- Yasaklandı
- #1
Banlı Üye
Bad rabbit adında virüs bir kaç saat önce ortaya çıktı hedef alınan ülkeler ; Türkiye-Rusya-Bulgaristan-Ukranya
Herkes dikkatli olsun yarın çözümünü atıcam...
------------
Bad Rabbit adlı yeni bir fidye derecesiyle, birçok Doğu Avrupa ülkesinde hem devlet kurumlarını hem de özel sektörü etkileyen tahribat görülüyor.
Yazarken, fidye aygıtı Rusya, Ukrayna, Bulgaristan ve Türkiye gibi ülkelere çarptı.
Onaylanan kurbanlar, Ukrayna'daki Odessa havaalanı, Ukrayna'daki Kiev metro sistemi, Altyapı Bakanlığı ve Interfax ve Fontanka'nın da aralarında bulunduğu üç Rus haber ajansını içeriyor. Ukrayna'nın CERT ekibi bir uyarı gönderdi ve Ukrayna işletmelerini bu yeni salgın hakkında uyarıyor.
Kötü Tavşanın yayılma hızı, sırasıyla Mayıs ve Haziran aylarında bu yıl vurulan WannaCry ve NotPetya salgınlarına benzer.
Sahte Flash güncellemesi yoluyla Bad Rabbit fidyeciliği teslim edildi
ESET ve Proofpoint araştırmacıları, Bad Rabbit'in başlangıçta sahte Flash güncelleme paketleri yoluyla yaygınlaştığını söylüyor; ancak fidye yazılımında, bir ağın içinde yanal olarak hareket etmesine yardımcı olan araçlar da var gibi görünüyor; bu, neden çok kısa bir sürede birkaç kuruluşta bu kadar hızlı yayılabildiğini açıklıyor olabilir .
Kaspersky tarafından yayınlanan daha sonraki bir raporda, şirketin telemetri verileri "saldırıdan dolayı fare kullanıldı" ve "kurbanlar meşru haber sitelerinden sahte Flash güncelleme paketini satan web sitesine yönlendirildi" ortaya çıktı.
ESET, Emsisoft ve Fox-IT tarafından yapılan analizlere dayanarak Bad Rabbit, yerel bilgisayarın belleğinden kimlik bilgilerini çıkarmak için Mimikatz'ı kullanıyor ve sabit kodlanmış kimlik bilgileri listesi ile birlikte aynı ağdaki sunuculara ve iş istasyonlarına SMB aracılığıyla erişmeye çalışıyor ve WebDAV [1, 2, 3].
Kötü Tavşan'a gelince, fidye yazılımı, Petya ve NotPetya'ya benzer bir disk kodlayıcı olarak adlandırılır. Bad Rabbit ilk önce kullanıcının bilgisayarındaki dosyaları şifreler ve ardından MBR'yi (Master Boot Record) değiştirir.
Kötü Tavşan işini bitirdikten sonra kullanıcının PC'sini yeniden başlatır ve bu da özel MBR fidye notuna girer. Fidye notu, Haziran salgınında NotPetya tarafından kullanılan fidye notuna neredeyse benziyor. Buna rağmen, NotPetya'ya pek benzemek yok. Intezer, Bad Rabbit ile NotPetya arasında yalnızca% 13'lük kod kullanımı olduğunu iddia ediyor.
Fidye notuna göre fidye kurbanları Tor ağındaki bir siteye erişip 0.05 Bitcoin (yaklaşık 280 $) ödemelerini istiyor. Fidye ücreti artana kadar mağdurların ödemesi 40 saatin biraz üzerinde.
Davanın altında, Bad Rabbit fidye yazılımı, bu yılın başlarında San Francisco'daki Muni ulaşım hizmetini vuran HDDCryptor fidye yazılımına benzer bir açık kaynak disk şifreleme programı olan DiskCryptor'a dayanıyor gibi görünüyor.
Kötü Tavşan kaynak kodu ayrıca Grayworm gibi karakterlere Thrones referanslarının çeşitli Oyunlarını içerir. Buna ek olarak, fidye ayrıca Drogon, Rhaegal ve Game of Thrones'tan üç ejderhanın adı olan Viserion adında üç planlanmış görevi ayarlar. Game of Thrones referanslarının bulunduğu ilk fidye yazılımı bu değil. Locky'nin dağıtım kampanyasında kullanılan senaryolardan birinde de benzer referanslar vardı.
