安全威胁预警-“Bad Rabbit 坏兔子▓█▄■”勒索病毒事件报告-快乐彩票app下载-快乐彩票苹果手机-快乐彩票安卓

      <span id="beaa5de6eb"></span><address id="bf1aff0ba5"><style id="bgab9c7bdc"></style></address><button id="bl83f39238"></button>
                        

          当前位置: 学院首页 > 快乐彩票苹果版 > 专题 > 正文
          站内搜索:
          安全威胁预警-“Bad Rabbit 坏兔子”勒索病毒事件报告
          2018-09-17 10:19     (点击: )

          1▄■▓、事件描述   

           

           

          2017年10月24日,网上出现了一个被命名为“Bad Rabbit”(中文译名:坏兔子▄▓)的勒索病毒,俄罗斯、乌克兰、土耳其▓█、德国等欧洲国均受到影响,目前已经开始向美国扩散。   

           

          该勒索病毒将受害电脑的文件加密,让电脑无法使用█■▄,从而要求支付赎金,“坏兔子”勒索病毒要求支付0.05比特币(合275美元)███。经过研究人员深入分析,虽然“坏兔子”拥有部分与Petya勒索病毒相同的代码,但是最新的这波攻击不大可能造成Petya那种程度的全球性破坏▓▓。但是由于“坏兔子”勒索病毒通过共享和弱密码在内网扩散,因此对企业危害较大。   

           

          2▄■▄、事件影响
           

          l通过伪装成大众熟悉的正常程序(AdobeFlash Player),人为点击运行,如果同局域网还无人中招■■■,基本不会有影响;   

           

          l病毒通过局域网共享协议传播(通过IPC$、ADMIN$连接)▄■▄■,如果同局域网已有人中招,并且开启了共享服务,可能会扩散;   

           

          l通过读取已经中招电脑的当前用户密码和内置的弱口令列表传播▓▄▓▄,如果同局域网已有人中招,并且大家密码相同或是在列表中的弱密码,会有传播影响;   

           

          l“坏兔子▄▓”勒索病毒暂未发现通过系统漏洞传播▓█▄■,因此它反而可以覆盖所有的Windows系统,而不限于只存在漏洞的系统。   

           

          3、事件分析
           

          “坏兔子▄■▓”勒索病毒通过水坑攻击传播,攻击者先在特定网站上注入包含URL的脚本文件,诱骗用户下载虚假的Flash安装程序“install_flash_player.exe”▄▓。嵌入的URL最终解析为:hxxp://1dnscontrol.com/flash_install,目前为止该链接已经不可访问。   

           


           

          一旦虚假的安装包被点击▓█,其会生成加密文件infpub.dat和解密文件dispci.exe。“坏兔子”通过三步骤来完成其勒索流程,其对应的三个文件名均来源于美剧█■▄《权利的游戏》。   

           

          lrhaegal.job --- 负责执行解密文件;   

           

          ldrogon.job --- 负责关闭受害者电脑。然后勒索病毒加密系统中的文件███,显示如下勒索信息:   

           


           

          lviserion_23.job --- 负责重启受害者电脑,重启后屏幕被锁定,显示如下信息▓▓:   

           


           

          “坏兔子”可以在内网中扩散传播,其使用WindowsManagementInstrumentation(WMI)和服务控制远程协议▄■▄,在网络中生成并执行自身拷贝文件。在使用服务控制远程协议时,“BadRabbit”采用字典攻击方法获取登陆凭证■■■。   

           

          经过深入分析,我们还发现“坏兔子”使用开源工具Mimikatz获取凭证,其也会使用合法磁盘加密工具DiskCryptor加密受害者系统▄■▄■。   

           

          4、加固建议
           

          网络侧应急解决方案
           

          Ø在边界防火墙上调整访问控制策略,禁止外网对内网135/137/139/445端口的连接;   

           

          Ø在内网核心主干交换路由设备禁止135/137/139/445端口(会影响相关端口的服务▓▄▓▄)的连接;   

           

          Ø更新IDS入侵检测系统事件库,加强对该事件的监测。   

           

