Utenti Home       Utenti Aziendali       Chi Siamo       Contratto EULA.

Dettaglio news

Ransomware Bad Rabbit: un'analisi tecnica
- GIOVEDÌ 26 OTTOBRE 2017


Ecco una analisi tecnica del ransomware Bad Rabbit: secondo i nostri dati telemetrici attualmente non ha colpito nessuno dei nostri utenti.

Tecnica di Propagazione.
Bad Rabbi viene distribuito tramite un attacco drive-by-download dal link sotto:
hxxp://1dnscontrol[.]com/flash_install.php

Il Payload è camuffato da aggiornamento di Flash Player chiamato "install_flash_player.exe” . Il ransomware ottiene i privilegi di amministrazione usando un prompt UAC (User Account Control). Quindi scarica ‘C:\Windows\infpub.dat’ che è un file DLL che viene eseguito tramite ‘rundll32.exe’.

Flusso di esecuzione

File collegati
Il ransomware Bad Rabbit scarica molteplici file, i cui nomi riprendono alcuni personaggi della popolare serie TV Games o Thrones.
  • C:\Windows\infpub.dat
  • C:\Windows\System32\Tasks\drogon
  • C:\Windows\System32\Tasks\rhaegal
  • C:\Windows\cscc.dat
  • C:\Windows\dispci.exe
Sotto uno screenshot del codice del ransomware che usa  ‘rundll32.exe’ per eseguire ‘infpub.dat’

Il file ‘infpub.dat’ scarica un eseguibile dannoso chiamato  ‘dispci.exe’ in C:\Windows: questo è il file responsabile della criptazione del disco. Il file  ‘infpub.dat’ crea anche due processi dal nome 'drogon' (usato per forzare il riavvio) e 'rhaegal' (usato per avviare un programma nello startup). 



‘infpub.dat’ è responsabile anche della criptazione dei file: questa avviene con una chiave pubblica condivisa RSA-2048 per la lista di estensioni di file sottoelencata. 


Il file scaricato ‘dispci.exe’ usa informazioni provenienti da una utility genuina di DiskCryptor, che è poi responsabile dell'infezione dell'MBR: questo comporta il blocco del processo di boot sul sistema infetto fino a quando il riscatto non viene pagato (sotto la nota di riscatto). 


Come si diffonde nella rete
Il file ‘infpub.dat’ tenta un attacco di brute-force usando credenziali di login inserite nel codice, ma usa anche un modulo Mimikatz per estrarre le credenziali NTLM dalla memoria del sistema. Queste credenziali sono usate per infettare anche i computer e i server nella stessa rete attraverso SMB e WebDAV (sotto è possibile vedere il tentativo di brute-force via SMB). 


Somiglianze tra Bad Rabbit e Not Petya
  • scaricano il file DLL nella cartella Windows con l'estensione .dat e lo esegue usando  ‘rundll32.exe’ con ordinale 1 (#1);
  • usano il modulo MimiKatz per estrarre le credenziali NTLM;
  • mostrano una nota di riscatto simile dopo l'infezione dell'MBR;
  • usano WMI e SMB per diffondersi lungo la rete.
Al contrario però di NotPetya, Bad Rabbit non è un disk-wiper.

Indicatori di compromissione

URL dannosi
http://1dnscontrol[.]com
http://1dnscontrol[.]com/flash_install.php

Individuazione da parte di Quick Heal



Come stare al sicuro?
Vedi qui l'articolo con tutte le indicazioni utili.



Leggi tutte le news     |     Leggi tutti gli update
Ultime news

LUNEDÌ 18 NOVEMBRE 2019
Quick Heal supporta il Windows 10 November Update
Microsoft ha diffuso recentemente il nuovo aggiornamento cumulativo per i pc che eseguono Windows 10, chiamato Windows 10 November Update.   Ecco alcune de...

leggi tutte le news

Premi e Certificazioni

La qualità dei prodotti Quick Heal vanta innumerevoli premi e certificazioni a testimonianza della sempre crescente importanza del marchi a livello mondiale nel settore Antivirus e sicurezza informatica

Continua a leggere »

Chi siamo
Panoramica
La nostra storia
Premi & Certificazioni
Scheda riepilogativa
Clienti
Dicono di noi
Trova un rivenditore
Manuali e schede tecniche
Chiedi aiuto
Contatti
Update
Rivenditori
Diventa rivenditore
Strumenti di supporto
Link rapidi
Rinnova ora
File di installazione
Supporto
Contratto EULA.
Download Upgrade

S-MART è un marchio di proprietà netWork Sas
P.IVA: 05345670482

© 2019 nwk - Privacy Policy - Cookie Policy - Login