<ins id="b1j5h"><span id="b1j5h"><var id="b1j5h"></var></span></ins>
<var id="b1j5h"><strike id="b1j5h"></strike></var>
<var id="b1j5h"></var>
<var id="b1j5h"></var><cite id="b1j5h"><video id="b1j5h"></video></cite>
<progress id="b1j5h"></progress><cite id="b1j5h"></cite>
<var id="b1j5h"><strike id="b1j5h"><menuitem id="b1j5h"></menuitem></strike></var>
<cite id="b1j5h"></cite>
<cite id="b1j5h"></cite>
<cite id="b1j5h"></cite>
<var id="b1j5h"></var>
<var id="b1j5h"><video id="b1j5h"></video></var>
<var id="b1j5h"></var>
<var id="b1j5h"></var>
<var id="b1j5h"></var><cite id="b1j5h"><video id="b1j5h"><menuitem id="b1j5h"></menuitem></video></cite>
當前位置: 學院首頁 > 新聞中心 > 專題 > 正文
站內搜索:
安全威脅預警-“Bad Rabbit 壞兔子”勒索病毒事件報告
2018-09-17 10:19     (點擊: )

1、事件描述   

 

 

2017年10月24日,網上出現了一個被命名為“Bad Rabbit”(中文譯名:壞兔子)的勒索病毒,俄羅斯、烏克蘭、土耳其、德國等歐洲國均受到影響,目前已經開始向美國擴散。   

 

該勒索病毒將受害電腦的文件加密,讓電腦無法使用,從而要求支付贖金,“壞兔子”勒索病毒要求支付0.05比特幣(合275美元)。經過研究人員深入分析,雖然“壞兔子”擁有部分與Petya勒索病毒相同的代碼,但是最新的這波攻擊不大可能造成Petya那種程度的全球性破壞。但是由于“壞兔子”勒索病毒通過共享和弱密碼在內網擴散,因此對企業危害較大。   

 

2、事件影響
 

l通過偽裝成大眾熟悉的正常程序(AdobeFlash Player),人為點擊運行,如果同局域網還無人中招,基本不會有影響;   

 

l病毒通過局域網共享協議傳播(通過IPC$、ADMIN$連接),如果同局域網已有人中招,并且開啟了共享服務,可能會擴散;   

 

l通過讀取已經中招電腦的當前用戶密碼和內置的弱口令列表傳播,如果同局域網已有人中招,并且大家密碼相同或是在列表中的弱密碼,會有傳播影響;   

 

l“壞兔子”勒索病毒暫未發現通過系統漏洞傳播,因此它反而可以覆蓋所有的Windows系統,而不限于只存在漏洞的系統。   

 

3、事件分析
 

“壞兔子”勒索病毒通過水坑攻擊傳播,攻擊者先在特定網站上注入包含URL的腳本文件,誘騙用戶下載虛假的Flash安裝程序“install_flash_player.exe”。嵌入的URL最終解析為:hxxp://1dnscontrol.com/flash_install,目前為止該鏈接已經不可訪問。   

 


 

一旦虛假的安裝包被點擊,其會生成加密文件infpub.dat和解密文件dispci.exe。“壞兔子”通過三步驟來完成其勒索流程,其對應的三個文件名均來源于美劇《權利的游戲》。   

 

lrhaegal.job --- 負責執行解密文件;   

 

ldrogon.job --- 負責關閉受害者電腦。然后勒索病毒加密系統中的文件,顯示如下勒索信息:   

 


 

lviserion_23.job --- 負責重啟受害者電腦,重啟后屏幕被鎖定,顯示如下信息:   

 


 

“壞兔子”可以在內網中擴散傳播,其使用WindowsManagementInstrumentation(WMI)和服務控制遠程協議,在網絡中生成并執行自身拷貝文件。在使用服務控制遠程協議時,“BadRabbit”采用字典攻擊方法獲取登陸憑證。   

 

經過深入分析,我們還發現“壞兔子”使用開源工具Mimikatz獲取憑證,其也會使用合法磁盤加密工具DiskCryptor加密受害者系統。   

 