Bad Rabbit Teknik Bilgileri
Fidye yazılımının tam analizi devam ederken, şu anda Bad Rabbit hakkında bildiklerimiz bunlar.
Daha önce de belirtildiği gibi, Bad Rabbit şu anda sahte Adobe Flash güncelleme bildirimlerini görüntülemek üzere saldırıya uğramış web siteleri aracılığıyla Rusya ve Doğu Avrupa kurbanlarını hedef alıyor. Bir kullanıcı bu bildirimleri tıklattığında, install_flash_player.exe adlı bir dosya indirilir.
Install_flash_player.exe çalıştırıldığında, C: \ Windows \ infpub.dat adlı bir dosyayı bırakır ve C: \ Windows \ system32 \ rundll32.exe C: \ Windows \ infpub.dat, # 1 komutunu kullanarak çalıştırır.
Infpub.dat çalıştırıldıktan sonra C: \ Windows \ cscc.dat ve C: \ Windows \ dispci.exe dosyalarını oluşturacaktır. Cscc.dat dosyası aslında dcrypt.sys Filtre sürücüsünün DiskCryptor'dan yeniden adlandırılmış bir kopyasıdır. Infpub.dat, cscc.dat sürücüsünü başlatmak için kullanılan Windows İstemci Tarafı Önbellekleme DDriver adı verilen bir Windows hizmeti oluşturacaktır.
Infpub.dat, kullanıcı bilgisayara bağlandığında dispci.exe dosyasını başlatan zamanlanmış bir görev de oluşturacaktır. Bu planlanan göreve Game of Thrones serisindeki ejderlerden birinin ardından Rhaegal adı verilir. Bu zamanlanmış görev "C: \ Windows \ dispci.exe" -id [id] && exit komutunu yürütür.
dispci.exe dosyasıyla birlikte cscc.dat sürücüsü, bir kurbanın bilgisayarını açtığında diski şifrelemek ve ana önyükleme kaydını değiştirmek için aşağıda gösterilen fidye notunu görüntülemek için kullanılır.
Infpub.dat, yine de, tamamlanmış değil ve onun biraz daha hileler var. DiskCryptor bileşenlerini yükledikten sonra, kurbanının bilgisayarındaki dosyaların kullanıcı modunda şifrelenmesini de gerçekleştirir. Bu dosyalar, AES şifrelemesi olarak görünen ile şifrelenecektir. Dosyaları şifrelemek için kullanılan AES şifreleme anahtarı dahili bir RSA-2048 genel anahtarı ile şifrelenecektir. Şu anda nihai şifrelenmiş anahtarı nerede sakladığı bilinmiyor, ancak şifreli dosyalara eklenebilir.
Kötü Tavşan dosyaları şifrelediğinde, çoğu diğer fidan teçhizatının aksine, şifreli dosyanın adına yeni bir uzantı eklemeyecektir. Ancak, aşağıda gösterildiği gibi her şifrelenmiş dosyanın sonuna "şifrelenmiş" dosya işaretleyici dizesini ekleyecektir.
En son olarak, Infpub.dat, aynı zamanda SMB aracılığıyla diğer bilgisayarlara yayma becerisini de içerir. Bunu, mağdurun bilgisayarından çalınan kimlik bilgileri yoluyla veya birlikte verilen kullanıcı adlarının ve şifrelerinin bir listesini denemek suretiyle SMB üzerinden ağ paylaşımlarına erişmeye çalışarak yapar. Uzak bir ağ paylaşımına erişebiliyorsa, kendini kopyalayıp diğer bilgisayarda fidye yazılımını çalıştırır.
En son olarak, Infpub.dat, aynı zamanda SMB aracılığıyla diğer bilgisayarlara yayma becerisini de içerir. Bunu, mağdurun bilgisayarından çalınan kimlik bilgileri yoluyla veya birlikte verilen kullanıcı adlarının ve şifrelerinin bir listesini denemek suretiyle SMB üzerinden ağ paylaşımlarına erişmeye çalışarak yapar. Uzak bir ağ paylaşımına erişebiliyorsa, kendini kopyalayıp diğer bilgisayarda fidye yazılımını çalıştırır.
