ИТ-портал компании «Инфосистемы Джет»

Атака Bad Rabbit

Атака Bad Rabbit

24.10.2017 началась новая эпидемия вируса-шифровальщика Bad Rabbit. Ее жертвами стали более сотни компаний, большей частью в России, а также Киевский метрополитен, Одесский морской порт и ряд компаний в других странах.

Bad Rabbit является развитием вредоноса Petya/NotPetya, ставшего виновником эпидемии, разразившейся в июне.

После шифрования данных на диске вредонос требует за разблокировку 0,05 биткоина (около 17 тыс. руб.). Достоверных данных о том, что после выплаты выкупа расшифрование действительно происходит, пока нет.

Распространение

Злоумышленники взломали сайты нескольких СМИ и популярные ресурсы в интернете и разместили на них вредоносный контент. Система передавала на сервер злоумышленников информацию о посетителях. Попытка заражения производилась не для всех посетителей, а выборочно – это заставляет подозревать, что атака носит направленный характер.

Пользователю предлагалось загрузить обновление Flash Player, под которое маскировался вредонос.

Вполне вероятно, что имелись и другие пути первичного заражения, о которых пока нет информации.

В сети компании вредонос распространяется путем копирования себя на сетевые шары со следующими именами (по данным компании ESET):

admin
atsvc
browser
eventlog
lsarpc
netlogon
ntsvcs
spoolss
samr
srvsvc
scerpc
svcctl
wkssvc

На локальной машине вредонос запускает популярную хакерскую утилиту mimikatz, которая позволяет собрать данные по учетным записям, которые могут быть использованы при дальнейшем заражении. Для использования mimikatz чаще всего необходимы права локального администратора. Вредонос подбирает учетную запись локального администратора по ограниченному словарю вариантов (по данным компании ESET):

Наличие паролей love, secret, god и sex очевидно является отсылкой к культовому фильму «Хакеры» 1995 года: https://www.youtube.com/watch?v=0Jx8Eay5fWQ. Эти пароли не входят в число наиболее популярных, в отличие от остальных паролей словаря.

Эксплойт EternalBlue, в отличие от NotPetya и WannaCry, в данном вредоносе не применяется.

Защита

Для защиты от конкретной эпидемии:

  1. обновить антивирусные базы на всех узлах
  2. можно создать файл C:\windows\infpub.dat и установить на него доступ только на чтение – это вызывает сбой в установке вредоноса
  3. блокировать URL, с которых первоначально происходило заражение, уже не имеет смысла, так как на данный момент они не функционируют.

Хеши вредоносных файлов (SHA256):

Dropper:

  • 630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da

Payload:

  • 8ebc97e05c8e1073bda2efb6f4d00ad7e789260afa2c276f0c72740b838a0a93 C:\Windows\dispci.exe (diskcryptor client)
  • 682ADCB55FE4649F7B22505A54A9DBC454B4090FC2BB84AF7DB5B0908F3B7806 C:\Windows\cscc.dat (x32 diskcryptor drv)
  • 0b2f863f4119dc88a22cc97c0a136c88a0127cb026751303b045f7322a8972f6 C:\Windows\cscc.dat (x64 diskcryptor drv)
  • 579FD8A0385482FB4C789561A30B09F25671E86422F40EF5CCA2036B28F99648 C:\Windows\infpub.dat
  • 2f8c54f9fa8e47596a3beff0031f85360e56840c77f71c6a573ace6f46412035 (mimikatz-like x86)
  • 301b905eb98d8d6bb559c04bbda26628a942b2c4107c07a02e8f753bdcfe347c (mimikat-like x64)

Общие рекомендации

Наиболее опасный механизм, используемый вредоносом, – утилита mimikatz, которая очень хорошо зарекомендовала себя в процессе пентестов и хакерских взломов. Однако автоматизировано она применяется в рамках вредоносного ПО недавно и, судя по всему, в скором времени станет обязательным компонентом многих вирусов.

Утилита mimikatz имеет множество функций, противодействие которым зависит от специфики конкретных ИТ-инфраструктур. Но есть и универсальные советы.

  1. Mimikatz использует для доступа к данным учетных записей режим debug, который по умолчанию включен для администраторских учетных записей. В 99,9% случаев пользователям это не нужно, но с 1999 года данная настройка включена по умолчанию на радость взломщикам. Отключить ее можно через групповые политики Windows, что никак не повлияет на обычную работу локальных и доменных администраторов.
  2. Mimikatz извлекает данные учетных записей из памяти системы, где они какое-то время хранятся даже после выхода пользователя. Поэтому наиболее желанными целями атаки оказываются терминальные серверы, где может храниться большое количество таких данных.
    Время хранения данных следует сократить, изменив параметр «HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\TokenLeakDetectDelaySecs». Это затруднит работу злоумышленникам. Microsoft рекомендует значение в 30 секунд. Для Win 8.1 и Win 10 такая настройка не требуется.

Также всегда актуальными остаются рекомендации по выстраиванию процессов оперативного обновления систем, сегментации сети, минимизации прав пользователей, контроля выполнения парольных политик, управления уязвимостями с использованием специализированных сканеров и применения систем класса «песочница» для поиска неизвестных ранее вредоносов (неизвестные шифровальщики детектируются абсолютным большинством «песочниц»).

Вернуться к архиву
О журнале

Журнал Jet Info регулярно издается с 1995 года.

Узнать больше »
Подписаться на Jet Info

Хотите узнавать о новых номерах.

Заполните форму »
Контакты

Тел: +7 (495) 411-76-01
Email: