<sub id="hvxnv"></sub>
    <em id="hvxnv"></em>

      <address id="hvxnv"></address>

      <sub id="hvxnv"><listing id="hvxnv"><menuitem id="hvxnv"></menuitem></listing></sub>

        <address id="hvxnv"></address>

        <address id="hvxnv"><nobr id="hvxnv"><menuitem id="hvxnv"></menuitem></nobr></address>
        <address id="hvxnv"></address>

              當前位置: 學院首頁 > 新聞中心 > 專題 > 正文
              站內搜索:
              安全威脅預警-“Bad Rabbit 壞兔子”勒索病毒事件報告
              2018-09-17 10:19     (點擊: )

              1、事件描述   

               

               

              2017年10月24日,網上出現了一個被命名為“Bad Rabbit”(中文譯名:壞兔子)的勒索病毒,俄羅斯、烏克蘭、土耳其、德國等歐洲國均受到影響,目前已經開始向美國擴散。   

               

              該勒索病毒將受害電腦的文件加密,讓電腦無法使用,從而要求支付贖金,“壞兔子”勒索病毒要求支付0.05比特幣(合275美元)。經過研究人員深入分析,雖然“壞兔子”擁有部分與Petya勒索病毒相同的代碼,但是最新的這波攻擊不大可能造成Petya那種程度的全球性破壞。但是由于“壞兔子”勒索病毒通過共享和弱密碼在內網擴散,因此對企業危害較大。   

               

              2、事件影響
               

              l通過偽裝成大眾熟悉的正常程序(AdobeFlash Player),人為點擊運行,如果同局域網還無人中招,基本不會有影響;   

               

              l病毒通過局域網共享協議傳播(通過IPC$、ADMIN$連接),如果同局域網已有人中招,并且開啟了共享服務,可能會擴散;   

               

              l通過讀取已經中招電腦的當前用戶密碼和內置的弱口令列表傳播,如果同局域網已有人中招,并且大家密碼相同或是在列表中的弱密碼,會有傳播影響;   

               

              l“壞兔子”勒索病毒暫未發現通過系統漏洞傳播,因此它反而可以覆蓋所有的Windows系統,而不限于只存在漏洞的系統。   

               

              3、事件分析
               

              “壞兔子”勒索病毒通過水坑攻擊傳播,攻擊者先在特定網站上注入包含URL的腳本文件,誘騙用戶下載虛假的Flash安裝程序“install_flash_player.exe”。嵌入的URL最終解析為:hxxp://1dnscontrol.com/flash_install,目前為止該鏈接已經不可訪問。   

               


               

              一旦虛假的安裝包被點擊,其會生成加密文件infpub.dat和解密文件dispci.exe。“壞兔子”通過三步驟來完成其勒索流程,其對應的三個文件名均來源于美劇《權利的游戲》。   

               

              lrhaegal.job --- 負責執行解密文件;   

               

              ldrogon.job --- 負責關閉受害者電腦。然后勒索病毒加密系統中的文件,顯示如下勒索信息:   

               


               

              lviserion_23.job --- 負責重啟受害者電腦,重啟后屏幕被鎖定,顯示如下信息:   

               


               

              “壞兔子”可以在內網中擴散傳播,其使用WindowsManagementInstrumentation(WMI)和服務控制遠程協議,在網絡中生成并執行自身拷貝文件。在使用服務控制遠程協議時,“BadRabbit”采用字典攻擊方法獲取登陸憑證。   

               

              經過深入分析,我們還發現“壞兔子”使用開源工具Mimikatz獲取憑證,其也會使用合法磁盤加密工具DiskCryptor加密受害者系統。   

               

              4、加固建議
               

              網絡側應急解決方案
               

              Ø在邊界防火墻上調整訪問控制策略,禁止外網對內網135/137/139/445端口的連接;   

               

              Ø在內網核心主干交換路由設備禁止135/137/139/445端口(會影響相關端口的服務)的連接;   

               

              Ø更新IDS入侵檢測系統事件庫,加強對該事件的監測。   

               

              終端側應急解決方案
               

              Ø及時更新殺毒軟件病毒庫,以便能檢測到該勒索病毒;   

               

              Ø由于“BadRabbit”采用字典攻擊方法獲取登陸憑證,因此局域網開共享的電腦請使用比較復雜的密碼,如果跟勒索病毒自帶列表中的密碼請及時修改(參見“附錄:賬號字典和弱口令列表”);   

               

              Ø建議安裝正版可信來源的AdobeFlash Player;   

               

              Ø“BadRabbit”利用了與“Petya”勒索病毒相似的組件進行傳播,由于黑客在“Petya”勒索病毒及其變種中,使用了與“WannaCry”相同的攻擊方式,都是利用MS17-010(“永恒之藍”)漏洞傳播,因此建議信息中心進一步確認ms17-010補丁程序的修復情況;   

               

              Ø做好重要文件的備份工作(非本地備份);   

               

              Ø開啟系統防火墻,阻止向445端口進行連接(該操作會影響使用445端口的服務);   

               

              Ø關注是否存在病毒在系統目錄下(通常是C:\Windows目錄)生成多個的文件(infpub.dat、dispci.exe、cscc.dat),請列入進程黑名單,阻止其自動運行。   

               

