Следующая новость Предыдущая новость
30 Октября 2017

Исследование шифровальщика Bad Rabbit

24 октября 2017 года нашими специалистами была зафиксирована атака шифровальщика Bad Rabbit. Среди жертв — известные медиа Интерфакс и Фонтанка, а также аэропорт г. Одессы.

Подробный анализ шифровальщика и кампании по его распространению, а также рекомендации, позволяющие предотвратить дальнейшее заражение, и индикаторы компрометации представлены в нашем отчете.

Ключевыми особенностями данной атаки являются:

  • заражение клиентов при посещении взломанных легитимных сайтов,
  • маскировка под обновление для ПО Adobe Flash Player,
  • использование mimikatz для извлечения паролей привилегированных учетных записей непосредственно из оперативной памяти зараженных систем,
  • распространение в локальной сети с помощью SMB+WMI, SMB+SCM,
  • использование уязвимости MS17-010 (eternalromance) для распространения в локальной сети,
  • надежное шифрование файлов и системного раздела,
  • использование DiskCryptor для шифрования,
  • корректная процедура расшифрования при наличии ключа.
Суммируя результаты нашего исследования, схему атаки Bad Rabbit можно представить так:

RabbitScheme.png

Рекомендации

Мы рекомендуем принять следующие меры, чтобы избежать заражения:
  • запретить с помощью политики безопасности домена запуск и создание файлов C:\Windows\infpub.dat и C:\Windows\cscc.dat;
  • создать пустые файлы C:\Windows\infpub.dat и C:\Windows\cscc.dat с правами «только для чтения»,
  • установить последние обновления безопасности для операционной системы.

Индикаторы компрометации

infpub.dat: 
MD5: 1d724f95c61f1055f0d02c2154bbccd3 
SHA-1: 79116fe99f2b421c52ef64097f0f39b815b20907 
SHA-256: 579fd8a0385482fb4c789561a30b09f25671e86422f40ef5cca2036b28f99648

dispci.exe:
MD5: b14d8faf7f0cbcfad051cefe5f39645f
SHA-1: afeee8b4acff87bc469a6f0364a81ae5d60a2add
SHA-256: 8ebc97e05c8e1073bda2efb6f4d00ad7e789260afa2c276f0c72740b838a0a93

 install_flash_player.exe:     
MD5: fbbdc39af1139aebba4da004475e8839
SHA-1: de5c8d858e6e41da715dca1c019df0bfb92d32c0
SHA-256: 630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da

cscc.dat: легальная утилита DiskCryptor (x86) 
MD5: b4e6d97dafd9224ed9a547d52c26ce02
SHA-1: 59cd4907a438b8300a467cee1c6fc31135757039
SHA-256: 682adcb55fe4649f7b22505a54a9dbc454b4090fc2bb84af7db5b0908f3b7806

cscc.dat: легальная утилита DiskCryptor (x64)   
MD5: edb72f4a46c39452d1a5414f7d26454a
SHA-1: 08f94684e83a27f2414f439975b7f8a6d61fc056
SHA-256: 0b2f863f4119dc88a22cc97c0a136c88a0127cb026751303b045f7322a8972f6

Модуль с функциональными возможностями Mimikatz (x86):
MD5: 37945c44a897aa42a66adcab68f560e0
SHA-1: 16605a4a29a101208457c47ebfde788487be788d
SHA-256: 2f8c54f9fa8e47596a3beff0031f85360e56840c77f71c6a573ace6f46412035

Модуль с функциональными возможностями Mimikatz (x64):
MD5: 347ac3b6b791054de3e5720a7144a977
SHA-1: 413eba3973a15c1a6429d9f170f3e8287f98c21c
SHA-256: 301b905eb98d8d6bb559c04bbda26628a942b2c4107c07a02e8f753bdcfe347c

URLs: 1dnscontrol[.]com

Подробные результаты исследования можно найти в нашем отчете.