ก่อนหน้านี้เราเคยเจอ ransomware กันมาสารพัด ไม่ว่าจะเป็น WannaCry, NotPetya ซึ่งล้วนแต่เป็น Ransomware ที่ทำตัวเหมือน worm กระจายตัวได้ด้วยตัวเอง มาวันนี้เจอตัวใหม่นั่นคือ Bad Rabbit นั่นเอง

TL;DR: Ransomware ตัวใหม่ แพร่กระจายผ่าน flash ปลอม และมีการแพร่กระจายได้ด้วยตัวเองเหมือน WannaCry และ NotPetya

รายละเอียด

Bad Rabbit เป็น ransomware ที่แพร่กระจายในยุโรปตะวันออกทั้ง Russia, Ukraine, Bulgaria และตุรกี ซึ่งมีทั้งหน่วยงานรัฐและเอกชนติด

การแพร่กระจายของ Bad Rabbit คล้ายๆกับการแพร่กระจายเป็นวงกว้างของ WannaCry และ NotPetya

โดยตัว Bad Rabbit จะแพร่กระจายผ่าน Flash Update ปลอมๆ โดยทาง ESET และ Proofpoint ให้ความเห็นไปในทางเดียวกันว่ามันเริ่มจาก Flash Update Package ปลอม (install_flash_player.exe) ซึ่งก็คล้ายๆกับ Ransomware ตัวอื่นๆ แต่ Ransomware ตัวนี้จะมีเครื่องมือที่ใช้ในการแพร่กระจายต่อ (lateral movement) มาด้วย นั่นหมายความว่าแทนที่จะติดตั้ง -> เข้ารหัส -> เก็บเงินจบ แต่ ransomware ตัวนี้จะกระทำการแพร่กระจายต่อรวมถึงขโมยข้อมูลอีกด้วย นั่นคือเหตุผลทำไมถึงมีองค์กรจำนวนมากติดในระยะเวลาที่สั้นมาก

โดยทาง Avast ได้เริ่มมีการตรวจพบการแพร่กระจาย BadRabbit ในสหรัฐอเมริกาแล้วเช่นกันครับ

จากรายงานของ Kaspersky พบว่า Flash Update ปลอมดังกล่าว ไม่ได้ถูกแพร่กระจายจาก website ปลอมๆ แต่มาจากเว็บไซด์ทั่วไปที่มีชื่อเสียง นั่นคือมีการแฮ็คเว็บไซด์แล้วฝัง script สำหรับการแจ้ง Flash Update ปลอมๆนั่นเอง

เริ่มทำงาน

เมื่อมีการรัน install_flash_player.exe จะมีการ drop file ที่ชื่อว่า C:\Windows\infpub.dat และรันตัวเองผ่าน rundll32 โดยใช้คำสั่ง

ซึ่งเป็นการรัน dll เพื่อหลบเลี่ยงการตรวจจับของ Antivirus นั่นเอง

เมื่อทำการรันแล้ว ตัว Infpub.dat จะไปสร้าง C:\Windows\cscc.dat และ C:\Windows\dispci.exe files. โดย Cscc.dat file เป็นตัวที่ถูก copy และเปลี่ยนชื่อจาก dcrypt.sys ซึ่งเป็น driver ของ DiskCryptor นั่นเอง(DiskCryptor เป็น open source ในการเข้ารหัส disk เป็นตัวที่ HDDCryptor ransomware เคยใช้ตอนโจมตีระบบขนส่งของ San Francisco มาก่อนหน้านี้) จากนั้น Infpub.dat จะสร้าง Windows service ที่ชื่อว่า Windows Client Side Caching DDriver ซึ่งเอาไว้รัน Cscc.dat ที่เป็น driver อีกที

จากนั้น infpub.dat จะมีการติดตั้ง scheduled task ที่ชื่อว่า Drogon, Rhaegal, และ Vision ซึ่งเป็นชื่อของมังกรสามตัวใน Game of Thrones อีกด้วย โดยจะเริ่มจาก Rhaegal ก่อน ซึ่งตัว Rhaegal เองจะเป็นการใช้คำสั่ง “C:\Windows\dispci.exe” -id [id] && exit

cscc.dat driver, จะถูกเรียกโดย dispci.exe file, แล้วถูกเอามาเข้ารหัส disk และแก้ไข master boot record ในที่สุด โดยจะใช้ AES encryption และเข้ารหัสโดยใช้ RSA-2048 public key ซึ่งตัว Bad Rabbit จะไม่ได้เปลี่ยนนามสกุลของไฟล์เหมือนเจ้าอื่น แต่กลายเป็นเขียนต่อท้ายท้ายไฟลว่า “encrypted” แทน

