Bad Rabbit – Ransomware ตัวใหม่ที่รุนแรงบุกยึดยุโรปและเริ่มเข้าอเมริกา
ก่อนหน้านี้เราเคยเจอ ransomware กันมาสารพัด ไม่ว่าจะเป็น WannaCry, NotPetya ซึ่งล้วนแต่เป็น Ransomware ที่ทำตัวเหมือน worm กระจายตัวได้ด้วยตัวเอง มาวันนี้เจอตัวใหม่นั่นคือ Bad Rabbit นั่นเอง
TL;DR: Ransomware ตัวใหม่ แพร่กระจายผ่าน flash ปลอม และมีการแพร่กระจายได้ด้วยตัวเองเหมือน WannaCry และ NotPetya
Video of #BadRabbit in action, from @anyrun_app (doesn't show reboot) pic.twitter.com/3WpTj7f6qE
— Kevin Beaumont 🐿 (@GossiTheDog) October 24, 2017
รายละเอียด
Bad Rabbit เป็น ransomware ที่แพร่กระจายในยุโรปตะวันออกทั้ง Russia, Ukraine, Bulgaria และตุรกี ซึ่งมีทั้งหน่วยงานรัฐและเอกชนติด
การแพร่กระจายของ Bad Rabbit คล้ายๆกับการแพร่กระจายเป็นวงกว้างของ WannaCry และ NotPetya
โดยตัว Bad Rabbit จะแพร่กระจายผ่าน Flash Update ปลอมๆ โดยทาง ESET และ Proofpoint ให้ความเห็นไปในทางเดียวกันว่ามันเริ่มจาก Flash Update Package ปลอม (install_flash_player.exe) ซึ่งก็คล้ายๆกับ Ransomware ตัวอื่นๆ แต่ Ransomware ตัวนี้จะมีเครื่องมือที่ใช้ในการแพร่กระจายต่อ (lateral movement) มาด้วย นั่นหมายความว่าแทนที่จะติดตั้ง -> เข้ารหัส -> เก็บเงินจบ แต่ ransomware ตัวนี้จะกระทำการแพร่กระจายต่อรวมถึงขโมยข้อมูลอีกด้วย นั่นคือเหตุผลทำไมถึงมีองค์กรจำนวนมากติดในระยะเวลาที่สั้นมาก
โดยทาง Avast ได้เริ่มมีการตรวจพบการแพร่กระจาย BadRabbit ในสหรัฐอเมริกาแล้วเช่นกันครับ
จากรายงานของ Kaspersky พบว่า Flash Update ปลอมดังกล่าว ไม่ได้ถูกแพร่กระจายจาก website ปลอมๆ แต่มาจากเว็บไซด์ทั่วไปที่มีชื่อเสียง นั่นคือมีการแฮ็คเว็บไซด์แล้วฝัง script สำหรับการแจ้ง Flash Update ปลอมๆนั่นเอง
เริ่มทำงาน
เมื่อมีการรัน install_flash_player.exe จะมีการ drop file ที่ชื่อว่า C:\Windows\infpub.dat และรันตัวเองผ่าน rundll32 โดยใช้คำสั่ง
1 |
C:\Windows\system32\rundll32.exe C:\Windows\infpub.dat, #1 15. |
เมื่อทำการรันแล้ว ตัว Infpub.dat จะไปสร้าง C:\Windows\cscc.dat และ C:\Windows\dispci.exe files. โดย Cscc.dat file เป็นตัวที่ถูก copy และเปลี่ยนชื่อจาก dcrypt.sys ซึ่งเป็น driver ของ DiskCryptor นั่นเอง(DiskCryptor เป็น open source ในการเข้ารหัส disk เป็นตัวที่ HDDCryptor ransomware เคยใช้ตอนโจมตีระบบขนส่งของ San Francisco มาก่อนหน้านี้) จากนั้น Infpub.dat จะสร้าง Windows service ที่ชื่อว่า Windows Client Side Caching DDriver ซึ่งเอาไว้รัน Cscc.dat ที่เป็น driver อีกที
จากนั้น infpub.dat จะมีการติดตั้ง scheduled task ที่ชื่อว่า Drogon, Rhaegal, และ Vision ซึ่งเป็นชื่อของมังกรสามตัวใน Game of Thrones อีกด้วย โดยจะเริ่มจาก Rhaegal ก่อน ซึ่งตัว Rhaegal เองจะเป็นการใช้คำสั่ง “C:\Windows\dispci.exe” -id [id] && exit
cscc.dat driver, จะถูกเรียกโดย dispci.exe file, แล้วถูกเอามาเข้ารหัส disk และแก้ไข master boot record ในที่สุด โดยจะใช้ AES encryption และเข้ารหัสโดยใช้ RSA-2048 public key ซึ่งตัว Bad Rabbit จะไม่ได้เปลี่ยนนามสกุลของไฟล์เหมือนเจ้าอื่น แต่กลายเป็นเขียนต่อท้ายท้ายไฟลว่า “encrypted” แทน
