PetyaNotPetya改头换面,坏兔子粉墨登场.PDFVIP

Petya/NotPetya 改头换面，“坏兔子”粉墨登场 今年 6 月，Petya/NotPetya （又称EternalPetya ）对全球用户发起了大规模攻 击，成为新闻头条事件。今天，我们注意到出现了一款名为“坏兔子”（BadRabbit ） 的类似恶意软件，疑为同一作者开发。与之前版本相同的是，“坏兔子”有一个允 许横向移动的感染器，利用硬编码用户名和密码通过SMB 横向传播。不过，与 NotPetya 不同的是，它并未使用“永恒之蓝” （EternalBlue ），但传播范围更广， 受影响国家包括乌克兰、俄罗斯、土耳其和保加利亚。 Petya/NotPetya 和“坏兔子”另一个关键区别是起始向量不同 （网站释放虚假 Flash 更新）。此外，“坏兔子”中的部分组件被替换。该恶意软件包颇为复杂，未 来我们可能撰写更多文章介绍其全部特性。这里我们先初步了解一下该软件。 样本分析  fbbdc39af1139aebba4da004475e8839 – 木马释放器 （最初被释放的样本） o 1d724f95c61f1055f0d02c2154bbccd3 – infpub.dat – 主要的DLL  b4e6d97dafd9224ed9a547d52c26ce02 – cscc.dat – 用于磁盘 加密的合法驱动 （diskcryptor.net ）  b14d8faf7f0cbcfad051cefe5f39645f – dispci.exe – 安 装 bootlocker ，与驱动通信 行为分析 木马释放器是伪装为Flash 更新的可执行文件。恶意软件必须以管理员权限 运行，但并未部署 UAC 绕过技术，仅依赖社会工程诱使用户提权。一旦运行， 恶意软件会释放并部署主模块至C:\Windows 目录下。这次它被命名为infpub.dat （这就看出与NotPetya 的相似之处了，NotPetya 的DLL 名称是perfc.dat ）： 该模块由参数调用的rundll32.exe 运行： C:\\Windows\\system32\\rundll32.exe C:\\Windows\\infpub.dat,#1 15 注意，恶意软件扫描局域网中的计算机： 我们估计，被扫描机器的信息是用于横向移动的。 恶意软件还在Windows 目录中释放了其他组件：cscc.dat 和dispci.exe 。 恶意软件将具有指定扩展名的文件用相同密钥 （相同明文对应相同密文）加 密。 下图展示了“坏兔子”加密前后的BMP 文件样本： 并未改变文件扩展名，在文件末尾加入了表示文件已加密的标记—一段 Unicode 文本：“%encrypted”： 勒索信息如下所示。与之前一样，是TXT 格式，文件名为Readme.txt ： 与NotPetya 如出一辙的是，“坏兔子”在系统重启中新增了一个调度任务： 攻击完成后，系统重启，弹出bootlocker 屏幕： 显然，该屏幕与Petya/NotPetya 展示的屏幕颇为相似： 不过，这次没有Petya 各版本中都会提供的虚假CHKDSK 。 根据勒索信息，我们发现受害者要恢复文件须获得两个加密密钥，首先是 bootlocker 密钥，完成第一阶段解锁后，再用第二个密钥解锁文件。 受害者专用网站 上一次，恶意软件作者试图使用单一邮件账号与受害者联系。显然这不可靠， 很快，他们就无法访问账号了。这一次，与多数勒索软件作者一样，他们制作了 基于Tor 的网页。此外，他们花了更多的功夫在用户体验上，使网站具有视觉效 果，包括由彩色动画文本慢慢浮现勒索信息： 受害者从勒索信息中复制密钥并粘贴后，软件会向他们提供不同的比特币地 址： 页面上还提供了反馈问题的文本框。 内部探秘 该恶意软件有多个组件。首先在PE 文件内运行，这个文件负责释放、安装 其他组件。 第一个组件infpub.dat 与NotPetya 攻击中的perfc.dat 类似。这次，DLL 提供 两个功能： 木马释放器首先部署序号1之处的功能。 这个 DLL 包含了一个感染器，用以向局域网中的其他机器传播恶意软件