Kaspersky Lab分析報告:新型「壞兔子」勒索軟體來襲,惡意代碼中包含「權力的遊戲」字符串

 背景介紹

10月24日，卡巴斯基實驗室的研究人員觀察到一批大規模地勒索軟體攻擊，將此勒索軟體被命名為：「壞兔子」（Bad Rabbit）。

*注釋：據悉，此次襲擊活動從本周二早晨開始，已知的受害目標包括：俄羅斯的媒體平臺（俄羅斯國際文傳電訊社）和烏克蘭的基礎支撐部門（基輔的地鐵系統、敖德薩國際機場及一些基礎設施部門），此次襲擊活動的範圍不斷擴展，已蔓延至保加利亞、土耳其和德國等國，並開始向美國擴展。---來源：多家安全公司公布的數據

「壞兔子」勒索軟體的贖金界面如下圖所示：

「壞兔子」是什麼？

"壞兔子"（Bad Rabbit）是一種新型的、以前未知的勒索軟體家族。

「壞兔子」是如何進行分發的？

攻擊者藉助「驅動下載」攻擊的方式快速地分發「壞兔子」勒索軟體的dropper。

*注釋：「驅動下載」攻擊（Drive-by downloads attack）是攻擊者常用的一種傳播惡意軟體的方法。網絡犯罪分子利用一個不安全的Web站點，並將惡意腳本植入到網站某個頁面的HTTP或PHP代碼中。這個腳本可以直接把惡意軟體安裝到訪問該網站的主機上，也可有通過一個Iframe將受害目標重定向到一個由犯罪者控制的網站上。許多情況下，攻擊者會對惡意的腳本做混淆，使得安全研究人員的代碼分析工作變得更加困難。之所以將這種攻擊稱為 「驅動下載」（Drive-by downloads），是因為只要受害者訪問了受感染的網站，同時受害主機在某種程度上又是脆弱的（例如沒有及時安裝系統或應用程式的安全更新），那麼就可以自動地（默默地）感染受害目標，而不需要受害人執行任何交互。

因此，儘管攻擊者訪問了一個合法的網站，但該網站已經被植入惡意代碼的話，受害者會從犯罪分子控制的遠程基礎設施上自動地下載「壞兔子」勒索軟體的drooper。目前分析到「壞兔子」勒索軟體沒有利用任何漏洞，因此受害者需要手動地執行惡意軟體dropper，它被偽裝成一個Adobe Flash安裝程序。

卡巴斯基的研究人員發現了一些被感染的網站，它們都是一些新聞或媒體站點。

「壞兔子」的目標是？

據KSN統計，共檢測到大約200個目標，其中大部分目標位於俄羅斯，也有一少部分類似的襲擊活動發生在其他國家：烏克蘭、土耳其和德國。

從什麼時候起，卡巴斯基實驗室檢測到這一威脅的？

從10月24日早上，攻擊活動開始以來，卡巴斯基實驗室的工作人員一直在積極地檢測原始的攻擊矢量。攻擊一直在持續。

「壞兔子」與ExPetr有何異同？

截至目前觀測到的數據表明，這是一個有針對性的網絡攻擊，目標是企業網絡，攻擊方式與ExPetr有相似之處。

技術細節

根據卡巴斯基的觀測，「壞兔子」勒索軟體是通過「驅動下載」攻擊的方式進行傳播的。

勒索軟體dropper的分發源是：hxxp://1dnscontrol[.]com/flash_install.php

此外，根據統計到的數據顯示，受害者是從一個合法的新聞網站重定向過來的。

受害者會下載一個名為install_flash_player.exe的文件，該文件需由受害者手動啟動。惡意軟體通過系統標準的UAC提示，試圖獲取它所需要的管理員權限。正確操作。一旦開始執行，勒索程序會使用將惡意的DLL保存在C:\Windows\infpub.dat裡，並通過rundll32啟動它，安裝惡意DLL的偽代碼示例參見下圖：

安裝惡意DLL的偽代碼程序（示例）

infpub.dat似乎能夠暴力破解Windows機器上的NTLM驗證登錄憑據，示例參見下圖：

硬編碼的憑證列表

infpub.dat還會向C:\Windows安裝一個惡意的可執行程序：dispci.exe，並創建一個任務來啟動它，偽代碼示例參見下圖：

創建任務執行惡意的可執行程序的偽代碼（示例）

更重要的是，infpub.dat能夠執行一個典型的文件加密勒索軟體的功能：通過一個嵌入的文件擴展名列表搜索受害者電腦上的數據文件，使用一個RSA-2048公鑰對受害者的文件進行加密。

犯罪分子使用的公鑰和文件擴展名列表

可執行程序dispci.exe負責完成磁碟加密功能，包括安裝篡改後的引導程序，並阻止受感染機器的正常啟動進程。

另外，分析捕獲到的樣本，發現一個有趣的細節：惡意軟體製作者似乎是HBO知名劇集&小說《權力的遊戲》（《Game Of Thrones》）的粉絲，因為惡意代碼中使用了一些與此相關的字符串，例如：多次出現龍母三條巨龍的名稱：Viserion、 drogon和rhaegal，示例如下：

《權力的遊戲》中巨龍的名字

《權利的遊戲》中角色的名稱

加密機制

「壞兔子」勒索軟體會加密受害者的文件和磁碟，使用的加密算法有：

加密機制是勒索軟體默認的功能，不過有趣的是，「壞兔子」勒索軟體枚舉了所有正在運行的進程，並對每個進程名稱的哈希值和嵌入的哈希值進行比較。值得關注的是，它使用的哈希算法與知名的ExPetr的某個算法相同，兩者的比較如下圖所示：

對比Bad Rabbit 與ExPetr的哈希算法

特殊的branch

初始化Runtime flags（示例）

嵌入的進程名稱及其哈希值的完整列表如下：

由DiskCryptor 驅動的 dcrypt.sys (被安裝在 C:\Windows\cscc.dat)對受害者對磁碟分區進行加密，勒索軟體向這個驅動程序發送必要的IOCTL代碼，模塊中的功能函數有些來自DiskCryptor (drv_ioctl.c)，有些由惡意軟體開發者編寫。

生成密碼並加密磁碟分區的偽代碼（示例）

IOCs

http://1dnscontrol[.]com/

fbbdc39af1139aebba4da004475e8839 – install_flash_player.exe

1d724f95c61f1055f0d02c2154bbccd3 – C:\Windows\infpub.dat

b14d8faf7f0cbcfad051cefe5f39645f – C:\Windows\dispci.exe

Bad Rabbit感染鏈（圖片來源：趨勢科技分析報告）

進展及建議

安全專家們正在分析「壞兔子」勒索軟體的詳細，希望可以發現它加密機制的缺陷。目前被勒索軟體要挾的用戶，並不確定是否支付了贖金就可以恢復其被加密的文件。

在這裡，再次提醒用戶：應及時更新系統、應用程式的安全補丁，並及時更新防病毒軟體的資料庫。