ESET, Emsisoft และ Fox-IT พบว่า Bad Rabbit มีการใช้งาน Mimikatz ในการดึง password ออกมาจาก memory ของเครื่อง รวมถึงมีการเก็บ password list ไว้ในตัว ransomware เองด้วย เพื่อจะนำ password เหล่านั้นไปใช้ในการเข้าถึง server ภายในองค์กรต่างๆ แล้วแพร่กระจายต่อผ่านช่องทางดังนี้
- SVCCTL: the remote service management
- SMB2
- SMB
- NTLMSSP authentication brute force
- WMI
จากนั้นจะทำการโจมตีด้วยช่องโหว่ EternalRomance ต่ออีกด้วย
และสุดท้ายก็จะสร้างอีก 2 schedule job นั่นคือ Drogon และ Vision เพื่อใช้สำหรับการ shutdown และ reboot ระบบอีกที
โดยเมื่อ Bad Rabbit ติดตั้งทุกอย่างเรียบร้อย มันจะทำการ reboot เครื่อง user แล้วเมื่อเครื่อง boot ขึ้นมาก็จะเข้า Master Boot Record ที่ถูกเปลี่ยน จากนั้นก็แสดง note ของ Bad Rabbit ซึ่ง note ดังกล่าวคล้ายๆกับที่ถูกใช้โดย NotPetya อีกด้วย โดยใน Note เรียกค่าไถ่ดังกล่าว ตัว Ransowmare จะร้องขอให้เหยื่อเข้าเว็บไซด์ใน Tor Network และทำการจ่ายเงินประมาณ 0.05 Bitcoin เหยื่อมีเวลา 40 ชม. ที่จะจ่ายเริ่มก่อนที่ราคาของการเรียกค่าไถ่จะสูงขึ้น
Bad Rabbit TOR Payment Site. pic.twitter.com/xi8RBTgK49
— BleepingComputer (@BleepinComputer) October 24, 2017
จากการตรวจสอบพบว่าตัวที่ใช้ dump password ของ BadRabbit คือตัวที่เอา Mimikatz มาทำการ obfuscate นั่นเอง(มีทั้งการเอา sign โดยใช้ cert Microsoft แบบปลอมๆ, การแก้ไข source code และอื่นๆ) โดยเราสามารถใช้ Yara Rule ที่ใช้ในการตรวจจับ Mimikatz มาตรวจจับตัว dump password ของ BadRabbit ได้ครับ
จะเห็นว่า BadRabbit นั้นมีความคล้ายคลึงกับ NotPetya อย่างมาก โดยพบว่า BadRabbit มี source code ที่เหมือนกับ NotPetya ประมาณ 13.3%
โดยมีการพบว่า BadRabbit ไล่ทำการแฮ็คแล้วฝัง script ไว้ตั้งแต่กรกฏาคม 2017 ที่ผ่านมา
List server ที่ถูก hack และถูกฝัง BadRabbit ไว้
วิธีป้องกัน
ทาง Amit กล่าวว่าเราสามารถฉีด Vaccine ให้เครื่องของเราเพื่อให้ BadRabbit หยุดการทำงานในเครื่องได้ เมื่อมีการสร้างไฟล์ใน c:\windows\infpub.dat และ c:\windows\cscc.dat จากนั้นเอา permission ทั้งหมดออก ซึ่งโดยส่วนตัวมองว่ามันจะใช้ได้กับ version ที่พบนี้เท่านั้น หากมีการเปลี่ยนแปลงไฟล์เพียงเล็กน้อยจะทำให้วิธีดังกล่าวไม่สามารถใช้งานได้เลย ดังนั้นแนะนำให้ทำการป้องกันโดยใช้วิธีอื่นจะดีกว่าครับ
1 2 3 4 |
echo "" > infpub.dat echo "" > cscc.dat cacls infpub.dat /D everyone cacls cscc.dat /D everyone |
- อย่า install application ใดๆจากเว็บไซด์อื่นนอกเหนือจากผู้ผลิตเอง
- Update Antivirus ให้ up-to-date อยู่ตลอดเวลา
- พยายามใช้ Windows OS ที่ใหม่สุดเสมอ
- มีการใช้งาน password ที่เดาได้ยาก (ตัวอักษรตัวใหญ่ + ตัวเล็ก + ตัวเลข + ตัวอักขระพิเศษ และความยาวเกิน 13 ตัวอักษร)
Bad Rabbit IOCs
Hashes:
1 2 3 4 5 |
install_flash_player.exe: 630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da infpub.dat: 579fd8a0385482fb4c789561a30b09f25671e86422f40ef5cca2036b28f99648 cscc.dat (dcrypt.sys): 0b2f863f4119dc88a22cc97c0a136c88a0127cb026751303b045f7322a8972f6 dispci.exe: 8ebc97e05c8e1073bda2efb6f4d00ad7e789260afa2c276f0c72740b838a0a93 |