Herkes dikkatli olsun yarın çözümünü atıcam...
------------
Bad Rabbit adlı yeni bir fidye derecesiyle, birçok Doğu Avrupa ülkesinde hem devlet kurumlarını hem de özel sektörü etkileyen tahribat görülüyor.
Yazarken, fidye aygıtı Rusya, Ukrayna, Bulgaristan ve Türkiye gibi ülkelere çarptı.
Onaylanan kurbanlar, Ukrayna'daki Odessa havaalanı, Ukrayna'daki Kiev metro sistemi, Altyapı Bakanlığı ve Interfax ve Fontanka'nın da aralarında bulunduğu üç Rus haber ajansını içeriyor. Ukrayna'nın CERT ekibi bir uyarı gönderdi ve Ukrayna işletmelerini bu yeni salgın hakkında uyarıyor.
Kötü Tavşanın yayılma hızı, sırasıyla Mayıs ve Haziran aylarında bu yıl vurulan WannaCry ve NotPetya salgınlarına benzer.
Sahte Flash güncellemesi yoluyla Bad Rabbit fidyeciliği teslim edildi
ESET ve Proofpoint araştırmacıları, Bad Rabbit'in başlangıçta sahte Flash güncelleme paketleri yoluyla yaygınlaştığını söylüyor; ancak fidye yazılımında, bir ağın içinde yanal olarak hareket etmesine yardımcı olan araçlar da var gibi görünüyor; bu, neden çok kısa bir sürede birkaç kuruluşta bu kadar hızlı yayılabildiğini açıklıyor olabilir .
Kaspersky tarafından yayınlanan daha sonraki bir raporda, şirketin telemetri verileri "saldırıdan dolayı fare kullanıldı" ve "kurbanlar meşru haber sitelerinden sahte Flash güncelleme paketini satan web sitesine yönlendirildi" ortaya çıktı.
ESET, Emsisoft ve Fox-IT tarafından yapılan analizlere dayanarak Bad Rabbit, yerel bilgisayarın belleğinden kimlik bilgilerini çıkarmak için Mimikatz'ı kullanıyor ve sabit kodlanmış kimlik bilgileri listesi ile birlikte aynı ağdaki sunuculara ve iş istasyonlarına SMB aracılığıyla erişmeye çalışıyor ve WebDAV [1, 2, 3].
Kötü Tavşan'a gelince, fidye yazılımı, Petya ve NotPetya'ya benzer bir disk kodlayıcı olarak adlandırılır. Bad Rabbit ilk önce kullanıcının bilgisayarındaki dosyaları şifreler ve ardından MBR'yi (Master Boot Record) değiştirir.
Kötü Tavşan işini bitirdikten sonra kullanıcının PC'sini yeniden başlatır ve bu da özel MBR fidye notuna girer. Fidye notu, Haziran salgınında NotPetya tarafından kullanılan fidye notuna neredeyse benziyor. Buna rağmen, NotPetya'ya pek benzemek yok. Intezer, Bad Rabbit ile NotPetya arasında yalnızca% 13'lük kod kullanımı olduğunu iddia ediyor.
Fidye notuna göre fidye kurbanları Tor ağındaki bir siteye erişip 0.05 Bitcoin (yaklaşık 280 $) ödemelerini istiyor. Fidye ücreti artana kadar mağdurların ödemesi 40 saatin biraz üzerinde.
Davanın altında, Bad Rabbit fidye yazılımı, bu yılın başlarında San Francisco'daki Muni ulaşım hizmetini vuran HDDCryptor fidye yazılımına benzer bir açık kaynak disk şifreleme programı olan DiskCryptor'a dayanıyor gibi görünüyor.
Kötü Tavşan kaynak kodu ayrıca Grayworm gibi karakterlere Thrones referanslarının çeşitli Oyunlarını içerir. Buna ek olarak, fidye ayrıca Drogon, Rhaegal ve Game of Thrones'tan üç ejderhanın adı olan Viserion adında üç planlanmış görevi ayarlar. Game of Thrones referanslarının bulunduğu ilk fidye yazılımı bu değil. Locky'nin dağıtım kampanyasında kullanılan senaryolardan birinde de benzer referanslar vardı.
