【51CTO.com快譯】本文是我們將在未來幾天之后發(fā)布的一份完整報(bào)告的開端，但是我們相信整個(gè)安全社區(qū)將會受益于我們的研究結(jié)果。

壞兔子勒索軟件繼承了臭名昭著的NotPetya的兩個(gè)主要特點(diǎn)：

• 在系統(tǒng)重新啟動之后，彈出特定的勒索提示(如圖1所示)。
• 依賴于SMB協(xié)議，具有橫向傳播的擴(kuò)散能力。

圖1：系統(tǒng)重新啟動之后彈出的勒索提示

通過將NotPetya與壞兔子相比較，我們發(fā)現(xiàn)后者在攻擊行為上更為復(fù)雜。Vxers(譯者注：Virus eXchanger 的簡稱，是一群追求極致代碼的病毒程序員。)極有可能重用了NotPetya的一些代碼段，并增加了代碼本身的復(fù)雜性。與此同時(shí)，它通過修復(fù)編碼中的錯(cuò)誤，將NotPetya從一款勒索軟件轉(zhuǎn)變成了擦除軟件。壞兔子使用開源庫—DiskCryptor來加密用戶的各種文件。

該勒索軟件是通過“順路下載攻擊”的方式進(jìn)行傳播的。攻擊者已經(jīng)感染了俄羅斯，保加利亞和土耳其的許多網(wǎng)站。壞兔子的黑客們在受感染的網(wǎng)站上部署JavaScript，將各個(gè)來訪者重定向到1dnscontrol.com那里。我們在做分析的時(shí)候，該寄宿著惡意代碼文件的站點(diǎn)已經(jīng)不可到達(dá)了。而這個(gè)腳本是通過向靜態(tài)IP地址--185.149.120.3發(fā)送POST請求來下載該勒索軟件的。

從表面上看，該勒索軟件貌似一個(gè)Adobe的Flash更新，但實(shí)際上它是一個(gè)包含了一些載荷的滴管式釋放軟件(dropper,譯者注：就是一個(gè)能夠釋放出包含了多種惡意軟件的程序)。

當(dāng)該釋放軟件自我執(zhí)行的時(shí)候，它首先檢查文件“C:\WINDOWS\cscc.dat”是否存在。該文件實(shí)際上是在惡意軟件對用戶文件進(jìn)行了加密之后，所生成的一個(gè)庫文件。該文件的存在性可以被勒索軟件解讀為此處是否已被攻擊的一項(xiàng)指標(biāo)。也就是說，如果存在就意味著主機(jī)已經(jīng)被感染，那么攻擊鏈也就籍此被暫停不必繼續(xù)了。因此我們可以得出這樣的結(jié)論：文件cscc.dat就是該惡意軟件的某種破壞執(zhí)行開關(guān)(killswitch)。

當(dāng)感染已完成且準(zhǔn)備就緒的時(shí)候，滴管式釋放軟件就開始提取如下幾個(gè)文件：

• “C:\Windows\infpub.dat”
• “C:\Windows\cscc.dat”
• “C:\Windows\dispci.exe”
• “C:\Windows\EC95.tmp”

其中“infpub.dat”可以被視為惡意軟件的“控制器”，它操控勒索軟件的每一種行為。一旦“infpub.dat”被加載到了內(nèi)存中，它就會將自己從硬盤上刪除，而僅存在于內(nèi)存之中。

圖2：“infpub.dat”的一些行為

圖2展示出了“infpub.dat”進(jìn)程所執(zhí)行的若干操作，其中包括重新啟動計(jì)算機(jī)和在系統(tǒng)啟動的時(shí)候運(yùn)行可執(zhí)行文件“dispci.exe”。

圖3：定時(shí)重啟

為了能在相同子網(wǎng)段的其他計(jì)算機(jī)上運(yùn)行，“infpub.dat”也會按計(jì)劃使用特定的SMB工具在網(wǎng)絡(luò)里進(jìn)行傳播。它通過使用“Mimikatz”工具的改進(jìn)版，在受害主機(jī)上獲取存儲的密碼，并使用它們來獲取訪問其他主機(jī)的權(quán)限。

該惡意軟件在掃描目標(biāo)網(wǎng)絡(luò)上是否存在開啟的SMB共享的同時(shí)，會試圖使用經(jīng)過硬編碼的密碼清單去訪問各個(gè)主機(jī)。相應(yīng)的惡意代碼會被釋放到成功訪問到的主機(jī)上，而該惡意軟件進(jìn)而使用Mimikatz工具在目標(biāo)主機(jī)上提取更多的密碼。

NotPetya和壞兔子的另一個(gè)區(qū)別是：后者會利用它自己密碼本上的單詞列表，強(qiáng)制且暴力地在全網(wǎng)段執(zhí)行和傳播。

在定時(shí)重啟之后，預(yù)設(shè)好的“dispci.exe”進(jìn)程會用它自己的版本去覆蓋原始的MBR。

圖5展示了我們所觀察到的惡意軟件的行為流程：

圖5：壞兔子的控制流

有關(guān)壞兔子勒索軟件的進(jìn)一步思考

相對于Petya和NotPetya所實(shí)現(xiàn)的兩級攻擊而言，壞兔子有著三個(gè)階段。

壞兔子的攻擊向量比Petya和NotPetya的要更具破壞力。黑客通過部署惡意的JavaScript，能夠一次性破壞幾十個(gè)網(wǎng)站。當(dāng)前這些被感染的網(wǎng)站大多屬于餐飲、酒店和“房屋出租”服務(wù)業(yè)。

誰是幕后黑手呢?他們真正的攻擊目的又是什么呢?

在當(dāng)前階段，我們尚無法通過其屬性來判定此類攻擊的威脅源角色。比較有趣且值得注意的是：該惡意軟件并未明確地實(shí)施擦除行為，這暗示著攻擊者還是以經(jīng)濟(jì)牟利為動機(jī)和目的。但是它被用作進(jìn)行支付的暗網(wǎng)(.onion website)卻又不可用，這就意味著受害者是無法通過支付贖金來解密文件的。

當(dāng)然，我們只能推斷此類行為可能是攻擊者用來隱藏其真實(shí)目的的一種戰(zhàn)術(shù)，是一種刻意的行為。

我們會盡快發(fā)布相關(guān)的完整報(bào)告，敬請關(guān)注。

Pierluigi Paganini，首席惡意軟件科學(xué)家、CSE CybSec Enterprise spa的高級威脅研究員。他持有來自于美國系統(tǒng)網(wǎng)絡(luò)安全協(xié)會(SANS)、歐洲委員會和國土安全部的10多張信息安全的國際認(rèn)證證書。他的經(jīng)驗(yàn)涉及傳統(tǒng)計(jì)算機(jī)安全的各個(gè)領(lǐng)域，他所從事過的項(xiàng)目包括GSM安全、關(guān)鍵基礎(chǔ)設(shè)施安全、區(qū)塊鏈惡意軟件，惡意軟件編制與逃逸。

原文標(biāo)題：CSE Malware ZLab – Preliminary analysis of Bad Rabbit attack，作者：Pierluigi Paganini

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】