Шифрувальник файлів Bad Rabbit та фейкове оновлення Flash Player

25/10/2017

(Оновлюється)        

 

Поряд з розсилкою 24.10.2017 року шифрувальника файлів Locky, який розповсюджувався через фішингові повідомлення та використовував техніку DDE, спостерігалася більш масова розсилка шифрувальника файлів Bad Rabbit через скомпрометовані веб-сайти завдяки drive-by download атаці. Дана атака дозволяла зловмисникам розповсюджувати шкідливе програмне забезпечення через веб-сайти, навіть не зламуючи їх. 

 

CERT-UA було проаналізовано зазначену атаку:

        Коротко про вчорашні події:

— початкове зараження відбулося через скомпрометовані веб-сайти та фейкове оновлення Flash Player, яке для активації та подальшої експлуатації потребувало взаємодію з користувачем (користувач мав підтвердити згоду щодо встановлення оновлення);
— розповсюдження у локальній мережі відбувалося через сканування  внутрішньої мережі на відкритіcть SMB-файлів відкритого доступу, а також намаганням використати протокол HTTP WebDAV, який базується на HTTP і дозволяє використовувати Web як ресурс для читання і запису;
— використовувався Mimikatz для вилучення облікових даних користувача з пам’яті інфікованого ПК;
— використовувалося легітимне програмне забезпечення DiskCryptor для шифрування файлів;
— типи розширень файлів, які були зашифровані на ПК користувача:

.3ds.7z.accdb.ai.asm.asp.aspx.avhd.back.bak.bmp.brw.c.cab.cc.cer.cfg.conf.cpp.crt.cs.ctl.cxx.dbf.der.dib.disk.djvu.doc.docx.dwg.eml.fdb
.gz.h.hdd.hpp.hxx.iso.java.jfif.jpe.jpeg.jpg.js.kdbx.key.mail.mdb.msg.nrg.odc.odf.odg.odi.odm.odp.ods.odt.ora.ost.ova.ovf.p12.p7b.p7c
.pdf.pem.pfx.php.pmf.png.ppt.pptx.ps1.pst.pvi.py.pyc.pyw.qcow.qcow2.rar.rb.rtf.scm.sln.sql.tar.tib.tif.tiff.vb.vbox.vbs.vcb.vdi.vfd.vhd
.vhdx.vmc.vmdk.vmsd.vmtm.vmx.vsdx.vsv.work.xls.xlsx.xml.xvd.zip.

 


Більш детальні відомості щодо атаки були опубліковані антивірусними лабораторіями та іншими відомими вендорами в галузі кібербезпеки:

 

https://www.welivesecurity.com/2017/10/24/bad-rabbit-not-petya-back-improved-ransomware/
https://securelist.com/bad-rabbit-ransomware/82851/
https://www.theregister.co.uk/2017/10/24/badrabbit_ransomware/
https://gist.github.com/roycewilliams/a723aaf8a6ac3ba4f817847610935cfb

http://blog.talosintelligence.com/2017/10/bad-rabbit.html?m=1

 

 

Індикатори компрометації:

url:

  • hxxp://185.149.120[.]3/scholargoogle/
  • hxxp://1dnscontrol[.]com/flash_install.php
  • hxxp://caforssztxqzf2nm[.]onion

 

 

Dropper:

630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da

https://www.virustotal.com/#/file/630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da/detection

 

Payload:

8ebc97e05c8e1073bda2efb6f4d00ad7e789260afa2c276f0c72740b838a0a93

C:\Windows\dispci.exe (diskcryptor client)

 

682ADCB55FE4649F7B22505A54A9DBC454B4090FC2BB84AF7DB5B0908F3B7806

C:\Windows\cscc.dat (x32 diskcryptor drv)

 

0b2f863f4119dc88a22cc97c0a136c88a0127cb026751303b045f7322a8972f6

C:\Windows\cscc.dat (x64 diskcryptor drv)

 

579FD8A0385482FB4C789561A30B09F25671E86422F40EF5CCA2036B28F99648

C:\Windows\infpub.dat

 

2f8c54f9fa8e47596a3beff0031f85360e56840c77f71c6a573ace6f46412035

(mimikatz-like x86)

 

301b905eb98d8d6bb559c04bbda26628a942b2c4107c07a02e8f753bdcfe347c

(mimikat-like x64)

 

Scheduled Tasks names:

в Taskschd.msc пошукати та видалити такі задачі

  • viserion_
  • rhaegal
  • drogon


Скомпрометовані сайти:

  • hxxp://argumentiru[.]com
  • hxxp://www.fontanka[.]ru
  • hxxp://grupovo[.]bg
  • hxxp://www.sinematurk[.]com
  • hxxp://www.aica.co[.]jp
  • hxxp://spbvoditel[.]ru
  • hxxp://argumenti[.]ru
  • hxxp://www.mediaport[.]ua
  • hxxp://blog.fontanka[.]ru
  • hxxp://an-crimea[.]ru
  • hxxp://www.t.ks[.]ua
  • hxxp://most-dnepr[.]info
  • hxxp://osvitaportal.com[.]ua
  • hxxp://www.otbrana[.]com
  • hxxp://calendar.fontanka[.]ru
  • hxxp://www.grupovo[.]bg
  • hxxp://www.pensionhotel[.]cz
  • hxxp://www.online812[.]ru
  • hxxp://www.imer[.]ro
  • hxxp://novayagazeta.spb[.]ru
  • hxxp://i24.com[.]ua
  • hxxp://bg.pensionhotel[.]com
  • hxxp://ankerch-crimea[.]ru