Поряд з розсилкою 24.10.2017 року шифрувальника файлів Locky, який розповсюджувався через фішингові повідомлення та використовував техніку DDE, спостерігалася більш масова розсилка шифрувальника файлів Bad Rabbit через скомпрометовані веб-сайти завдяки drive-by download атаці. Дана атака дозволяла зловмисникам розповсюджувати шкідливе програмне забезпечення через веб-сайти, навіть не зламуючи їх.
CERT-UA було проаналізовано зазначену атаку:
Коротко про події 24.10.2017:
— початкове зараження відбулося через скомпрометовані веб-сайти та фейкове оновлення Flash Player, яке для активації та подальшої експлуатації потребувало взаємодію з користувачем (користувач мав підтвердити згоду щодо встановлення оновлення);
— розповсюдження у локальній мережі відбувалося через сканування внутрішньої мережі на відкритість SMB-файлів відкритого доступу, а також намаганням використати протокол HTTP WebDAV, який базується на HTTP і дозволяє використовувати Web як ресурс для читання і запису;
— використовувався Mimikatz для вилучення облікових даних користувача з пам’яті інфікованого ПК;
— використовувалося легітимне програмне забезпечення DiskCryptor для шифрування файлів;
— типи розширень файлів, які були зашифровані на ПК користувача:
.3ds.7z.accdb.ai.asm.asp.aspx.avhd.back.bak.bmp.brw.c.cab.cc.cer.cfg.conf.cpp.crt.cs.ctl.cxx.dbf.der.dib.disk.djvu.doc.docx.dwg.eml.fdb
.gz.h.hdd.hpp.hxx.iso.java.jfif.jpe.jpeg.jpg.js.kdbx.key.mail.mdb.msg.nrg.odc.odf.odg.odi.odm.odp.ods.odt.ora.ost.ova.ovf.p12.p7b.p7c
.pdf.pem.pfx.php.pmf.png.ppt.pptx.ps1.pst.pvi.py.pyc.pyw.qcow.qcow2.rar.rb.rtf.scm.sln.sql.tar.tib.tif.tiff.vb.vbox.vbs.vcb.vdi.vfd.vhd
.vhdx.vmc.vmdk.vmsd.vmtm.vmx.vsdx.vsv.work.xls.xlsx.xml.xvd.zip.
Більш детальні відомості щодо атаки були опубліковані антивірусними лабораторіями та іншими відомими вендорами в галузі кібербезпеки:
https://www.welivesecurity.com/2017/10/24/bad-rabbit-not-petya-back-improved-ransomware/ https://securelist.com/bad-rabbit-ransomware/82851/ https://www.theregister.co.uk/2017/10/24/badrabbit_ransomware/ https://gist.github.com/roycewilliams/a723aaf8a6ac3ba4f817847610935cfb http://blog.talosintelligence.com/2017/10/bad-rabbit.html?m=1
Індикатори компрометації:
url:
- hxxp://185.149.120[.]3/scholargoogle/
- hxxp://1dnscontrol[.]com/flash_install.php
- hxxp://caforssztxqzf2nm[.]onion
Dropper:
630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da
Payload:
8ebc97e05c8e1073bda2efb6f4d00ad7e789260afa2c276f0c72740b838a0a93
C:\Windows\dispci.exe (diskcryptor client)
682ADCB55FE4649F7B22505A54A9DBC454B4090FC2BB84AF7DB5B0908F3B7806
C:\Windows\cscc.dat (x32 diskcryptor drv)
0b2f863f4119dc88a22cc97c0a136c88a0127cb026751303b045f7322a8972f6
C:\Windows\cscc.dat (x64 diskcryptor drv)
579FD8A0385482FB4C789561A30B09F25671E86422F40EF5CCA2036B28F99648
C:\Windows\infpub.dat
2f8c54f9fa8e47596a3beff0031f85360e56840c77f71c6a573ace6f46412035
(mimikatz-like x86)
301b905eb98d8d6bb559c04bbda26628a942b2c4107c07a02e8f753bdcfe347c
(mimikat-like x64)
Scheduled Tasks names:
в Taskschd.msc пошукати та видалити такі задачі
- viserion_
- rhaegal
- drogon
Автор публікації