              Ø關閉系統WMI服務器,或在手動在“控制面板-管理工具-服務”關閉該服務;   

               


               

              已經感染設備應急解決方案
               

              Ø斷開網絡連接,組織進一步擴散;   

               

              Ø已經感染終端,根據終端數據類型決定處置方式,如果重新安裝系統則建議完全格式化硬盤、使用新操作系統、完善操作系統補丁、通過檢查確認無相關漏洞后再恢復網絡連接。   

               

              5、總結
               

              目前“BadRabbit 壞兔子”勒索病毒病毒樣本已公開,新的變種隨時都可能出現,請養成備份好重要文件的習慣。   

               

              同時由于利用滲透技巧傳播的勒索病毒越來越多,強烈建議數據中心逐步完善內網安全防護策略,啟明星辰將持續關注該病毒發展態勢,跟蹤相關病毒細節。   

               

              6、附錄:賬號字典和弱口令列表   

              “BadRabbit 壞兔子”在內網傳播中通過猜測以下列表的用戶名來登錄:   

               

              Administrator、Admin、Guest、User、User1、user-1 、Test、root、buh、boss、ftp、rdp、rdpuser、rdpadmin、manager、support、work、other user、operator、backup、asus、ftpuser、ftpadmin、nas、nasuser、nasadmin、superuser、netguest、alex   

               

              “BadRabbit 壞兔子”在內網傳播中通過猜測以下列表的弱口令來登錄:   

               

              Administrator、administrator、Guest、guest、User、user、Admin、adminTest、test、root、123、1234、12345、123456、1234567、12345678、123456789、1234567890、Administrator123、administrator123、Guest123、guest123、User123、user123、Admin123、admin123Test123、test123、password、111111、55555、77777、777、qwe、qwe123、qwe321、qwer、qwert、qwerty、qwerty123、zxc、zxc123、zxc321、zxcv、uiop、123321、321、love、secret、sex、 god
               

              上一條:關于防范勒索病毒的方法
              下一條:Petya(“必加”)勒索病毒防范措施
              關閉窗口
              工業和信息化部備案登記號:蜀ICP備05003421號    川公網安備 51150202000048號     事業單位標識
              版權所有:宜賓職業技術學院   地址:四川省宜賓市翠屏區新村74號    招生咨詢電話:0831-8275466、8274690、8274290
              今日訪問:
              總訪問量:
              89彩票 广汉 铜陵 和田 汉川 甘孜 赣州 岳阳 安徽合肥 海西 江苏苏州 鄂尔多斯 荆门 佳木斯 三沙 鹰潭 中卫 莱州 汕尾 白山 保山 正定 广饶 榆林 福建福州 随州 乐平 新乡 库尔勒 阿拉尔 营口 霍邱 泉州 荆州 梅州 丹阳 金昌 镇江 深圳 株洲 兴安盟 荆州 漳州 大理 吉林长春 佳木斯 新乡 张家口 平凉 余姚 普洱 大庆 泉州 临汾 周口 枣庄 燕郊 鞍山 西双版纳 临沧 吕梁 博罗 果洛 燕郊 宁夏银川 余姚 伊春 江苏苏州 江门 金坛 芜湖 乐山 柳州 泉州 武安 山南 海拉尔 益阳 榆林 九江 白沙 张掖 吴忠 博尔塔拉 公主岭 荆州 定西 商洛 汕尾 长垣 肇庆 株洲 锡林郭勒 天门 泰兴 乐平 泗阳 长垣 江门 吉林 马鞍山 景德镇 韶关 库尔勒 珠海 台北 唐山 乌海 克孜勒苏 馆陶 长治 厦门 营口 白城 如东 酒泉 广州 武威 乌兰察布 赤峰 吉林长春 开封 洛阳 达州 和县 齐齐哈尔 新疆乌鲁木齐 固原 吉林长春 喀什 鹤壁 白山 恩施 六盘水 伊犁 孝感 苍南 绍兴 牡丹江 菏泽 宿迁 海西 中山 济源 辽宁沈阳 余姚 黔南 乌兰察布 保定 齐齐哈尔 齐齐哈尔 梧州 杞县 燕郊 辽宁沈阳 河源 溧阳 长治 赤峰 公主岭 佳木斯 台湾台湾 德清 五指山 邹平 鹤壁 福建福州 克孜勒苏 巴彦淖尔市 黔东南 果洛 南充 朝阳 包头 阿里 海拉尔 汉川 大兴安岭 德州 海门 曲靖 四平 林芝 广西南宁 扬中 株洲 林芝 象山 德阳 临沧 焦作 章丘 张家界 邵阳 黄山 商丘 河南郑州 阿拉尔 广汉 三沙 揭阳 铜仁 沧州 库尔勒 大连 安顺 益阳 仙桃 江西南昌 七台河 运城 青海西宁 苍南 萍乡 果洛 乌兰察布 沧州 深圳 通辽 慈溪 丹阳 茂名 韶关 泸州 池州 姜堰 庆阳 盘锦 芜湖 铁岭 庄河 黔南 万宁 垦利 苍南 庆阳 益阳 定安 昌吉 沭阳 汕尾 陇南 溧阳 山东青岛 阜阳 红河 伊犁 平潭 绵阳 山南 盐城 常州 庄河 娄底 吴忠 台北 云南昆明 通化 莆田 马鞍山 临猗