Bad Rabbit : Not-Petya frappe à nouveau avec un rançongiciel amélioré

Bad Rabbit : Not-Petya frappe à nouveau avec un rançongiciel amélioré

Un nouveau rançongiciel, Bad Rabbit a été répandu aujourd’hui, affectant notamment certaines infrastructures ukrainiennes d’envergure dont le métro de Kiev.

Un nouveau rançongiciel, Bad Rabbit a été répandu aujourd’hui, affectant notamment certaines infrastructures ukrainiennes d’envergure dont le métro de Kiev.

Un nouveau rançongiciel, Bad Rabbit a été répandu aujourd’hui, affectant notamment certaines infrastructures ukrainiennes d’envergure, y compris le métro de Kiev.

Attaque de type « drive-by download » sur des sites populaires

Le drive-by download constitue l’une des méthodes de distribution de Bad Rabbit. Certains sites Web populaires ont été compris et du JavaScript a été injecté dans le corps de leur document HTML on dans l’un de leur fichier .js.Voici une version propre du code injecté :

Ce script transmet les informations suivantes à 185.149.120[.]3, qui ne semble plus répondre pour l’instant.

  • Navigateur (Utilisateur-Agent);
  • référent;
  • Cookies du site visité;
  • Nom de domaine du site visité.

La logique côté serveur peut déterminer si un visiteur est d’intérêt et, le cas échéant, ajouter du contenu à la page. Dans ce cas, nous avons observé un pop-up s’affichant au milieu de la page, nous demandant d’installer une mise à jour de Flash Player.

Quand on clique sur le bouton « Install », le téléchargement d’un fichier exécutable provenant de 1dnscontrol[.]com s’amorce. Ce fichier exécutable, install_flash_player.exe est l’injecteur (ou dropper) pour Win32/Diskcoder.D.

Au final, l’ordinateur est verrouillé et affiche le message de rançon suivant :

Voici une capture de la page de paiement :

Propagation par SMB

Win32/Diskcoder.D peut se propager via SMB. Contrairement à ce que certains affirment, il n’utilise pas la vulnérabilité EthernalBlue, comme c’était le cas de l’épidémie Win32/Diskcoder.C (Not-Petya). Il balaie tout d’abord les réseaux locaux pour trouver des partages SMB ouverts. Il recherche les partages suivants :

  • admin
  • atsvc
  • browser
  • eventlog
  • lsarpc
  • netlogon
  • ntsvcs
  • spoolss
  • samr
  • srvsvc
  • scerpc
  • svcctl
  • wkssvc

Mimikatz est lancé sur l’ordinateur compromis afin de récolter des informations d’identification. Une liste de noms d’utilisateur et de mots de passe codé en dur est aussi présente.

Noms d’utilisateurMots de passe
AdministratorAdministrator
Adminadministrator
GuestGuest
Userguest
User1User
user-1user
TestAdmin
rootadminTest
buhtest
bossroot
ftp123
rdp1234
rdpuser12345
rdpadmin123456
manager1234567
support12345678
work123456789
other user1234567890
operatorAdministrator123
backupadministrator123
asusGuest123
ftpuserguest123
ftpadminUser123
nasuser123
nasuserAdmin123
nasadminadmin123Test123
superusertest123
netguestpassword
alex111111
55555
77777
777
qwe
qwe123
qwe321
qwer
qwert
qwerty
qwerty123
zxc
zxc123
zxc321
zxcv
uiop
123321
321
love
secret
sex
god

Quand des identifiants qui fonctionnent sont trouvés, le fichier infpub.dat est téléversé dans le répertoire Windows et est exécuté par SCManager et rundll.exe.

Chiffrement

Win32/Diskcoder.D est une version modifiée de Win32/Diskcoder.C. Des bogues dans l’algorithme de chiffrement ont été réparés. DiskCryptor, un logiciel libre légitime utilisé pour le chiffrement de disque complet, est maintenant utilisé pour le chiffrement du disque de la victime. Les clés sont générées en utilisant CryptGenRandom, avant d’être protégées par une clé publique RSA-2048 codée en dur. Comme auparavant, AES-128-CBC est utilisé.

Distribution

Fait intéressant; la télémétrie d’ESET montre que l’Ukraine ne compte que pour 12.2% des cas où nous avons observés Win32/Diskcoder.D. Voici les statistiques en question :

  • Russie : 65%
  • Ukraine : 12.2%
  • Bulgarie : 10.2%
  • Turquie : 6.4%
  • Japon : 3.8%
  • Autre: 2.4%.

Ces données concordent assez bien à celles des sites compromis qui incluent le JavaScript malveillant. Alors, pourquoi l’Ukraine semble plus touchée que les autres pays?

Il est intéressant de noter que toutes ces grandes organisations ont été touchées au même moment. Il est donc possible que le groupe ait pu accéder à leur réseau précédemment et ait choisi de lancer l’attaque drive-by download au même moment en tant que leurre. Rien n’indique qu’elles se soient fait prendre par la fausse « Mise à jour de Flash Player ». ESET continue d’enquêter et nous allons publier nos découvertes au fur et à mesure.

Échantillons

SHA-1Nom de fichierNom de détection d’ESET Description
79116fe99f2b421c52ef64097f0f39b815b20907infpub.datWin32/Diskcoder.DDiskcoder
afeee8b4acff87bc469a6f0364a81ae5d60a2adddispci.exeWin32/Diskcoder.DLockscreen
413eba3973a15c1a6429d9f170f3e8287f98c21cWin32/RiskWare.Mimikatz.XMimikatz (32-bits)
16605a4a29a101208457c47ebfde788487be788dWin64/Riskware.Mimikatz.XMimikatz (64-bits)
de5c8d858e6e41da715dca1c019df0bfb92d32c0install_flash_player.exeWin32/Diskcoder.DInjecteur
4f61e154230a64902ae035434690bf2b96b4e018page-main.jsJS/Agent.NWCJavaScript sur les sites compromis

Serveur C&C

Site de paiement : http://caforssztxqzf2nm[.]onion
URL d’injection : http://185.149.120[.]3/scholargoogle/
URL de distribution : hxxp://1dnscontrol[.]com/flash_install.php

Liste de sites compromis en date du 2017-10-24:

  • hxxp://argumentiru[.]com
  • hxxp://www.fontanka[.]ru
  • hxxp://grupovo[.]bg
  • hxxp://www.sinematurk[.]com
  • hxxp://www.aica.co[.]jp
  • hxxp://spbvoditel[.]ru
  • hxxp://argumenti[.]ru
  • hxxp://www.mediaport[.]ua
  • hxxp://blog.fontanka[.]ru
  • hxxp://an-crimea[.]ru
  • hxxp://www.t.ks[.]ua
  • hxxp://most-dnepr[.]info
  • hxxp://osvitaportal.com[.]ua
  • hxxp://www.otbrana[.]com
  • hxxp://calendar.fontanka[.]ru
  • hxxp://www.grupovo[.]bg
  • hxxp://www.pensionhotel[.]cz
  • hxxp://www.online812[.]ru
  • hxxp://www.imer[.]ro
  • hxxp://novayagazeta.spb[.]ru
  • hxxp://i24.com[.]ua
  • hxxp://bg.pensionhotel[.]com
  • hxxp://ankerch-crimea[.]ru

 

Discussion