ESET, Emsisoft และ Fox-IT พบว่า Bad Rabbit มีการใช้งาน Mimikatz ในการดึง password ออกมาจาก memory ของเครื่อง รวมถึงมีการเก็บ password list ไว้ในตัว ransomware เองด้วย เพื่อจะนำ password เหล่านั้นไปใช้ในการเข้าถึง server ภายในองค์กรต่างๆ แล้วแพร่กระจายต่อผ่านช่องทางดังนี้

  • SVCCTL: the remote service management
  • SMB2
  • SMB
  • NTLMSSP authentication brute force
  • WMI

จากนั้นจะทำการโจมตีด้วยช่องโหว่ EternalRomance ต่ออีกด้วย

และสุดท้ายก็จะสร้างอีก 2 schedule job นั่นคือ Drogon และ Vision เพื่อใช้สำหรับการ shutdown และ reboot ระบบอีกที

โดยเมื่อ Bad Rabbit ติดตั้งทุกอย่างเรียบร้อย มันจะทำการ reboot เครื่อง user แล้วเมื่อเครื่อง boot ขึ้นมาก็จะเข้า Master Boot Record ที่ถูกเปลี่ยน จากนั้นก็แสดง note ของ Bad Rabbit ซึ่ง note ดังกล่าวคล้ายๆกับที่ถูกใช้โดย NotPetya อีกด้วย โดยใน Note เรียกค่าไถ่ดังกล่าว ตัว Ransowmare จะร้องขอให้เหยื่อเข้าเว็บไซด์ใน Tor Network และทำการจ่ายเงินประมาณ 0.05 Bitcoin เหยื่อมีเวลา 40 ชม. ที่จะจ่ายเริ่มก่อนที่ราคาของการเรียกค่าไถ่จะสูงขึ้น

จากการตรวจสอบพบว่าตัวที่ใช้ dump password ของ BadRabbit คือตัวที่เอา Mimikatz มาทำการ obfuscate นั่นเอง(มีทั้งการเอา sign โดยใช้ cert Microsoft แบบปลอมๆ, การแก้ไข source code และอื่นๆ) โดยเราสามารถใช้ Yara Rule ที่ใช้ในการตรวจจับ Mimikatz มาตรวจจับตัว dump password ของ BadRabbit ได้ครับ

จะเห็นว่า BadRabbit นั้นมีความคล้ายคลึงกับ NotPetya อย่างมาก โดยพบว่า BadRabbit มี source code ที่เหมือนกับ NotPetya ประมาณ 13.3%

โดยมีการพบว่า BadRabbit ไล่ทำการแฮ็คแล้วฝัง script ไว้ตั้งแต่กรกฏาคม 2017 ที่ผ่านมา

List server ที่ถูก hack และถูกฝัง BadRabbit ไว้

วิธีป้องกัน

ทาง Amit กล่าวว่าเราสามารถฉีด Vaccine ให้เครื่องของเราเพื่อให้ BadRabbit หยุดการทำงานในเครื่องได้ เมื่อมีการสร้างไฟล์ใน c:\windows\infpub.dat และ c:\windows\cscc.dat จากนั้นเอา permission ทั้งหมดออก ซึ่งโดยส่วนตัวมองว่ามันจะใช้ได้กับ version ที่พบนี้เท่านั้น หากมีการเปลี่ยนแปลงไฟล์เพียงเล็กน้อยจะทำให้วิธีดังกล่าวไม่สามารถใช้งานได้เลย ดังนั้นแนะนำให้ทำการป้องกันโดยใช้วิธีอื่นจะดีกว่าครับ

  • อย่า install application ใดๆจากเว็บไซด์อื่นนอกเหนือจากผู้ผลิตเอง
  • Update Antivirus ให้ up-to-date อยู่ตลอดเวลา
  • พยายามใช้ Windows OS ที่ใหม่สุดเสมอ
  • มีการใช้งาน password ที่เดาได้ยาก (ตัวอักษรตัวใหญ่ + ตัวเล็ก + ตัวเลข + ตัวอักขระพิเศษ และความยาวเกิน 13 ตัวอักษร)

Bad Rabbit IOCs

Hashes:

Files:

Registry entries:

Ransom Note:

Network Activity:

Files extensions targeted for encryption:

Embedded RSA-2048 Key:

Source::