Utenti Home       Utenti Aziendali       Chi Siamo       Contratto EULA.

Dettaglio news

Ransomware Bad Rabbit: un'analisi tecnica
- GIOVEDÌ 26 OTTOBRE 2017


Ecco una analisi tecnica del ransomware Bad Rabbit: secondo i nostri dati telemetrici attualmente non ha colpito nessuno dei nostri utenti.

Tecnica di Propagazione.
Bad Rabbi viene distribuito tramite un attacco drive-by-download dal link sotto:
hxxp://1dnscontrol[.]com/flash_install.php

Il Payload è camuffato da aggiornamento di Flash Player chiamato "install_flash_player.exe” . Il ransomware ottiene i privilegi di amministrazione usando un prompt UAC (User Account Control). Quindi scarica ‘C:\Windows\infpub.dat’ che è un file DLL che viene eseguito tramite ‘rundll32.exe’.

Flusso di esecuzione

File collegati
Il ransomware Bad Rabbit scarica molteplici file, i cui nomi riprendono alcuni personaggi della popolare serie TV Games o Thrones.
  • C:\Windows\infpub.dat
  • C:\Windows\System32\Tasks\drogon
  • C:\Windows\System32\Tasks\rhaegal
  • C:\Windows\cscc.dat
  • C:\Windows\dispci.exe
Sotto uno screenshot del codice del ransomware che usa  ‘rundll32.exe’ per eseguire ‘infpub.dat’

Il file ‘infpub.dat’ scarica un eseguibile dannoso chiamato  ‘dispci.exe’ in C:\Windows: questo è il file responsabile della criptazione del disco. Il file  ‘infpub.dat’ crea anche due processi dal nome 'drogon' (usato per forzare il riavvio) e 'rhaegal' (usato per avviare un programma nello startup). 



‘infpub.dat’ è responsabile anche della criptazione dei file: questa avviene con una chiave pubblica condivisa RSA-2048 per la lista di estensioni di file sottoelencata. 


Il file scaricato ‘dispci.exe’ usa informazioni provenienti da una utility genuina di DiskCryptor, che è poi responsabile dell'infezione dell'MBR: questo comporta il blocco del processo di boot sul sistema infetto fino a quando il riscatto non viene pagato (sotto la nota di riscatto). 


Come si diffonde nella rete
Il file ‘infpub.dat’ tenta un attacco di brute-force usando credenziali di login inserite nel codice, ma usa anche un modulo Mimikatz per estrarre le credenziali NTLM dalla memoria del sistema. Queste credenziali sono usate per infettare anche i computer e i server nella stessa rete attraverso SMB e WebDAV (sotto è possibile vedere il tentativo di brute-force via SMB). 


Somiglianze tra Bad Rabbit e Not Petya
  • scaricano il file DLL nella cartella Windows con l'estensione .dat e lo esegue usando  ‘rundll32.exe’ con ordinale 1 (#1);
  • usano il modulo MimiKatz per estrarre le credenziali NTLM;
  • mostrano una nota di riscatto simile dopo l'infezione dell'MBR;
  • usano WMI e SMB per diffondersi lungo la rete.
Al contrario però di NotPetya, Bad Rabbit non è un disk-wiper.

Indicatori di compromissione

URL dannosi
http://1dnscontrol[.]com
http://1dnscontrol[.]com/flash_install.php

Individuazione da parte di Quick Heal



Come stare al sicuro?
Vedi qui l'articolo con tutte le indicazioni utili.



Leggi tutte le news     |     Leggi tutti gli update
Ultime news

VENERDÌ 12 LUGLIO 2019
ALERT: il malware Agent Smith fa strage di smartphone Android
Siamo proprio sicuri che il WhatsAPP che stiamo usando in questo momento sul nostro smartphone Android sia quello vero? Siamo sicuri che stia realmente funzionando come c...

leggi tutte le news

Premi e Certificazioni

La qualità dei prodotti Quick Heal vanta innumerevoli premi e certificazioni a testimonianza della sempre crescente importanza del marchi a livello mondiale nel settore Antivirus e sicurezza informatica

Continua a leggere »

Chi siamo
Panoramica
La nostra storia
Premi & Certificazioni
Scheda riepilogativa
Clienti
Dicono di noi
Trova un rivenditore
Manuali e schede tecniche
Chiedi aiuto
Contatti
Update
Rivenditori
Diventa rivenditore
Strumenti di supporto
Link rapidi
Rinnova ora
File di installazione
Supporto
Contratto EULA.
Download Upgrade

S-MART è un marchio di proprietà netWork Sas
P.IVA: 05345670482

© 2019 nwk - Privacy Policy - Cookie Policy - Login