https://www.informationsecurity.com.tw/seminar/2024_Business/
https://www.informationsecurity.com.tw/seminar/2024_Business/

觀點

壞兔子在歐美大肆擴散 惡意程式手法剖析

2017 / 12 / 14
資策會資安科技研究所
壞兔子在歐美大肆擴散 惡意程式手法剖析


還記得2017年5月左右爆發的Wannacry的勒索軟體,而在同年6月左右又爆發Petya嗎?而今在烏克蘭,俄羅斯等國家都被很廣泛的擴散,這就是「bad rabbit」,而駭客又是運用什麼手法,造成比petya擴散的範圍更大。 

一、 BadRabbit惡意程式檔案資訊與分析摘要


由上表可知,此惡意程式試圖誘騙受害者,圖示亦以假亂真,以flash的圖示來標示,不僅是顯示圖示,駭客非常用心的連檔案內容資訊都很逼真,因此很多受害,根本不會覺得這支是惡意程式。檔案內容資訊如圖1圖片描述為Adobe?Flash?Player Installer/Uninstaller 27.0 r0

圖1 install_flash_player 程式描述

 偽冒資訊連版權,合法商標以及原始檔名都跟AdobeFlash有相關,如圖2所示


圖2 暫存檔路徑

數位簽章部分,則是使用Symantec Corporation,2017年9月9日才過期的簽章,如果沒有足夠的資安意識與對檔案的熟悉,很容易掉入駭客的騙術中,如圖3所示

圖3 偽冒的數位簽章


二、 惡意程式感染流程說明
此惡意程式觸發後,會分成二個階段,第一階段會先drop出3個檔案,分別為C:\Windows\cscc.dat(服務註冊)、C:\Windows\infpub.dat(payload)、C:\Windows\dispci.exe (第二階段要常駐系統之程式),執行完之後會自動重新開機。重新開機後,會以dispci.exe常駐在系統的process中,而主要做的動作就是對系統檔案做加密。惡意程式感染流程如圖4所示



圖4 惡意程式感染流程


三、 分析手法說明
感染第一階段:
I. 偽裝成Adobe flash安裝程式並命名為”install_flash_player.exe”,想辦法透過欺騙或社交工程等手法,誘使受害者去開啟惡意程式。
II. 觸發後,此程式會在C:\Windows\此目錄底下確認cscc.dat的檔案。是否存在,如果C:\Windows\cscc.dat並不存在,那該程式會drop出三個檔案,其中包括第一支:C:\Windows\ifpub.dat,如圖5所示


圖5 rundll32.exe帶起infpub.dat

III. 使rundll32.exe將infpub.dat執行起來,如圖6所示


圖6 rundll32將infpub.dat帶起


IV. 利用infpub.dat這支程式去產生cscc.dat,並註冊成cscc這個服務名稱,如圖7所示



圖7 cscc 服務


V. infpub.dat除了註冊cscc服務之外,亦會將dispci.exe寫入工作排程中,如圖8所示

圖8 schtasks dispci.exe

VI. infpub.dat亦有像mimikatz的功能,會嘗試針對常用的使用者名稱與使用者密碼去做登入,如圖9所示



圖9 infpub.dat使用的帳號與密碼列表

VII. 完成上述的程序後,會強迫電腦自動重新開機,完成第一階段。
VIII. 此外,此程式是利用C:\Windows\底下存在的cscc.dat註冊成服務,所以不存在的話,此惡意程式會做出drop出檔案的動作;若存在的話程式會判定自己處於第二階段,而不會有drop上述檔案的動作。
感染第二階段:
IX. 重新開機後,cscc這個服務會將dispci.exe這支執行檔常駐於系統process
X. dispci.exe主要是執行加密的動作,會針對Windows、Program Files、AppData、ProgramData這些資料夾中的檔案逐一進行加密。
XI. 駭客會使用圖10的Key再運作他們自己的演算法,針對加密檔案的金鑰進行保護

圖10 保護加密檔案的金鑰

XII. 會針對圖11所示的副檔名進行加密

圖11 支援的副檔名 

XIII. 除了加密之後,會去針對檔案的MBR進行刪除動作。
XIV. 再次強迫重新開機,並且無法登入電腦,如圖12所示



圖12 加密之後的系統畫面

四、 Drop檔案之資訊與行為列表
Drop 3個檔案資訊如下表所示

五、 攻擊使用的弱點與作業系統版本
利用Microsoft作業系統的漏洞MS17-010,若攻擊者傳送針對此漏洞製作的exploit code到Windows SMBv1伺服器,可能會允許遠端執行程式碼,也就是說受害電腦只要符合以下2個條件,即有很大的可能受到此勒索軟體的威脅
(1) 沒有即使更新微軟發布的修補程式
(2) 開啟139 或445 port




資料來源:資安所自行整理