来自 DDOS 2021-04-03 23:13 的文章

服务器被打_有效的_韩国防cc

服务器被打_有效的_韩国防cc

Petya/NotPetya(又名EternalPetya),因其对乌克兰的大规模攻击而在6月成为头条新闻。今天,我们注意到一个类似的恶意软件的爆发,叫做BadRabbit,可能是由同一个作者编写的。就像上一版一样,BadRabbit有一个允许侧向移动的感染者,使用SMB进行横向传播。与NotPetya不同,它不使用永恒蓝,而且传播更广。(受影响的国家包括乌克兰、俄罗斯、土耳其和保加利亚)。更新:塔洛斯的研究人员发现,巴德兔使用了泄露的国家安全局的一个漏洞:永恒浪漫(这两个漏洞之一,也曾被用于前一次的攻击Petya/NotPetya)。Petya/NotPetya和BadRabbit之间的另一个关键区别是初始向量不同(一个网站丢弃了一个虚假的Flash更新)。另外,它的一些部件也被更换了。恶意软件包很复杂,我们可能会在以后的文章中专门介绍它的所有特性。但让我们先来看看。更新2:卡巴斯基实验室已经证明,这一次有一个有效的密码,磁盘可以解密-与Petya/NotPetya相反,这不是破坏性攻击分析样品fbbdc39af1139aebba4da004475e8839–滴管(原始滴样)1D724F95C61F1055F0D02C2154BCCD3–信息发布日期–主DLLb4e6d97dafd9224ed9a547d52c26ce02-cscc.dat公司–用于磁盘加密的合法驱动程序(磁盘加密.net)b14d8faf7f0cbcfad051cefe5f39645f–显示.exe–安装引导锁程序,与驱动程序通信行为分析dropper是一个可执行文件,它假装是一个Flash更新。恶意软件必须以管理权限运行,但没有部署UAC旁路技术-它完全依赖于社会工程,试图说服用户提升它。运行后,它将主模块放置并部署到C:\Windows目录中。这次,它被命名为信息发布日期. (我们可以看到类似于先前的NotPetya爆发,DLL就是在那里命名的性能数据):它由rundll32.exe运行,调用参数如下:\\systemdlc\\Windows:\\runl32.exe\\信息发布日期15英寸请注意,恶意软件扫描LAN中的计算机:我们的猜测是,有关被检测机器的信息被用于横向运动。该恶意软件还会在Windows目录中删除其他元素:cscc.dat公司以及显示.exe删除的应用程序在计划任务之一的帮助下运行:恶意软件使用选定的扩展名加密文件。所有文件都用相同的密钥加密(相同的明文给出相同的密文)。下面,我们演示一个示例BMP文件在被BadRabbit加密前后的可视化效果:加密版本中没有可见的模式;这表明已经使用了一些强大的算法,可能是CBC模式下的AES。它不会更改文件扩展名。指示文件已加密的标记被添加到文件内容的末尾它是unicode文本:"encrypted":这是丢失的赎金单。和以前一样,它是TXT格式的,名为自述文件.txt:正如NotPetya之前所做的那样,BadRabbit为系统重新启动添加了一个计划任务:攻击完成后,系统重新启动,并弹出bootlocker屏幕:我们可以清楚地看到与Petya/NotPetya显示的屏幕的相似性:然而,这次没有假冒的CHKDSK从每个Petya版本知道。根据赎金记录,我们发现受害者必须获得两个加密密钥才能恢复文件。第一个是bootlocker的密钥。第一级解锁后,哪个免费高防的cdn好,需要第二把钥匙才能解锁文件。受害者网站上一次,袭击的作者试图使用一个电子邮件帐户与受害者沟通。当然,国外高防cdn,这是不可靠的,防火墙能防御cc攻击吗,因为他们很快就失去了访问帐户的权限。这一次,和大多数勒索软件作者一样,他们创建了一个基于Tor的网页。作者在用户体验上投入了更多的精力,网站包含了视觉效果,包括一条从彩色动画文本中慢慢浮现出来的勒索纸条:从赎金纸条上粘贴钥匙后,免费的cc防御,受害者将获得一个比特币个人地址:它们还提供了一个可用于报告问题的框。内部此恶意软件具有多个元素。在负责删除和安装其他元素的PE文件中开始执行。第一部分-信息发布日期-类似于性能数据从NotPetya袭击案中得知。这一次,DLL导出两个函数:序号1处的函数首先由主滴管部署:此DLL包含一个将恶意软件传播到LAN中其他计算机的感染程序。我们看到在其他机器上部署WMIC的方法被丢弃了。责任代码类似于Petya/NotPetya的类似元素:这一次,除了在基于Mimikatz的模块的帮助下转储的凭据外,示例还尝试执行字典攻击并"猜测"远程登录的一些密码。该列表由常用密码组成:同一个DLL也负责逐个感染文件。