Bad Rabbit: Not-Petya повертається з оновленою версією програми-вимагача

Приховане завантаження загрози через уразливості на популярних сайтах

Одним із способів поширення загрози Bad Rabbit є приховане завантаження файлів .js під час відвідування деяких популярних веб-сайтів, які були скомпрометовані та містили шкідливий JavaScript у своєму HTML тілі.

Нижче наведено приклад проникнення:

Цей скрипт відправляє зібрані дані на адресу 185.149.120[.]3, де на основі отриманої інформації визначається , який контент необхідно відобразити на сторінці веб-ресурсу для даного користувача.

Дані, які відправляються:

• Browser User-Agent
• Referrer
• Cookie файли з сайту, що відвідувався
• Доменне ім'я сайту, що відвідувався

Логіка на боці сервера визначає, чи потрапляє відвідувач в групу інтересу зловмисників, а потім показує вміст сторінки. У цьому випадку з'являється спливаюче вікно посередині сторінки з пропозицією завантажити оновлення для Flash Player.

Натискання кнопки «Встановити» ініціює завантаження з 1dnscontrol[.]com виконуваного файлу install_flash_player.exe, який, в свою чергу, несанкціоновано та без відома користувача завантажує шкідливе програмне забезпечення Win32/Filecoder.D.

Після цього комп'ютер жертви блокується, а на екрані відображається повідомлення з вимогою викупу:

Сторінка оплати:

Розповсюдження через SMB протокол

Загроза Win32/Diskcoder.D має можливість поширюватися через SMB протокол. На відміну від інформації в деяких відкритих джерелах, дана шкідлива програма не використовує уразливість EthernalBlue, як це робила загроза Win32/Diskcoder.C (Not-Petya). В першу чергу Win32/Diskcoder.D здійснює перевірку внутрішньої мережі на наявність відкритих SMB папок.

Пошук здійснюється за такими папками:

• admin
• atsvc
• browserv
• eventlog
• lsarpc
• netlogon
• ntsvcs
• spoolss
• samr
• srvsvc
• scerpc
• svcctl
• wkssvc

Для збору облікових даних запускається утиліта Mimikatz. У коді також присутні жорстко закодовані варіанти імен користувачів і паролів.

У разі успішної крадіжки облікових даних, файл infpub.dat переміщується в каталог Windows і виконується за допомогою SCManager та rundll.exe.

Шифрування

Win32/Diskcoder.D є модифікованою версією Win32/Diskcoder.C, у якій були виправлені помилки в шифруванні. Тепер шифрування використовує DiskCryptor — легальне програмне забезпечення з відкритим вихідним кодом, що використовується для повнодискового шифрування. Ключі генеруються з використанням CryptGenRandom, а потім захищаються жорстко закодованим відкритим ключем RSA 2048.

Зашифровані файли мають розширення .encrypted. Як і раніше, використовується алгоритм AES-128-CBC.

Розповсюдження

Цікавим є той факт, що відповідно до даних телеметрії ESET, лише 12,2% від загальної кількості виявлень компоненту програми-завантажувача зафіксовано в Україні. Значна частина інфікувань спостерігалася у таких країнах як:

• Росія: 65%
• Україна: 12,2%
• Болгарія: 10,2%
• Туреччина: 6,4%
• Японія: 3,8%
• Інші: 2,4%

Це значною мірою відповідає розповсюдженню уразливих сайтів, що містять шкідливий JavaScript. Тоді чому ж Україна здається більш постраждалою стороною, ніж інші?

Цікаво відзначити, що всі жертви в Україні були атаковані одночасно, на відміну від несинхронного інфікування інших жертв. Цілком ймовірно, що загроза вже була присутня всередині їх мереж та почала атаку одночасно з загрозою-приманкою, за допомогою якої були інфіковані інші жертви. Ніщо не вказує на те, що інфікування жертв в Україні здійснювалось через поновлення FlashPlayer. Дослідники ESET продовжують аналіз виявленої загрози та опублікують нові висновки, як тільки буде виявлена додаткова інформація.

Зразки