Bad Rabbit Teknik Bilgileri
Fidye yazılımının tam analizi devam ederken, şu anda Bad Rabbit hakkında bildiklerimiz bunlar.
Daha önce de belirtildiği gibi, Bad Rabbit şu anda sahte Adobe Flash güncelleme bildirimlerini görüntülemek üzere saldırıya uğramış web siteleri aracılığıyla Rusya ve Doğu Avrupa kurbanlarını hedef alıyor. Bir kullanıcı bu bildirimleri tıklattığında, install_flash_player.exe adlı bir dosya indirilir.
Install_flash_player.exe çalıştırıldığında, C: \ Windows \ infpub.dat adlı bir dosyayı bırakır ve C: \ Windows \ system32 \ rundll32.exe C: \ Windows \ infpub.dat, # 1 komutunu kullanarak çalıştırır.
Infpub.dat çalıştırıldıktan sonra C: \ Windows \ cscc.dat ve C: \ Windows \ dispci.exe dosyalarını oluşturacaktır. Cscc.dat dosyası aslında dcrypt.sys Filtre sürücüsünün DiskCryptor'dan yeniden adlandırılmış bir kopyasıdır. Infpub.dat, cscc.dat sürücüsünü başlatmak için kullanılan Windows İstemci Tarafı Önbellekleme DDriver adı verilen bir Windows hizmeti oluşturacaktır.
Infpub.dat, kullanıcı bilgisayara bağlandığında dispci.exe dosyasını başlatan zamanlanmış bir görev de oluşturacaktır. Bu planlanan göreve Game of Thrones serisindeki ejderlerden birinin ardından Rhaegal adı verilir. Bu zamanlanmış görev "C: \ Windows \ dispci.exe" -id [id] && exit komutunu yürütür.
dispci.exe dosyasıyla birlikte cscc.dat sürücüsü, bir kurbanın bilgisayarını açtığında diski şifrelemek ve ana önyükleme kaydını değiştirmek için aşağıda gösterilen fidye notunu görüntülemek için kullanılır.
Infpub.dat, yine de, tamamlanmış değil ve onun biraz daha hileler var. DiskCryptor bileşenlerini yükledikten sonra, kurbanının bilgisayarındaki dosyaların kullanıcı modunda şifrelenmesini de gerçekleştirir. Bu dosyalar, AES şifrelemesi olarak görünen ile şifrelenecektir. Dosyaları şifrelemek için kullanılan AES şifreleme anahtarı dahili bir RSA-2048 genel anahtarı ile şifrelenecektir. Şu anda nihai şifrelenmiş anahtarı nerede sakladığı bilinmiyor, ancak şifreli dosyalara eklenebilir.
Kötü Tavşan dosyaları şifrelediğinde, çoğu diğer fidan teçhizatının aksine, şifreli dosyanın adına yeni bir uzantı eklemeyecektir. Ancak, aşağıda gösterildiği gibi her şifrelenmiş dosyanın sonuna "şifrelenmiş" dosya işaretleyici dizesini ekleyecektir.
En son olarak, Infpub.dat, aynı zamanda SMB aracılığıyla diğer bilgisayarlara yayma becerisini de içerir. Bunu, mağdurun bilgisayarından çalınan kimlik bilgileri yoluyla veya birlikte verilen kullanıcı adlarının ve şifrelerinin bir listesini denemek suretiyle SMB üzerinden ağ paylaşımlarına erişmeye çalışarak yapar. Uzak bir ağ paylaşımına erişebiliyorsa, kendini kopyalayıp diğer bilgisayarda fidye yazılımını çalıştırır.
En son olarak, Infpub.dat, aynı zamanda SMB aracılığıyla diğer bilgisayarlara yayma becerisini de içerir. Bunu, mağdurun bilgisayarından çalınan kimlik bilgileri yoluyla veya birlikte verilen kullanıcı adlarının ve şifrelerinin bir listesini denemek suretiyle SMB üzerinden ağ paylaşımlarına erişmeye çalışarak yapar. Uzak bir ağ paylaşımına erişebiliyorsa, kendini kopyalayıp diğer bilgisayarda fidye yazılımını çalıştırır.