          终端侧应急解决方案
           

          Ø及时更新杀毒软件病毒库▄▓,以便能检测到该勒索病毒▓█▄■;   

           

          Ø由于“BadRabbit”采用字典攻击方法获取登陆凭证,因此局域网开共享的电脑请使用比较复杂的密码,如果跟勒索病毒自带列表中的密码请及时修改(参见“附录▄■▓:账号字典和弱口令列表”);   

           

          Ø建议安装正版可信来源的AdobeFlash Player▄▓;   

           

          Ø“BadRabbit”利用了与“Petya”勒索病毒相似的组件进行传播,由于黑客在“Petya▓█”勒索病毒及其变种中,使用了与“WannaCry”相同的攻击方式,都是利用MS17-010(“永恒之蓝█■▄”)漏洞传播,因此建议信息中心进一步确认ms17-010补丁程序的修复情况;   

           

          Ø做好重要文件的备份工作(非本地备份███);   

           

          Ø开启系统防火墙,阻止向445端口进行连接(该操作会影响使用445端口的服务)▓▓;   

           

          Ø关注是否存在病毒在系统目录下(通常是C:\Windows目录)生成多个的文件(infpub.dat、dispci.exe、cscc.dat▄■▄),请列入进程黑名单,阻止其自动运行。   

           

          Ø关闭系统WMI服务器■■■,或在手动在“控制面板-管理工具-服务”关闭该服务;   

           


           

          已经感染设备应急解决方案
           

          Ø断开网络连接,组织进一步扩散▄■▄■;   

           

          Ø已经感染终端,根据终端数据类型决定处置方式,如果重新安装系统则建议完全格式化硬盘、使用新操作系统▓▄▓▄、完善操作系统补丁、通过检查确认无相关漏洞后再恢复网络连接。   

           

          5、总结
           

          目前“BadRabbit 坏兔子▄▓”勒索病毒病毒样本已公开▓█▄■,新的变种随时都可能出现,请养成备份好重要文件的习惯。   

           

          同时由于利用渗透技巧传播的勒索病毒越来越多,强烈建议数据中心逐步完善内网安全防护策略▄■▓,启明星辰将持续关注该病毒发展态势,跟踪相关病毒细节。   

           

          6、附录▄▓:账号字典和弱口令列表   

          “BadRabbit 坏兔子”在内网传播中通过猜测以下列表的用户名来登录:   

           

          Administrator、Admin▓█、Guest、User、User1、user-1 █■▄、Test、root、buh、boss███、ftp、rdp、rdpuser、rdpadmin▓▓、manager、support、work、other user▄■▄、operator、backup、asus、ftpuser■■■、ftpadmin、nas、nasuser、nasadmin▄■▄■、superuser、netguest、alex   

           

          “BadRabbit 坏兔子”在内网传播中通过猜测以下列表的弱口令来登录▓▄▓▄:   

           

          Administrator、administrator、Guest、guest▄▓、User▓█▄■、user、Admin、adminTest、test▄■▓、root、123、1234、12345▄▓、123456、1234567、12345678、123456789▓█、1234567890、Administrator123、administrator123、Guest123█■▄、guest123、User123、user123、Admin123███、admin123Test123、test123、password、111111▓▓、55555、77777、777、qwe▄■▄、qwe123、qwe321、qwer、qwert■■■、qwerty、qwerty123、zxc、zxc123▄■▄■、zxc321、zxcv、uiop、123321▓▄▓▄、321、love、secret、sex▄▓、 god
           

          上一条▓█▄■:关于防范勒索病毒的方法
          下一条:Petya(“必加”)勒索病毒防范措施
          工业和信息化部备案登记号▄■▓:蜀ICP备05003421号    川公网安备 51150202000048号     事业单位标识
          版权所有:快乐彩票app下载-快乐彩票苹果手机-快乐彩票安卓   地址:四川省宜宾市翠屏区新村74号    招生咨询电话:0831-8275466▄▓、8274690、8274290
          今日访问:
          总访问量: