华为云剑指勒索病毒，几招教你安全防范

     　"恶意软件名称：BadRabbit（坏兔子）

　　"关键字：勒索病毒BadRabbitRansomware主机安全

　　"分析团队：华为云安全团队

　　10月24日，一款称为BadRabbit的恶意勒索病毒在网络上爆发，病毒影响范围为使用Windows操作系统的服务器和个人电脑等设备。

　　据悉，此勒索病毒已经影响了乌克兰、俄罗斯、土耳其和保加利亚等国家，包括俄罗斯的国际文传电讯社、乌克兰基辅的地铁系统、乌克兰敖德萨的国际机场以及乌克兰的基础设施部等多家大型机构已被入侵。

　　该病毒通过伪装AdobeFlashPlayer安装包进行传播。电脑感染病毒之后，其中文件将被加密，直至用户支付赎金。

　　为了使华为云用户不受影响，华为云安全团队于病毒爆发当天，即对此恶意程序进行了预警和分析，并给出了防范措施。目前，华为云用户被感染数为零。

　　?解决方案

　　1.建议用户关闭139,445端口。

　　2.建议用户提升密码强度，例如密码至少6个字符，并组合大小写、数字、特殊符号。

　　3.建议定期更新微软补丁。

　　4.安装华为主机安全软件HostGuard，对主机进行弱口令检测，开启防暴力破解功能（windows版本即将上线），使用网页防篡改功能（已上线）对重点文件进行保护。

　　5.更多人工专家防护和修复建议，可免费申请华为云安全体检服务，详情点击阅读原文。

　　攻击方式

　　1.下载：

　　受害者点击被挂马的合法网站，被引导下载Flash安装程序（实际为恶意程序）。

　　2.安装：

　　受害者点开安装程序，并同意WindowsUAC授权，恶意程序开始安装。

　　3.加密：

　　恶意程序运行恶意代码（部分代码复用Petya勒索软件），加密受害者主机的主引导记录（MBR）和指定类型的文件。

　　4.扩散：

　　恶意程序内置账号密码字典，并通过SMB服务帐号密码的形式进行传播（目前并未发现使用MS17-010等漏洞利用进行传播）。为了增强入侵成功率，BadRabbit疑似使用Mimikatz密码抓取器进一步抓取受害机器上的账号密码。

　　5.勒索：

　　攻击完成后，系统会自动重启并在启动界面提示告警，受害者根据告警进行操作，并向攻击者的比特币钱包转入0.05比特币，即可完成解锁。

　　?技术分析

　　恶意文件：

　　fbbdc39af1139aebba4da004475e8839-病毒释放器（最初被释放的样本）

　　1d724f95c61f1055f0d02c2154bbccd3-infpub.dat-主DLL

　　b4e6d97dafd9224ed9a547d52c26ce02-cscc.dat-带有合法签名的驱动，用于加密磁盘

　　b14d8faf7f0cbcfad051cefe5f39645f-dispci.exe-安装bootlocker，与驱动通信

　　病毒释放器通过伪装成Flash的更新程序，诱骗用户点击运行。恶意程序运行后，会释放主DLL到c:\windows目录下，并通过rundll.exe运行。

　　"C:\\Windows\\system32\\rundll32.exeC:\\Windows\\infpub.dat,#115"

　　infpub.dat主dll会创建计划任务"rhaegal"来启动discpci.exe实现磁盘加密，之后增加计划任务"drogon"重启系统（重启前会主动删除部分日志信息），并显示被勒索界面，最后创建感染线程，尝试感染本地局域网其它主机。

　　加密方式：

　　利用WindowsCryptoAPI对受害者主机文件进行加密。

　　AES的密钥由密码安全函数CryptGenRand生成，这个密钥和程序内部硬编码的公钥一起传递给加密函数，用来对文件进行加密（这样只能通过攻击者的私钥对加密文件进行解密）。

　　使用IOCTLcode0x220060调用带有合法签名的cscc.dat来对磁盘进行加密：

　　以下类型文件和主导分区将被加密：

　　.3ds.7z.accdb.ai.asm.asp.aspx.avhd.back.bak.bmp.brw.c.cab.cc.cer.cfg.conf.cpp.crt.cs.ctl.cxx.dbf.der.dib.disk.djvu.doc.docx.dwg.eml.fdb.gz.h.hdd.hpp.hxx.iso.java.jfif.jpe.jpeg.jpg.js.kdbx.key.mail.mdb.msg.nrg.odc.odf.odg.odi.odm.odp.ods.odt.ora.ost.ova.ovf.p12.p7b.p7c.pdf.pem.pfx.php.pmf.png.ppt.pptx.ps1.pst.pvi.py.pyc.pyw.qcow.qcow2.rar.rb.rtf.scm.sln.sql.tar.tib.tif.tiff.vb.vbox.vbs.vcb.vdi.vfd.vhd.vhdx.vmc.vmdk.vmsd.vmtm.vmx.vsdx.vsv.work.xls.xlsx.xml.xvd.zip

　　内网传播方式：

　　1.通过CredEnumerateW函数获取用户凭据和使用mimikatz工具获取用户名密码，并通过wmic和psexec远程执行来进行传播。

　　2.通过程序内部硬编码的弱口令表进行暴力猜解NTLM登录凭据。

　　参考

　　1.https://blog.malwarebytes.com/threat-analysis/2017/10/badrabbit-closer-look-new-version-petyanotpetya/

　　2.https://securelist.com/bad-rabbit-ransomware/82851/

　　3.https://www.virustotal.com/en/domain/1dnscontrol.com/information/

　　点击阅读原文，申请使用安全体检等服务

　　（链接：http://www.huaweicloud.com/product/sas.html）