来自 网络 2022-05-29 22:00 的文章

ddos防火墙_联通云盾_无限

ddos防火墙_联通云盾_无限

被称为"BadRabbit"的勒索软件,基于NotPetya代码,正在传播。

Ladislav Zezula、Jakub Kroustek和Martin Hron撰写的博客文章

昨天,一种新的勒索软件BadRabbit开始传播。这一次,网络犯罪分子利用流行的俄罗斯新闻网站传播勒索软件。尽管回收了诺彼佳的一些代码,但BadRabbit并没有像WannaCry或诺彼佳那样广泛传播。然而,它确实成功地感染了乌克兰基础设施部、敖德萨机场、基辅地铁和两个俄罗斯媒体集团。

BadRabbit要求获得0.05比特币的赎金或大约276美元。

根据Avast威胁实验室的数据,到目前为止,已有15个国家的用户成为攻击目标。最受关注的国家是俄罗斯,71%的检测结果被观察到,其次是乌克兰,14%和保加利亚,8%

虽然美国和其他中欧和东欧国家,包括波兰和罗马尼亚也受到了影响,但在这些国家,包括美国,遭遇的次数。,比我们在俄罗斯观察到的要低得多。然而,在撰写本文时,我们计算出每个地区的检出率仅为1%或更低。

BadRabbit攻击地图

BadRabbit如何传播

为了用BadRabbit毒株感染计算机,网络罪犯感染了流行新闻网站,如俄罗斯国际文传电讯社和Fontanka,目的是通过水坑攻击广泛攻击这些网站的访问者。虽然勒索软件的目标之一是收集资金,但另一个目标很可能是使公司的运营瘫痪。今年之前的勒索活动表明,这是可以实现的——据报道,一些大公司甚至不得不在系统被感染后的第二天将员工送回家。这些被破坏的网站上注入的恶意脚本促使访问者下载一个假的Adobe Flash安装程序更新。一旦执行,BadRabbit开始工作。

一旦BadRabbit感染了一台计算机,面对ddos攻击的防御措施,它就会试图在连接的网络中传播,从而感染更多的计算机。BadRabbit有一组默认登录和密码组合,用于在本地网络中进行横向移动。此外,它还使用Mimikatz提取被感染用户使用的其他组合。这项技术以前也曾被NotPetya使用过。横向移动是通过SMB协议完成的,但与WannaCry和NotPetya相比,这次没有使用漏洞攻击。内部网络内的传播仅依赖于提取的密码或字典攻击和登录,或完全开放的网络共享。

Mimikatz利用Windows中名为LSASS(本地安全机构子系统服务)的进程,该进程存储各种身份验证会话期间使用的哈希和密码,例如,访问存储在不同计算机上的共享文件夹时。要访问共享文件夹和/或其他计算机,需要输入用户名和密码。凭证随后存储在LSASS中,因此在活动会话期间无需再次输入。

它扫描LSASS的内存以查找凭证对,然后将其转储。网络犯罪分子可以利用它们授权访问远程共享,这正是BadRabbit等勒索软件加密远程共享或传播到其他机器所需要的。

为了防止Mimikatz执行其工作,可以在Windows系统8.1及更高版本上以保护模式运行LSASS。但是,国外免费高防cdn,不幸的是,这个选项在默认情况下并没有启用。

加密过程

BadRabbit背后的网络犯罪分子并没有重新发明轮子,他们只是重复使用了NotPetya的部分代码。他们所要做的就是修复bug并根据新的要求修改代码。

BadRabbit对受感染计算机上的磁盘和文件进行加密。首先使用内置的Windows加密(Crypto API)对文件进行加密。同时,电脑上安装了磁盘加密软件Diskcrypt,并准备重新启动系统,然后进行磁盘级加密。BadRabbit使用合法的Diskcrypt软件执行此任务,该软件已使用三年多。

在Diskcryptor安装过程中,恶意软件创建了一个名为"cscc"的新服务。如果出现故障,现有的Windows"cdfs"(CD-ROM文件系统)服务将被劫持。

BadRabbit还对系统上的文件进行加密。原始文件在其原始位置加密,这大大减少了在不使用解密密钥的情况下恢复该文件的机会。有时,服务器ddos防御指的是峰值吗,勒索软件会将加密文件内容写入新文件,然后删除原始文件。但是,如果文件被删除,它仍然可以在计算机驱动器的某个位置找到,因此可以恢复。

BadRabbit使用AES-128加密文件,AES-128的强度足以使其无法通过暴力破解,并对受感染电脑上的所有文件使用相同的加密密钥。加密文件在其内容末尾用"加密"字符串标记。

加密密钥是一个33字节的随机密钥,使用CryptGenRandom(高质量随机数生成器)生成。该密钥将转换为32个字符的文本密码,然后将其输入MD5散列。MD5散列的结果是AES-128加密的密钥,即文件加密密钥。

AES-128密钥与计算机名称、域名、时区和随机salt值打包在一起。然后使用二进制硬编码的RSA公钥对其进行加密。然后,结果以"用户ID"的形式存储在X:\readme.txt文件(其中"X:"是系统上的任何固定驱动器)中,该ID也会显示在引导屏幕上。

与7月份发布的NotPetya不同,这次加密密钥生成是正确的。这意味着由BadRabbit加密的文件没有损坏,而受NotPetya影响的文件是。

试图智胜好人