在Windows Crypto API的帮助下执行加密:某些系统目录不受攻击:\\窗口\\程序文件\\程序数据\\应用数据他们的受攻击扩展列表看起来像Petya/NotPetya使用的扩展版本:3ds 7z accdb ai asm asp aspx avhd bak bmp brw c驾驶室cc cer cfg conf cpp crt cs ctl cxx dbf der dib磁盘djvudoc docx图纸eml fdb gz h hdd hpp hxx iso java jfif jpejpeg jpg js kdbx密钥邮件mdb消息nrg odc odf odg odi odmodp ods odt ora ost ovf p12 p7b p7c pdf pem pfx phppmf png ppt pptx ps1 pst pvi py pyc pyw qcow qcow2 rar rb公司rtf scm sln sql tar tif tiff vb vb vb vcb vdi vfdvhd vhdx vmc vmdk VMD vmtm vmx vsdx vsv工作xls xlsx xml xvd拉链AES密钥由加密安全函数CryptGenRandom生成。然后它与其他参数一起传递给加密例程,例如硬编码的公钥(稍后用于保护随机密钥并以只有攻击者才能解密的形式保存):Miibijanbgkkqhkig9w0baqfaaoocaq8amiibcgkcaqea5clduvfr5sqxz+FEQLVVZCEKK4UCSF5SKF9A3TR6O/xAt89/PVhowvu2TfBTRsnBs83HCFH8JG2V5F5DXXFOSXPTQVSR4LOM5KB2S8AP4TING/GN/SVNBFwllpR高压/低压断路器H1P+NmXiNg2MH5lZ9bEOk7YTMfwVKNqtHaX0LJOyAkx4NR0DPOFLDQONW9OOhZSkRx3V7PC3Q29HHhyiKVCPJsOW1l1mNtwL7KX+7kfNe0CefByEWfSBt1tbkvjdeP2xBnPjb3GE1GA/OGCGJRXC6WV8WYSFYQIDAQAB此模块删除并安装用于执行其他攻击阶段的其他模块。其中一个是合法的磁盘加密程序(cscc.dat公司). 它作为服务删除并安装:创建计划任务是为了部署此模块丢弃的另一个应用程序-显示.exe. 该元件负责执行加密磁盘的操作。该模块获取一个随机生成的-id参数,该参数用作受害者识别器: 显示.exe此模块使用适当的ioctl与丢弃的驱动程序通信。丢弃的驱动程序是用于磁盘加密的合法模块-显示.exe是为了恶意使用驱动程序的功能。例子:在它的参考资料中,我们可以找到直接安装到磁盘上的低级组件(类似于以前版本安装的Petya内核)。第一个资源是引导加载程序,其他两个资源是恶意内核的类似变体:底层组件:引导加载程序和内核这一次,低杠杆部分看起来与诺特西亚不同。引导加载程序的片段:结果发现,这一次,作者决定使用diskcryptor中的可引导组件,而不是使用Petya的组件。它也被安装在磁盘末端的不同位置,而不是像Petya那样在开始时安装。安装在磁盘末尾的部分从第二阶段引导加载程序开始。代码开头:diskcyptor组件中的等效代码:https://github.com/smartinm/diskcryptor/blob/master/boot/vc2008_src/asm/stage1.asm#L25结论该代码有许多与Petya/NotPetya代码重叠和类似的元素,这表明攻击背后的作者是相同的。再次,他们试图用偷来的元素组成他们的恶意包,然而,被盗的Petya内核已经被一个更高级的磁盘加密程序和一个合法的驱动程序所取代。看来作者们试图改进以前的错误,完成未完成的工作。到目前为止,在当前版本中,加密数据在购买密钥后是可以恢复的,这意味着BadRabbit攻击的破坏性不如前一次。然而,防御ddos服务,恶意软件是复杂的,其详细分析将需要更多的时间。我们将用最新发现更新这篇文章。Malwarebytes for Windows、Malwarebytes Endpoint Protection和Malwarebytes Endpoint Security的用户受到BadRabbit的保护。它被检测为赎金。坏兔子.附录https://www.welivesecurity.com/2017/10/24/bad-rabbit-not-petya-back/–ESET关于BadRabbit的报告关于上次攻击的总结,Petya/NotPetya:这是Hasherezade写的一篇客座文章,他是一位对InfoSec有强烈兴趣的独立研究员和程序员。她喜欢详细了解恶意软件,并与社区分享威胁信息。在Twitter@hasherezade和她的个人博客上查看:https://hshrzd.wordpress.com。