天极传媒:
天极网
比特网
IT专家网
52PK游戏网
极客修
全国分站

北京上海广州深港南京福建沈阳成都杭州西安长春重庆大庆合肥惠州青岛郑州泰州厦门淄博天津无锡哈尔滨

产品
  • 网页
  • 产品
  • 图片
  • 报价
  • 下载
全高清投影机 净化器 4K电视曲面电视小家电滚筒洗衣机
您现在的位置: 天极网 > 云计算>新闻>华为云剑指勒索病毒 几招安全防范

华为云剑指勒索病毒 几招教你安全防范

天极网云计算频道 2017-10-27 17:26 我要吐槽

  · 恶意软件名称:BadRabbit(坏兔子)

  · 关键字:勒索病毒BadRabbit Ransomware 主机安全

  · 分析团队:华为云安全团队

  10月24日,一款称为BadRabbit的恶意勒索病毒在网络上爆发,病毒影响范围为使用Windows操作系统服务器和个人电脑等设备。

  据悉,此勒索病毒已经影响了乌克兰、俄罗斯、土耳其和保加利亚等国家,包括俄罗斯的国际文传电讯社、乌克兰基辅的地铁系统、乌克兰敖德萨的国际机场以及乌克兰的基础设施部等多家大型机构已被入侵。

  该病毒通过伪装Adobe Flash Player 安装包进行传播。电脑感染病毒之后,其中文件将被加密,直至用户支付赎金。

  为了使华为云用户不受影响,华为云安全团队于病毒爆发当天,即对此恶意程序进行了预警和分析,并给出了防范措施。目前,华为云用户被感染数为零

  解决方案

  1. 建议用户关闭139, 445端口。

  2. 建议用户提升密码强度,例如密码至少6个字符,并组合大小写、数字、特殊符号。

  3. 建议定期更新微软补丁。

  4. 安装华为主机安全软件HostGuard,对主机进行弱口令检测,开启防暴力破解功能(windows版本即将上线),使用网页防篡改功能(已上线)对重点文件进行保护。

  5. 更多人工专家防护和修复建议,可免费申请华为云安全体检服务,详情点击阅读原文。

  攻击方式

  1. 下载:

  受害者点击被挂马的合法网站,被引导下载Flash安装程序(实际为恶意程序)。

  2. 安装:

  受害者点开安装程序,并同意Windows UAC授权,恶意程序开始安装。

  3. 加密:

  恶意程序运行恶意代码(部分代码复用Petya勒索软件),加密受害者主机的主引导记录(MBR)和指定类型的文件。

  4. 扩散:

  恶意程序内置账号密码字典,并通过SMB服务帐号密码的形式进行传播(目前并未发现使用MS17-010等漏洞利用进行传播)。为了增强入侵成功率,BadRabbit疑似使用Mimikatz密码抓取器进一步抓取受害机器上的账号密码。

  5. 勒索:

  攻击完成后,系统会自动重启并在启动界面提示告警,受害者根据告警进行操作,并向攻击者的比特币钱包转入0.05比特币,即可完成解锁。

  技术分析

  恶意文件:

  fbbdc39af1139aebba4da004475e8839 – 病毒释放器(最初被释放的样本)

  1d724f95c61f1055f0d02c2154bbccd3 – infpub.dat - 主DLL

  b4e6d97dafd9224ed9a547d52c26ce02 – cscc.dat - 带有合法签名的驱动,用于加密磁盘

  b14d8faf7f0cbcfad051cefe5f39645f – dispci.exe - 安装bootlocker,与驱动通信

  病毒释放器通过伪装成Flash的更新程序,诱骗用户点击运行。恶意程序运行后,会释放主DLL到c:\windows目录下,并通过rundll.exe运行。

  "C:\\Windows\\system32\\rundll32.exe C:\\Windows\\infpub.dat,#1 15"

  infpub.dat主dll会创建计划任务“rhaegal”来启动discpci.exe实现磁盘加密,之后增加计划任务“drogon”重启系统(重启前会主动删除部分日志信息),并显示被勒索界面,最后创建感染线程,尝试感染本地局域网其它主机。

  加密方式:

  利用Windows Crypto API对受害者主机文件进行加密。

https://blog.malwarebytes.com/wp-content/uploads/2017/10/encrypting_files.png

  AES的密钥由密码安全函数CryptGenRand生成,这个密钥和程序内部硬编码的公钥一起传递给加密函数,用来对文件进行加密(这样只能通过攻击者的私钥对加密文件进行解密)。

https://blog.malwarebytes.com/wp-content/uploads/2017/10/pass_generated_key.png

  使用IOCTL code 0x220060调用带有合法签名的cscc.dat来对磁盘进行加密:

https://blog.malwarebytes.com/wp-content/uploads/2017/10/sent_to_dcrypt.png

  以下类型文件和主导分区将被加密:

  .3ds.7z.accdb.ai.asm.asp.aspx.avhd.back.bak.bmp.brw.c.cab.cc.cer.cfg.conf.cpp.crt.cs.ctl.cxx.dbf.der.dib.disk.djvu.doc.docx.dwg.eml.fdb.gz.h.hdd.hpp.hxx.iso.java.jfif.jpe.jpeg.jpg.js.kdbx.key.mail.mdb.msg.nrg.odc.odf.odg.odi.odm.odp.ods.odt.ora.ost.ova.ovf.p12.p7b.p7c.pdf.pem.pfx.php.pmf.png.ppt.pptx.ps1.pst.pvi.py.pyc.pyw.qcow.qcow2.rar.rb.rtf.scm.sln.sql.tar.tib.tif.tiff.vb.vbox.vbs.vcb.vdi.vfd.vhd.vhdx.vmc.vmdk.vmsd.vmtm.vmx.vsdx.vsv.work.xls.xlsx.xml.xvd.zip

  内网传播方式:

  1. 通过CredEnumerateW函数获取用户凭据和使用mimikatz工具获取用户名密码,并通过wmic和psexec远程执行来进行传播。

https://blog.malwarebytes.com/wp-content/uploads/2017/10/wmic.png

  2. 通过程序内部硬编码的弱口令表进行暴力猜解NTLM登录凭据。

https://blog.malwarebytes.com/wp-content/uploads/2017/10/usernames_passwords.png

  参考

  1. https://blog.malwarebytes.com/threat-analysis/2017/10/badrabbit-closer-look-new-version-petyanotpetya/

  2. https://securelist.com/bad-rabbit-ransomware/82851/

  3. https://www.virustotal.com/en/domain/1dnscontrol.com/information/

  点击阅读原文,申请使用安全体检等服务

  (链接:http://www.huaweicloud.com/product/sas.html)

请关注天极网天极新媒体 最酷科技资讯
扫码赢大奖
评论
* 网友发言均非本站立场,本站不在评论栏推荐任何网店、经销商,谨防上当受骗!
办公软件IT新闻整机