• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Троянец-вымогатель Bad Rabbit: плохой, плохой кролик

akok

Команда форума
Администратор
Сообщения
14,547
Симпатии
12,023
#1
24 октября на нас посыпались уведомления о массовых атаках с помощью троянца-вымогателя Bad Rabbit. Основная цель — российские организации и потребители, но есть сообщения и о пострадавших из Украины.

Вот как выглядит требование выкупа у незадачливых жертв:
Дроппер вымогателя распространяется за счет попутных (drive-by) загрузок. Цель посещает вполне легитимный сайт, а зловредный дроппер меж тем загружается из инфраструктуры злоумышленника. Эксплойты не используются, жертва запускает дроппер вручную — тот притворяется инсталлятором Adobe Flash.

Мы обнаружили ряд скомпрометированных веб-сайтов, причем все они новостные или медийные.

На кого точит зуб

Большинство целей расположены в России. Сходные, но меньших объемов атаки были замечены и в других странах — Украине, Турции и Германии.

Когда “Лаборатория Касперского” обнаружила угрозу?

Мы зафиксировали изначальный вектор атаки утром 24 октября. Атака продолжалась до полудня, однако мы по-прежнему детектируем отдельные случаи заражения.

В чем разница с ExPetr? Или это один и тот же зловред?

Наши наблюдения показывают, что это была целевая атака на корпоративные сети методами, схожими с инструментарием ExPetr.

Технические подробности

По данным нашей телеметрии, этот злобный кролик размножается попутной загрузкой.
Дроппер вымогателя загружается с hxxp://1dnscontrol[.]com/flash_install.php



По нашим данным, жертвы перенаправляются на вредоносный ресурс с легитимных и безвредных новостных сайтов.

Загруженный файл с именем install_flash_player.exe запускается жертвой вручную. Для корректной работы он нуждается в повышенных административных привилегиях, которые и пытается получить с помощью стандартного запроса UAC. При запуске он сохранит вредоносную библиотеку DLL как C:\Windows\infpub.dat и запустит ее с помощью rundll32.


Псевдокод процедуры установки зловредного DLL-файла

infpub.dat брутфорсит учетные данные диспетчера аутентификации NTLM на машинах Windows с псевдослучайными IP-адресами.


Жестко заданный список учеток

infpub.dat также устанавливает вредоносную утилиту dispci.exe на C:\Windows и создает задачу для ее запуска.


Псевдокод процедуры, которая создает задачу, запускающую зловред

Более того, infpub.dat действует как типичный вымогатель-шифровальщик: через встроенный список расширений он находит файлы данных жертвы и шифрует их, используя открытый ключ RSA-2048.


Открытый киберзлодейский ключ и список расширений

Параметры злодейского открытого ключа:
Открытый ключ: (2048 бит)
Модуль:
00: e5: с9: 43: b9: 51: 6b: e6: с4: 31: 67: e7: де: 42: 55:
6f: 65: с1: 0a: d2: 4e: 2e: 09: 21: 79: 4a: 43: а4: 17: d0:
37: b5: 1e: 8e: FF: 10: 2d: f3: ДФ: ср: 56: 1a: 30: быть: изд:
93: 7в: 14: d1: b2: 70: 6c: f3: 78: 5с: 14: 7f: 21: 8c: 6d:
95: е4: 5e: 43: с5: 71: 68: 4b: 1a: 53: A9: 5b: 11: е2: 53:
а6: е4: а0: 76: 4b: с6: а9: е1: 38: а7: 1b: f1: 8d: ФД: 25:
4d: 04: 5с: 25: 96: 94: 61: 57: FB: d1: 58: D9: 8а: 80: а2:
1d: 44: ЭБ: е4: 1f: 1c: 80: 2е: е2: 72: 52: e0: 99: 94: 8а:
1a: 27: 9b: 41: d1: 89: 00: 4c: 41: с4: с9: 1b: 0b: 72: 7b:
59:62: с7: 70: 1f: 53: Fe: 36: 65: е2: 36: 0d: 8c: 1f: 99:
59: f5: б1: 0e: 93: В6: 13: 31: FC: 15: 28: да: объявление: 1d: а5:
f4: 2в: 93: b2: 02: 4c: 78: 35: 1d: 03: 3в: е1: 4b: 0d: 03:
8d: 5b: d3: 8e: 85: 94: а4: 47: 1d: d5: ес: f0: b7: 43: 6f:
47: 1e: 1c: а2: 29: 50: 8f: 26: с3: 96: d6: 5d: 66: 36: DC:
0b: ес: а5: Fe: й: 47: CD: 7b: 40: 9e: 7в: 1c: 84: 59: f4:
81: b7: 5b: 5б: 92: f8: дд: 78: Fd: b1: 06: 73: е3: 6f: 71:
84: d4: 60: 3f: а0: 67: 06: 8e: В5: DC: ЭБ: 05: 7в: 58: AB:
1f: 61
Экспонента: 65537 (0x10001)

Судя по всему, исполняемый файл dispci.exe создан на основе кода безвредной утилиты DiskCryptor. Он действует как модуль шифрования диска, который к тому же устанавливает модифицированный загрузчик и препятствует нормальному процессу загрузки зараженной машины.

Образец анализируемой угрозы оказался с изюминкой: похоже, его авторы — горячие поклонники “Игры престолов”. Некоторые строки кода содержат имена различных персонажей сериала (или книги).


Имя дракона из “Игры престолов”


Имя персонажа “Игры престолов”

Плохой кролик шифрует файлы и жесткий диск по типичной для криптолокеров схеме, с помощью алгоритмов AES-128-CBC и RSA-2048. Что интересно, троянец сверяет хэши имен запущенных процессов с заданной таблицей. И алгоритм хэширования похож на тот, что использовался знаменитым exPetr.


Сравнение процедур хэширования Bad Rabbit и ExPetr


Особая ветвь исполнения программы


Процедура инициализации флагов времени исполнения

Полный список хэшей от имен процессов:



Кролик отправляет драйверу DiskCryptor (в оригинале он называется dcrypt.sys, а троянец его маскирует как cscc.dat и кладет его в C:\Windows\) IOCTL-коды для шифрования разделов жесткого диска. Часть функций просто взята из исходников DiskCryptor, из файла drv_ioctl.c, другие разработаны авторами кролика.


Псевдокод процедуры, которая генерирует пароль и шифрует разделы диска

Эксперты “Лаборатории Касперского” тщательно препарируют “плохого кролика” на предмет возможных лазеек в его криптографических алгоритмах.

Наши клиенты могут чувствовать себя защищенными, если у них активированы все защитные механизмы продуктов (KSN и System Watcher не отключены), а также обновлены базы.

В качестве дополнительных мер предосторожности имеет смысл заблокировать исполнение файлов C:\Windows\infpub.dat и C:\Windows\cscc.dat.

IOCs:
1dnscontrol[.]com/
fbbdc39af1139aebba4da004475e8839 – install_flash_player.exe
1d724f95c61f1055f0d02c2154bbccd3 – C:\Windows\infpub.dat
b14d8faf7f0cbcfad051cefe5f39645f – C:\Windows\dispci.exe

Лучшие публикации за сутки / Хабрахабр
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
11,972
Симпатии
5,663
#2
Сверху Снизу