壞兔子來襲，安天智甲有效防護

軟件兔子 Flash PHP 安天安天 2017-10-28

1、概述

安天安全研究與應急處理中心（Antiy CERT）在北京時間2017年10月24日關注到“Bad Rabbit”（壞兔子）勒索軟件的活動情況，並給與了跟蹤分析。截止到2017年10月26日晚，包括德國、烏克蘭、土耳其在內的歐洲多國基礎設施遭受病毒攻擊，尚未發現國內大面積感染跡象。目前全球用戶影響弱於魔窟“WannaCry”、偽必加“notPetya”等此前的流行病毒，但依然值得高度關注和警惕。

攻擊者採用入侵新聞媒體和其他網站，植入惡意鏈接的方式，進行該樣本初始擴散。當受害者訪問這些網站時，病毒偽裝為Adobe Flash的更新，將下載鏈接指向到惡意地址（http://1dnscontrol.com/flash_install[.]php），受害者手動點擊下載並運行後，就會被病毒感染。

該病毒具有通過預設密碼檔的IPC$弱口令進行內網傳播的能力。對內網用戶會帶來一定威脅。目前未在樣本中發現利用其他漏洞進行橫向移動傳播的行為。

病毒初始傳播投放+內網擴散傳播，已經成為當前網絡黑產犯罪的一種重要組合，這使普通互聯網用戶、政企內網包括關鍵基礎設施，都面臨嚴峻的關聯風險。而此前偽必加“notPetya”事件更開啟了，偽裝成勒索軟件對關鍵基礎設施進行破壞的先河，目前尚不能對此事件是否是純粹的勒索攻擊還是以破壞作為目的進行更準確的判斷。

安天智甲終端防護系統能對該病毒進行有效防護。

2、樣本分析

2.1 樣本標籤

壞兔子來襲，安天智甲有效防護

2.2 加密文件

Infpub.dat首先利用CryptGenRandom生成隨機的AES密鑰，然後通過該密鑰對磁盤文件進行遍歷加密。

壞兔子來襲，安天智甲有效防護

然後創建線程，首先生成Readme提示信息。

壞兔子來襲，安天智甲有效防護

遍歷系統文件，檢測文件擴展名是否與硬編碼中的相匹配，如果相同則加密，不同則跳過加密行為。

壞兔子來襲，安天智甲有效防護

有四個系統目錄不會被加密，以防系統崩潰。

壞兔子來襲，安天智甲有效防護

具體加密部分利用Windows Crypto API完成。

壞兔子來襲，安天智甲有效防護

加密後在文件末尾添加文件標記“encrypted”。

壞兔子來襲，安天智甲有效防護

2.3 修改MBR

Infpub.dat除了加密文件，還會加密磁盤MBR，該功能由infpub.dat所釋放的驅動cscc.dat與dispci.exe共同完成。下圖為磁盤加密部分代碼：

壞兔子來襲，安天智甲有效防護

計算機重啟後顯示被修改的MBR：

壞兔子來襲，安天智甲有效防護

2.4 添加任務計劃

樣本運行後添加兩個任務計劃drogon與rhaegal，drogon為帶參數啟動dispci.exe的命令，rhaegal為重啟計算機。

壞兔子來襲，安天智甲有效防護

2.5 橫向滲透

該樣本有著利用IPC$通過內網進行橫向滲透的能力，如圖所示：

壞兔子來襲，安天智甲有效防護

樣本使用內置的硬編碼的字典對局域網主機進行進行弱口令連接，並傳播樣本：

壞兔子來襲，安天智甲有效防護

3、防護建議析

警惕第三方未知來源文件下載安裝，對安裝文件進行簽名檢測；

排查內網弱口令的主機；

在終端安裝可靠的主動防護產品。

安天智甲終端防禦系統（英文簡稱IEP，以下簡稱智甲）是一款是面向軍工、能源、金融、交通等關鍵各行業用戶的企業級防護產品，產品集成了病毒檢測查殺、系統加固、主動防禦、介質管控、文檔保護、行為畫像等功能，並能有效與管理中心和安天態勢感知產品互動，協助客戶建立更全面的資產防護體系和風險認知能力，使態勢感知能夠有效落地。

安天智甲的前身是安天著名的單機殺毒產品安天防線（Antiy Ghostbuter），該產品在2002年即成為首個進入全球TOP 50反病毒產品排行榜的中國產品。

安天智甲可以防禦感染式病毒、蠕蟲、木馬、勒索軟件和格式文檔攻擊等安全威脅。

安天智甲針對勒索軟件具有專屬防護方案，可以通過行為分析、文檔保護等功能識別和阻斷未知勒索軟件的攻擊，保障用戶文檔與數據的安全。

經驗證，安天智甲對Bad Rabbit能夠進行有效檢測與防護，即使病毒庫不進行升級，Bad Rabbit進行惡意加密時，安天智甲仍然能夠及時發現並進行告警。

壞兔子來襲，安天智甲有效防護