還記得2017年5月左右爆發的Wannacry的勒索軟體,而在同年6月左右又爆發Petya嗎?而今在烏克蘭,俄羅斯等國家都被很廣泛的擴散,這就是「bad rabbit」,而駭客又是運用什麼手法,造成比petya擴散的範圍更大。
一、 BadRabbit惡意程式檔案資訊與分析摘要
.jpg)
由上表可知,此惡意程式試圖誘騙受害者,圖示亦以假亂真,以flash的圖示來標示,不僅是顯示圖示,駭客非常用心的連檔案內容資訊都很逼真,因此很多受害,根本不會覺得這支是惡意程式。檔案內容資訊如圖1圖片描述為Adobe?Flash?Player Installer/Uninstaller 27.0 r0
.jpg)
圖1 install_flash_player 程式描述
偽冒資訊連版權,合法商標以及原始檔名都跟AdobeFlash有相關,如圖2所示
.jpg)
圖2 暫存檔路徑
數位簽章部分,則是使用Symantec Corporation,2017年9月9日才過期的簽章,如果沒有足夠的資安意識與對檔案的熟悉,很容易掉入駭客的騙術中,如圖3所示
.jpg)
圖3 偽冒的數位簽章
二、 惡意程式感染流程說明
此惡意程式觸發後,會分成二個階段,第一階段會先drop出3個檔案,分別為C:\Windows\cscc.dat(服務註冊)、C:\Windows\infpub.dat(payload)、C:\Windows\dispci.exe (第二階段要常駐系統之程式),執行完之後會自動重新開機。重新開機後,會以dispci.exe常駐在系統的process中,而主要做的動作就是對系統檔案做加密。惡意程式感染流程如圖4所示
.jpg)
圖4 惡意程式感染流程
三、 分析手法說明
感染第一階段:
I. 偽裝成Adobe flash安裝程式並命名為”install_flash_player.exe”,想辦法透過欺騙或社交工程等手法,誘使受害者去開啟惡意程式。
II. 觸發後,此程式會在C:\Windows\此目錄底下確認cscc.dat的檔案。是否存在,如果C:\Windows\cscc.dat並不存在,那該程式會drop出三個檔案,其中包括第一支:C:\Windows\ifpub.dat,如圖5所示
.jpg)
圖5 rundll32.exe帶起infpub.dat
III. 使rundll32.exe將infpub.dat執行起來,如圖6所示
.jpg)
圖6 rundll32將infpub.dat帶起
IV. 利用infpub.dat這支程式去產生cscc.dat,並註冊成cscc這個服務名稱,如圖7所示
.jpg)
圖7 cscc 服務
V. infpub.dat除了註冊cscc服務之外,亦會將dispci.exe寫入工作排程中,如圖8所示
.jpg)
圖8 schtasks dispci.exe
VI. infpub.dat亦有像mimikatz的功能,會嘗試針對常用的使用者名稱與使用者密碼去做登入,如圖9所示
.jpg)
圖9 infpub.dat使用的帳號與密碼列表
VII. 完成上述的程序後,會強迫電腦自動重新開機,完成第一階段。
VIII. 此外,此程式是利用C:\Windows\底下存在的cscc.dat註冊成服務,所以不存在的話,此惡意程式會做出drop出檔案的動作;若存在的話程式會判定自己處於第二階段,而不會有drop上述檔案的動作。
感染第二階段:
IX. 重新開機後,cscc這個服務會將dispci.exe這支執行檔常駐於系統process
X. dispci.exe主要是執行加密的動作,會針對Windows、Program Files、AppData、ProgramData這些資料夾中的檔案逐一進行加密。
XI. 駭客會使用圖10的Key再運作他們自己的演算法,針對加密檔案的金鑰進行保護
.jpg)
圖10 保護加密檔案的金鑰
XII. 會針對圖11所示的副檔名進行加密
.jpg)
圖11 支援的副檔名
XIII. 除了加密之後,會去針對檔案的MBR進行刪除動作。
XIV. 再次強迫重新開機,並且無法登入電腦,如圖12所示
.jpg)
圖12 加密之後的系統畫面
四、 Drop檔案之資訊與行為列表
Drop 3個檔案資訊如下表所示
.jpg)
五、 攻擊使用的弱點與作業系統版本
利用Microsoft作業系統的漏洞MS17-010,若攻擊者傳送針對此漏洞製作的exploit code到Windows SMBv1伺服器,可能會允許遠端執行程式碼,也就是說受害電腦只要符合以下2個條件,即有很大的可能受到此勒索軟體的威脅
(1) 沒有即使更新微軟發布的修補程式
(2) 開啟139 或445 port
.jpg)
資料來源:資安所自行整理