Общее описание угрозы
24 октября 2017г. зарегистрирована новая масштабная эпидемия вируса-шифровальщика BadRabbit. На данный момент зарегистрированы случаи заражения организаций в Украине, России и США. Одними из первых пострадали Международный аэропорт “Одесса”, Киевский метрополитен, агентство «Интерфакс» и интернет-газета «Фонтанка.ру».
По информации антивирусных компаний, это целенаправленная атака на корпоративные сети. Данная атака распространялась с помощью зараженных веб-сайтов СМИ, например, через официальный веб-сайт агентства «Интерфакс» и веб-сайт интернет-газеты «Фонтанка.ру». На данный момент среди организаций известно о заражении BadRabbit сети международного аэропорта «Одесса» и Киевский метрополитен. ВПО распространялось через фальшивый файл обновлений для Adobe Flash, который предлагалось скачать по одной из легитимных ссылок на сайте СМИ. Для скачивания фальшивого файла зараженные веб-сайты осуществляли перенаправление на следующие URL:
- http://1dnscontrol[.]com/flash_install[.]php;
- http://1dnscontrol[.]com/install_flash_player[.]exe.
По информации Cisco Talos, фальшивый файл представляет собой т.н. дроппер (загрузчик), который загружает основную часть ВПО. Вредоносное ПО состоит из следующих частей: шифровальщик, одна из разновидностей программы mimikatz (x86/x64) и набор ПО для распространения по сети. Далее ВПО пытается извлечь учетные данные из памяти скомпрометированной машины, а также осуществить атаку перебором по протоколу SMB на другие компьютеры сети используя предустановленный словарь логинов и паролей для дальнейшего распространения. Если машина была успешно скомпрометирована, ВПО осуществляет шифрование диска с использованием варианта ПО DiskCryptor, перезагрузку компьютера и перезапись таблицы MBR. После загрузки машины на экран выводится сообщение с требованием выкупа. За разблокировку компьютера хакеры требуют заплатить 0,05 биткоина, т.е. примерно 16 тыс. рублей или 280 долларов.
На данный момент домен, распространяющий ВПО разделегирован.
Наименование угрозы: вирус-шифровальщик BadRabbit.
Возможные векторы атаки: установка фальшивого обновления ПО (Flash Player) с скомпрометированных легитимных веб-сайтов.
Уязвимые системы: ОС семейства Windows.
Масштаб распространения угрозы: Россия, Украина, США. Федеральные СМИ, транспортные компании, госкомпании.
Превентивные меры
- Создать файл C:\windows\infpub.dat с правами «только для чтения»;
- Обновить сигнатуры антивирусного ПО;
- Сделать полную резервную копию критичных данных;
- Заблокировать доступ к вредоносному сайту http://1dnscontrol.com/;
- Проинформировать пользователей АРМ в организации об угрозе заражения и предоставить перечень рекомендуемых действий;
- Временно заблокировать прохождение трафика между сетевыми сегментами ЛВС по портам TCP 135, 445. Данная мера позволит снизить риск распространения вредоносного ПО BadRabbit внутри сети. Предварительно необходимо убедиться, что данная блокировка не нарушит бизнес-процессы организации;
- Заблокировать исполнение следующих файлов:
- C:\windows\infpub.dat;
- C:\Windows\cscc.dat;
- C:\Windows\dispci.exe.
Обнаружение
Необходимо реализовать блокировку на основе индикаторов компрометации или, как минимум, обнаружение этих индикаторов для последующего реагирования.
2.1. Индикаторы компрометации
2.1.1. Хэши вредоносных файлов (SHA256)
630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da (Dropper)
8ebc97e05c8e1073bda2efb6f4d00ad7e789260afa2c276f0c72740b838a0a93 (dispci.exe)
682ADCB55FE4649F7B22505A54A9DBC454B4090FC2BB84AF7DB5B0908F3B7806 (x32 diskcryptor drv)
0b2f863f4119dc88a22cc97c0a136c88a0127cb026751303b045f7322a8972f6 (x64 diskcryptor drv)
579FD8A0385482FB4C789561A30B09F25671E86422F40EF5CCA2036B28F99648 (infpub.dat)
2f8c54f9fa8e47596a3beff0031f85360e56840c77f71c6a573ace6f46412035 (mimikatz x86)
301b905eb98d8d6bb559c04bbda26628a942b2c4107c07a02e8f753bdcfe347c (mimikatz x64)
2.1.2 URL
Осуществить мониторинг и блокировку запросов к ресурсам в сети Интернет:
- <http://1dnscontrol.com>
- 185.149.120[.]3
После настройки необходимых правил блокировки, заражение можно будет обнаружить посредством попытки реализовать запрещенное действие (обращение к вредоносному ресурсу из известных IOC, создание файлов и тд). Также есть возможность обнаружения посредством детектирования техник, используемых в ходе атаки.
3. Рекомендации по факту заражения
Мы не рекомендуем выплачивать «выкуп» разработчикам ВПО. Восстановление данных после уплаты не гарантируется.
Рекомендации по факту заражения:
- Отключить зараженную машину от локальной сети;
- В случае отсутствия резервной копии сделать резервную копию зашифрованного диска (в случае появления утилита-дешифратора, есть вероятность восстановить данные)
- В случае наличия резервной копии данных – в зависимости от корпоративной политики ИБ, произвести удаление вредоносного ПО средствам антивируса, либо полное восстановление ОС из корпоративного «золотого образа»
- Обновить базу данных сигнатур и выполнить полную антивирусную проверку рабочей станции/сервера;