“坏兔子”可以在内网中扩散传播,其使用Windows ManagementInstrumentation(WMI)和服务控制远程协议,在网络中生成并执行自身拷贝文件。在使用服务控制远程协议时,“Bad Rabbit”采用字典攻击方法获取登陆凭证。
经过深入分析,我们还发现“坏兔子”使用开源工具Mimikatz获取凭证,其也会使用合法磁盘加密工具DiskCryptor加密受害者系统。
亚信安全教你如何防御
1、暂时关闭内网中打开共享的机器;
2、关闭WMI服务;
3、更换复杂密码;
4、亚信安全最新病毒码版13.740.60已经包含此病毒检测(扫描引擎版本9.850及以上),该版本病毒码已经发布,请用户及时升级病毒码版本;
5、亚信安全客户开启OfficeScan 11的行为监控功能(AEGIS),可有效阻拦勒索病毒对用户文件的加密;
6、亚信安全DDAN沙盒产品已经包含此病毒的检测,检测名:VAN_FILE_INFECTOR.UMXX.
早期的分析说明,该病毒利用了与Petya勒索病毒相似的组件进行传播,由于黑客在Petya勒索病毒及其变种中,使用了与WannaCry相同的攻击方式,都是利用MS17-010(“永恒之蓝”)漏洞传播;有些更是通过带有DOC文档的垃圾邮件附件进行传播,通过Office CVE-2017-0199漏洞来触发攻击。因此,亚信安全建议用户采取如下防护措施:
· 及时更新系统补丁程序,或者部署虚拟补丁;
· 启用防火墙以及入侵检测和预防系统;
· 主动监控和验证进出网络的流量;
· 主动预防勒索软件可能的入侵途径,如邮件,网站;
· 使用数据分类和网络分段来减少数据暴露和损坏;
· 禁用SMB端口;
· 打全补丁程序,特别是ms17-010补丁程序。
针对Petya勒索病毒解决方案
亚信安全病毒码版本(13.500.60),云病毒码版本(13.500.71)已经包含此病毒检测,2017年6月28日已经发布,请用户及时升级病毒码版本。
针对“永恒之蓝”漏洞解决方案
亚信安全DeepSecurity和TDA 已经于5月2号发布规则能够抵御该勒索病毒在内网的传播:
· TDA:2383:cve-2017-0144-RemoteCode Executeion-SMB(Request)
· Deep Security:1008306- Microsoft Windows SMB Remote Code Execution Vulnerability (MS17-010)
· 亚信安全DeepEdge在4月26日已发布了针对微软远程代码执行漏洞 CVE-2017-0144的4条IPS规则
(规则名称:微软MS17 010 SMB远程代码执行1-4,规则号:1133635,1133636,1133637,1133638)
针对Office CVE-2017-0199漏洞解决方案
亚信安全DeepSecurity 和TDA 已经于4月13日发布规则,拦截该漏洞:
· 1008285- Microsoft Word Remote Code Execution Vulnerability (CVE-2017-0199)
· 1008295 - RestrictMicrosoft Word RTF File With Embedded OLE2link Objec
· 1008297- IdentifiedSuspicious RTF File With Obfuscated Powershell Execution (CVE-2017-0199)
· TDA Rule 18 : DNS response of a queried malwareCommand and Control domain
亚信安全WRS已经可以拦截上述恶意文档相关C&C服务器及恶意链接。