4、加固建議
 

網絡側應急解決方案
 

Ø在邊界防火墻上調整訪問控制策略,禁止外網對內網135/137/139/445端口的連接;   

 

Ø在內網核心主干交換路由設備禁止135/137/139/445端口(會影響相關端口的服務)的連接;   

 

Ø更新IDS入侵檢測系統事件庫,加強對該事件的監測。   

 

終端側應急解決方案
 

Ø及時更新殺毒軟件病毒庫,以便能檢測到該勒索病毒;   

 

Ø由于“BadRabbit”采用字典攻擊方法獲取登陸憑證,因此局域網開共享的電腦請使用比較復雜的密碼,如果跟勒索病毒自帶列表中的密碼請及時修改(參見“附錄:賬號字典和弱口令列表”);   

 

Ø建議安裝正版可信來源的AdobeFlash Player;   

 

Ø“BadRabbit”利用了與“Petya”勒索病毒相似的組件進行傳播,由于黑客在“Petya”勒索病毒及其變種中,使用了與“WannaCry”相同的攻擊方式,都是利用MS17-010(“永恒之藍”)漏洞傳播,因此建議信息中心進一步確認ms17-010補丁程序的修復情況;   

 

Ø做好重要文件的備份工作(非本地備份);   

 

Ø開啟系統防火墻,阻止向445端口進行連接(該操作會影響使用445端口的服務);   

 

Ø關注是否存在病毒在系統目錄下(通常是C:\Windows目錄)生成多個的文件(infpub.dat、dispci.exe、cscc.dat),請列入進程黑名單,阻止其自動運行。   

 

Ø關閉系統WMI服務器,或在手動在“控制面板-管理工具-服務”關閉該服務;   

 


 

已經感染設備應急解決方案
 

Ø斷開網絡連接,組織進一步擴散;   

 

Ø已經感染終端,根據終端數據類型決定處置方式,如果重新安裝系統則建議完全格式化硬盤、使用新操作系統、完善操作系統補丁、通過檢查確認無相關漏洞后再恢復網絡連接。   

 

5、總結
 

目前“BadRabbit 壞兔子”勒索病毒病毒樣本已公開,新的變種隨時都可能出現,請養成備份好重要文件的習慣。   

 

同時由于利用滲透技巧傳播的勒索病毒越來越多,強烈建議數據中心逐步完善內網安全防護策略,啟明星辰將持續關注該病毒發展態勢,跟蹤相關病毒細節。   

 

6、附錄:賬號字典和弱口令列表   

“BadRabbit 壞兔子”在內網傳播中通過猜測以下列表的用戶名來登錄:   

 

Administrator、Admin、Guest、User、User1、user-1 、Test、root、buh、boss、ftp、rdp、rdpuser、rdpadmin、manager、support、work、other user、operator、backup、asus、ftpuser、ftpadmin、nas、nasuser、nasadmin、superuser、netguest、alex   

 

“BadRabbit 壞兔子”在內網傳播中通過猜測以下列表的弱口令來登錄:   

 

Administrator、administrator、Guest、guest、User、user、Admin、adminTest、test、root、123、1234、12345、123456、1234567、12345678、123456789、1234567890、Administrator123、administrator123、Guest123、guest123、User123、user123、Admin123、admin123Test123、test123、password、111111、55555、77777、777、qwe、qwe123、qwe321、qwer、qwert、qwerty、qwerty123、zxc、zxc123、zxc321、zxcv、uiop、123321、321、love、secret、sex、 god
 

上一條:關于防范勒索病毒的方法
下一條:Petya(“必加”)勒索病毒防范措施
關閉窗口
工業和信息化部備案登記號:蜀ICP備05003421號    川公網安備 51150202000048號     事業單位標識
版權所有:宜賓職業技術學院   地址:四川省宜賓市翠屏區新村74號    招生咨詢電話:0831-8275466、8274690、8274290
今日訪問:
總訪問量:
666彩票