Files:
1 2 3 4 5 |
C:\Windows\infpub.dat C:\Windows\System32\Tasks\drogon C:\Windows\System32\Tasks\rhaegal C:\Windows\cscc.dat C:\Windows\dispci.exe |
Registry entries:
1 2 3 4 5 6 7 8 9 10 |
HKLM\SYSTEM\CurrentControlSet\services\cscc HKLM\SYSTEM\CurrentControlSet\services\cscc\Type 1 HKLM\SYSTEM\CurrentControlSet\services\cscc\Start 0 HKLM\SYSTEM\CurrentControlSet\services\cscc\ErrorControl 3 HKLM\SYSTEM\CurrentControlSet\services\cscc\ImagePath cscc.dat HKLM\SYSTEM\CurrentControlSet\services\cscc\DisplayName Windows Client Side Caching DDriver HKLM\SYSTEM\CurrentControlSet\services\cscc\Group Filter HKLM\SYSTEM\CurrentControlSet\services\cscc\DependOnService FltMgr HKLM\SYSTEM\CurrentControlSet\services\cscc\WOW64 1 |
Ransom Note:
1 2 3 4 5 6 7 8 9 10 11 12 13 |
Oops! Your files have been encrypted. If you see this text, your files are no longer accessible. You might have been looking for a way to recover your files. Don't waste your time. No one will be able to recover them without our decryption service. We guarantee that you can recover all your files safely. All you need to do is submit the payment and get the decryption password. Visit our web service at caforssztxqzf2nm.onion Your personal installation key#1: |
Network Activity:
1 2 |
Local & Remote SMB Traffic on ports 137, 139, 445 caforssztxqzf2nm.onion |
Files extensions targeted for encryption:
1 |
.3ds .7z .accdb .ai .asm .asp .aspx .avhd .back .bak .bmp .brw .c .cab .cc .cer .cfg .conf .cpp .crt .cs .ctl .cxx .dbf .der .dib .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .hpp .hxx .iso .java .jfif .jpe .jpeg .jpg .js .kdbx .key .mail .mdb .msg .nrg .odc .odf .odg .odi .odm .odp .ods .odt .ora .ost .ova .ovf .p12 .p7b .p7c .pdf .pem .pfx .php .pmf .png .ppt .pptx .ps1 .pst .pvi .py .pyc .pyw .qcow .qcow2 .rar .rb .rtf .scm .sln .sql .tar .tib .tif .tiff .vb .vbox .vbs .vcb .vdi .vfd .vhd .vhdx .vmc .vmdk .vmsd .vmtm .vmx .vsdx .vsv .work .xls .xlsx .xml .xvd .zip |
Embedded RSA-2048 Key:
1 2 |
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA5clDuVFr5sQxZ+feQlVvZcEK0k4uCSF5SkOkF9A3tR6O/xAt89/PVhowvu2TfBTRsnBs83hcFH8hjG2V5F5DxXFoSxpTqVsR4lOm5KB2S8ap4TinG/GN/SVNBFwllpRhV/vRWNmKgKIdROvkHxyALuJyUuCZlIoaJ5tB0YkATEHEyRsLcntZYsdwH1P+NmXiNg2MH5lZ9bEOk7YTMfwVKNqtHaX0LJOyAkx4NR0DPOFLDQONW9OOhZSkRx3V7PC3Q29HHhyiKVCPJsOW1l1mNtwL7KX+7kfNe0CefByEWfSBt1tbkvjdeP2xBnPjb3GE1GA/oGcGjrXc6wV8WKsfYQIDAQAB |
Source::
- https://twitter.com/gentilkiwi/status/922945304172875778/
- https://twitter.com/0xAmit/status/922911491694694401
- BleepingComputer
- McAfee
- TALOS
- Kaspersky
- bartblaze.blogspot.com
- EndGame