IOC_badrabbit_241017

Доброї ночі, панове.

Вчорашню паніку і проблеми викликала кампанія з розповсюдження фейкових Flash PLayer Update яку охрестили #BadRabbit

Рівень загрози – реально низький. Запуск і виконання вимагають прав Адміністратора.

Це кампанія з розсилки ransomware який використовує схожий код на Petya_A.

Розповсюдження по мережі – через SMB (EthernalBlue/MS17-010 не підтверджується – в код зашитий перелік тупих обліковиї даних + можливо використання Mimikatz для отримання логінів та паролей, використання вразливості SMB не підтверджується.

Користувачі захисту кінцевих точок McAfee (VSE/ENS) зауважте, що dropper та payload вже детектуются по GTI.

Схема атаки:

URL > script > fake FlashUpdate > GET php (exe) > %temp%\*.exe > C:\Windows\system32\rundll32.exe C:\Windows\infpub.dat,#1 15

Маркери IOC:

Скомпрометовані сайти містили скрипти на сповіщення про начеб-то необхідність оновлення FlashPlayer

Якщо жертва погоджувалась відбувалось завантаження dropper з сайт (зараз вже недоступний)

h11p:///1dnscontrol[.]com/flash_install.php   5.61.37.209

 

File name flash_install.php 
File size 431.54 KB
SHA-256 630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da

Ще раз - його запуск вимагає адмін привілеїв!!!

Це означає що при його запуску іде віконце UAC і користувач підтверджує що йому це потрібно.

Достатньо однієї жертви і не закритої вразливості SMB.

Після запуску видобуває з себе dll за шляхом

C:\Windows\infpub.dat

запускає через rundll32

C:\Windows\system32\rundll32.exe C:\Windows\infpub.dat,#1 15

закріплює себе через системний планувальник

schtasks  /Delete /F /TN rhaegal

schtasks  /Create /RU SYSTEM /SC ONSTART /TN rhaegal /TR “C:\Windows\system32\cmd.exe /C Start \”\” \”C:\Windows\dispci.exe\” -id 2361074427 && exit”

 

File name dispci.exe
File size 139.5 KB
HA-256 8ebc97e05c8e1073bda2efb6f4d00ad7e789260afa2c276f0c72740b838a0a93

додає задачу на перезавантаження

schtasks  /Create /SC once /TN drogon /RU SYSTEM /TR “C:\Windows\system32\shutdown.exe /r /t 0 /f” /ST 13:40:00

та запускає процес перебору локальних IP систем-сусідів на наявність вразливості SMB

“C:\Windows\8FA9.tmp” \\.\pipe\{42882875-162C-4F72-B1CD-0F1D1C1428C1}

Спершу шифруються файли по масці за розширенням, потім перезавантаження системи задачею.

Після перезавантаження MBR затирається.

Все досить тупо, примітивно і жодних слідів складної атаки

Що можна було зробити аби уникнути інфікування ?

  1. Запровадити веб фільтрацію (ENS WebControl або MWG + GTI)
  2. Заборонити користувачам самотужки встановлювати додатки
  3. Заборонити створення та зчитування/запуску *.EXE з каталогів профілю користувача %appdata% (політики VSE/ENS – Access Protection)
  4. Встановити оновлення MS17-010

Мережеві IOC:

завантаження dropper badrabbit

5.61.37.209:80   HTTP 157 1dnscontrol[.]com GET /flash_install.php HTTP/1.1 (вже недоступний)

Контрзаходи:

  • Перевірка журналів задач на наявність rhaegal та drogon
  • Запровадження механізмів веб-фільтрації (ENS WebControl або MWG + GTI)
  • Позбавлення користувачів адміністративних привілеїв
  • Використання Noscript або механізмів Web Gateway
  • Видалення FlashPLayer там де він не потрібен по роботі
  • Встановлення виправлень вразливості SMB
  • Заборона створення та зчитування/запуску *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Додаткова інформація та джерела:

  1. ‘BadRabbit’ Ransomware , McAfee
  2. roycewilliams/badrabbit-info.txt
  3. #BadRabbit Yara Rule
  4. MS – Ransom:Win32/Tibbar.A

P.S.

Фахівцям державних організацій до уваги – від такого вектору розповсюдження варіант “вимкнути поштові сервери” не рятує.Почніть вже займатися менеджментом вразливостей і відберіть у користувачів права.. І заблокуйте в кінці кінців запуск із каталогу профілю!
Будьте уважні та обережні!

VR

Tags: , , , , , ,

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: