洞利用程序，所以受害者必须手动执行恶意软件下载器才可以感染。这种下载器被伪装成Adobe Flash的安装程序。

我们检测到一些被入侵的网站，并且发现它们都是新闻或媒体网站。

大多数被攻击目标都位于俄罗斯。在其他国家也出现类似的少量攻击，其中包括乌克兰、土耳其和德国。根据卡巴斯基安全网络统计，目前总共有近200个被攻击目标。

从10月24日早上开始，我们就一直在主动检测器最初的攻击向量。其攻击一直持续到中午，尽管我们仍然能够检测到正在进行的攻击。

我们的观察显示，这是一种针对企业网络的针对性攻击，攻击中使用了与ExPetr攻击相似的方法。

根据我们的遥测，这种勒索软件是通过浏览即下载攻击传播的。

这种勒索软件的下载器是通过hxxp://1dnscontrol[.]com/flash_install.php 分发的。

根据我们的遥测数据，受害者会从合法的新闻网站被重定向到包含这种恶意软件的网页资源。

下载的文件名称为install_flash_player.exe ，这个文件需要受害者手动启动。要正确运行，它需要提升后的管理权限，它会试图使用标准的UAC提示获取权限。 如果启动，它会将恶意DLL保存为C：\ Windows \ infpub.dat，并使用rundll32启动它。

infpub.dat似乎能够暴力破解具有伪随机IP地址的Windows计算机的NTLM登陆凭证。

infpub.dat 还会安装恶意可执行文件dispci.exe到into C:\Windows，并创建一个任务启动它。

此外，infpub.dat 的行为是一种典型的文件加密勒索软件：它会利用嵌入的扩展名列表来寻找受害者的数据文件，之后使用网络罪犯的公共RSA-2048密匙对其进行加密。

网络罪犯的公匙参数为：

Public-Key: (2048 bit)

Modulus:

00:e5:c9:43:b9:51:6b:e6:c4:31:67:e7:de:42:55:

6f:65:c1:0a:d2:4e:2e:09:21:79:4a:43:a4:17:d0:

37:b5:1e:8e:ff:10:2d:f3:df:cf:56:1a:30:be:ed:

93:7c:14:d1:b2:70:6c:f3:78:5c:14:7f:21:8c:6d:

95:e4:5e:43:c5:71:68:4b:1a:53:a9:5b:11:e2:53:

a6:e4:a0:76:4b:c6:a9:e1:38:a7:1b:f1:8d:fd:25:

4d:04:5c:25:96:94:61:57:fb:d1:58:d9:8a:80:a2:

1d:44:eb:e4:1f:1c:80:2e:e2:72:52:e0:99:94:8a:

1a:27:9b:41:d1:89:00:4c:41:c4:c9:1b:0b:72:7b:

59:62:c7:70:1f:53:fe:36:65:e2:36:0d:8c:1f:99:

59:f5:b1:0e:93:b6:13:31:fc:15:28:da:ad:1d:a5:

f4:2c:93:b2:02:4c:78:35:1d:03:3c:e1:4b:0d:03:

8d:5b:d3:8e:85:94:a4:47:1d:d5:ec:f0:b7:43:6f:

47:1e:1c:a2:29:50:8f:26:c3:96:d6:5d:66:36:dc:

0b:ec:a5:fe:ee:47:cd:7b:40:9e:7c:1c:84:59:f4:

81:b7:5b:5b:92:f8:dd:78:fd:b1:06:73:e3:6f:71:

84:d4:60:3f:a0:67:06:8e:b5:dc:eb:05:7c:58:ab:

1f:61

Exponent: 65537 (0x10001)

可执行文件dispci.exe似乎是从合法应用程序DiskCryptor的代码库派生出来的。 它作为磁盘加密模块，还能够安装修改的引导加载程序，并防止受感染机器的正常启动过程。

我们在分析这个威胁的样本时注意到一个有趣的细节：看起来这个恶意软件背后的网络罪犯是著名的 “权利的游戏”书籍和电视剧的粉丝。 代码中使用的一些字符串是本系列作品中不同人物的名称。

卡巴斯基实验室专家正在对这种勒索软件进行详细分析，试图找出其加密程序中可能存在的缺陷。

卡巴斯基实验室产品将这种威胁检测为以下结果：

• Trojan-Ransom.Win32.Gen.ftl

• DangerousObject.Multi.Generic

• PDM:Trojan.Win32.Generic
  

  
  

感染迹象：

http://1dnscontrol[.]com/

fbbdc39af1139aebba4da004475e8839 – install_flash_player.exe

1d724f95c61f1055f0d02c2154bbccd3 – C:\Windows\infpub.dat

b14d8faf7f0cbcfad051cefe5f39645f – C:\Windows\dispci.exe

ATP_synthase

卡巴实验室微信公众号刚推的，速度很快

NMBHA

这玩意儿好像不能在VM上运行,他个识别是否是VM虚拟机,如果是,则不改MBR (我的就是)