记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

BadRabbit勒索蠕虫样本深入分析

2017-10-26 17:00

天融信.阿尔法实验室  李喆  李燕春

一、BadRabbit事件描述

1.1. 相关背景

Petya 勒索软件刚过去不久,又出现了新的一款勒索软件BadRabbit,因为其相似性很可能是同一作者, 跟Petya不同的是,它是利用对账号密码硬编码后进行smb暴力破解,并没有用到永恒之蓝漏洞。

另一点不同的是,他们初始化不同,伪装一个假的flash 更新包骗取用户下载,然后执行释放恶意程序。在详细介绍流程之前,先看看一些其他参数。

1.2. 样本md5列表

bad2

1.3. 其他情况介绍

b3

b4

二 BadRabbit 复现

2.1 主机重启后的提示:

b5 2.2 磁盘根目录下的文件提示(Readme.txt): b6

三、BadRabbit 逆向分析

b9

b10

b11

b12

b13

b14

b15

b16

b17

b18

b19

b20

b21

b22

b23

b24

四、BadRabbit 事件总结

4.1. 事件影响

这次的勒索软件爆发主要发生在东欧地区和俄罗斯,和往常一样是勒索比特币,但是不多只有0.05比特币。

4.2 影响版本

Windows xp,window 7 ,windows 10,windows 2003,windows 2008

4.3 传播途径

伪装成flash安装程序让用户下载运行,因为他是通过法国神器收集本地密码和弱密进行smb爆破,跟之前利用永恒之蓝有所不同。

4.4 修复方式

及时更新操作系统补丁。

关闭445等端口(其他关联端口如: 135、137、139)的外部网络访问权限,在服务器上关闭不必要的上述服务端口

加强对445等端口(其他关联端口如: 135、137、139)的内部网络区域访问审计,及时发现非授权行为或潜在的攻击行为

加强管理员工安全意识培训,外来邮件加白名单。

加强密码策略,不使用弱口令空密码

 禁用WMI服务

关闭(WMIC扩展WMI(Windows Management Instrumentation,Windows管理工具)执行命令

知识来源: blog.topsec.com.cn/ad_lab/badrabbit%e5%8b%92%e7%b4%a2%e8%a0%95%e8%99%ab%e6%a0%b7%e6%9c%ac%e6%b7%b1%e5%85%a5%e5%88%86%e6%9e%90/

阅读:175118 | 评论:0 | 标签:技术分享

想收藏或者和大家分享这篇好文章→复制链接地址

“BadRabbit勒索蠕虫样本深入分析”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云