新型恶意软件“bad rabbit”闪击东欧-k8凯发天生赢家

近日，一种新型的恶意软件“bad rabbit”在东欧国家引起了一阵不小的骚乱，很多政府和商业机构都受到了冲击。撰写本文时，“bad rabbit”已经蔓延到了俄罗斯，乌克兰，保加利亚和土耳其。已经确认的受害者有：乌克兰的敖德萨机场，基辅的地铁系统和基础设施部门；俄罗斯的两个新闻机构，interfax 和 fontanka。乌克兰的 cert 团队已经对国内企业发出警报，提醒他们注意此次事件。

此次 bad rabbit 的蔓延速度和今年五六月份爆发的 wannacry 和 notpetya 相近。

bad rabbit 通过虚假 flash 更新进行传播

eset和proofpoint的研究人员表示，bad rabbit 最初是通过虚假 flash 更新传播，但它也可通过网络内部横向蔓延，这也解释了它为什么能在短时间内横跨多个机构。

卡巴斯基发布的一份报告谈到，公司的遥测数据显示：“ bad rabbit 是通过网站诱导（drive-by attack）传播的，受害者会从合法的新闻网站重定向到伪造的 flash 更新下载站点。”

根据 eset，emsisoft和fox-it 的分析，bad rabbit 使用 mimikatz 从本地计算机内存中提取凭证和硬编码凭证列表，它使用 smb 和 webdav 访问同一网络上的工作站和 webdav [1, 2, 3]。

bad rabbit 还是一种磁盘编码器，和 petya 和 notpetya 类似。 bad rabbit 首先加密用户计算机上的文件，然后替换掉 mbr（主引导记录）。

完成以上任务之后，它会重启用户的电脑，而此时，用户电脑的 mbr 也被写入了勒索提示信息。这些信息和今年 6 月出现的 notpetya 类似。尽管如此，在代码结构上来说，相似度并不是很高，intezer 表示二者只有13%的代码复用。

勒索提示信息上显示，受害者需要使用 tor 浏览器访问特定站点，支付赎金 0.05比特币（约280美元）。受害者需在 40 小时内支付赎金，否则金额还会上涨。

仔细研究之后发现，bad rabbit 可能基于 diskcryptor，它是一个开源的磁盘加密程序，和 hddcryptor 类似。（今年早些时候，它攻击了旧金山的运输服务）

bad rabbit 的源码中还包含了很多《权力的游戏》中的角色名，如 grayworm。此外，该勒索软件设定的三个任务名就叫 drogon, rhaegal, 和 viserion，这是《权力的游戏》中三条龙的名字。

《权力的游戏》已经不是第一次出现在勒索软件中了，比如上次的加密勒索软件中就看到了它的身影。

drogon scheduled task

bad rabbit 的技术信息

完整的技术分析还没出来，以下是我们掌握的相关信息。

正如上文所提到的，bad rabbit 这次是将目标对准了俄罗斯和东欧国家，通过虚假 flash 更新站点诱导受害者下载勒索软件。当用户点击这些文本时，install_flash_player.exe 会自动下载。

当执行完这个程序之后，它会生成一个文件 c:\windows\infpub.dat，并使用命令行执行 c:\windows\system32\rundll32.exe c:\windows\infpub.dat, #1 15。

infpub.dat executed via rundll32.exe

一旦执行之后，infpub.dat 会创建文件 c:\windows\cscc.dat 和 c:\windows\dispci.exe。cscc.dat 就是diskcryptor 中 dcrypt.sys换个名字而已，然后 infpub.dat 会创建一个 windows 服务—— windows client side caching ddriver，用来执行 cscc.dat driver。

当电脑中出现用户记录时，infpub.dat 还会创建一个 task 来执行 dispci.exe，名为 rhaegal，也是《权力的游戏》里面的角色。这个 exe 会执行命令： “c:\windows\dispci.exe” -id [id] && exit。

cscc.dat driver 和 dispci.exe 用来加密硬盘和修改 mbr，在受害者打开电脑的时候，就可以看到勒索提示信息了。

bad rabbit boot lock screen

infpub.dat 当然还有别的功能，安装完 diskcryptor 组件之后，它还会对受害人文件在用户态上进行一次加密。似乎使用的是 aes 加密。

加密文件的 aes key 会用内嵌的 rsa-2048 公钥加密。现在还不知道最终的加密 key 在哪，但很可能是在被加密的文件中。

bad rabbit 加密文件时和别的勒索软件不同，它不会在加密文件后面加入新的扩展名。但它会在每个文件末尾插入加密后的标记字符串。

encrypted file marker

最后，infpub.dat 还可以将 bad rabbit 通过 smb 传播到其他电脑中。它通过 smb 访问网络共享来窃取受害者电脑中的凭证和用户名密码。如果可以访问远程网络共享，它还会马上将自己复制，并在其他电脑上运行勒索软件。

这是 smb 流量情况：

smb traffic

最后，bad rabbit 还会创建两个新 task 来重启计算机。这些 task也是用《权力的游戏》中的角色命名的——drogon 和 viserion。这些 task 用于关闭并重启计算机，这样就可以在用户登录时执行其他程序，或是 windows 启动之前锁定屏幕。

如何防范 bad rabbit：

建议用户关闭 wmi 服务，这样勒索软件就不会传播到你的网络上。

大多数的恶意软件都是通过钓鱼邮件，网站，app，第三方平台上的恶意广告传播的。所以，对那些来历不明的文件和网站，还是要格外小心。

而且，永远都不要从第三方平台下载 app，在官方平台下载时也要先阅读下面的评价。

对数据也要十分警惕，随时保持备份到存储设备上。

安装有效的杀毒软件，并时常更新。