にゃんたくのひとりごと

ひとりごとです。感じたことだけをただ気ままに書きます。

ランサムウェア『Bad Rabbit』について超絶簡単にまとめてみた。 #BadRabbit

どもどもにゃんたくです(「・ω・)「ガオー

 

新しいランサムウェア『Bad Rabbit(バッドラビット)』について話題になっているため、現時点(2017/10/25 AM09:30時点ですが都度更新予定)で、僕が収集できた情報をまとめておきます。

※とりいそぎ、ですので悪しからずm(_ _)m

 

今回の感染ですが、

・Webサイトに悪意のあるjavascriptが埋め込まれてしまい、サイトにアクセスした利用者はドライブバイダウンロードで感染する

 

・悪意のあるjavascriptが埋め込まれたサイトでは偽のFlash Player用のアップデートをダウンロードするよう求めるポップアップが表示される

 

・上記のアップデートを『インストール』するとランサムウェアに感染してしまう

 

という流れで感染してしまうようです。

 

 

偽のFlash Player用のアップデートでインストールされる『install_flash_player.exe』情報

▼ファイル名

install_flash_player.exe

 

▼Hash値

・SHA-256

630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da

MD5

fbbdc39af1139aebba4da004475e8839

SHA-1

de5c8d858e6e41da715dca1c019df0bfb92d32c0

 

Virustotal結果

https://www.virustotal.com/#/file/630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da/details

 

▼install_flash_player.exeのインストール先のドメイン

1dnscontrol [.] com

Virustotal結果→https://www.virustotal.com/#/domain/1dnscontrol.com

※URLは、hxxp://1dnscontrol[.]com/flash_install[.]php

 

『install_flash_player.exe』をインストールしたあとにコンピュータ上で作成されるファイル一覧

 

C:\Windows\infpub.dat

C:\Windows\cscc.dat

C:\Windows\dispci.exe

C:\Windows\System32\Tasks\drogon

C:\Windows\System32\Tasks\rhaegal

 

▼infpub.dat

Hash値:579fd8a0385482fb4c789561a30b09f25671e86422f40ef5cca2036b28f99648

Virustotal結果

https://www.virustotal.com/#/file/579fd8a0385482fb4c789561a30b09f25671e86422f40ef5cca2036b28f99648/detection

※SMB経由で他のコンピュータに広がる機能も含む

 

▼cscc.dat

Hash値:0b2f863f4119dc88a22cc97c0a136c88a0127cb026751303b045f7322a8972f6

Virustotal結果

https://www.virustotal.com/#/file/0b2f863f4119dc88a22cc97c0a136c88a0127cb026751303b045f7322a8972f6/detection

 

▼dispci.exe

Hash値:8ebc97e05c8e1073bda2efb6f4d00ad7e789260afa2c276f0c72740b838a0a93

Virustotal結果

https://www.virustotal.com/#/file/8ebc97e05c8e1073bda2efb6f4d00ad7e789260afa2c276f0c72740b838a0a93/detection

 

▼drogonやvise rionについて

これらは、

・ログイン時に他のプログラムを実行

Windowsが起動する前にブートロック画面を表示

・コンピュータをシャットダウンして再起動

の機能を含んでいる

 

感染後の通信先

hxxp://caforssztxqzf2nm[.]onion

Virustotal結果

https://www.virustotal.com/#/url/215c51377722653ecdc9f422c5c88525922524170f8ec1df9d81c828d043fce0/detection

 

暗号化される拡張子まとめ

.3ds .7z .accdb .ai .asm .asp .aspx .avhd .back .bak .bmp .brw .c .cab .cc .cer .cfg .conf .cpp .crt .cs .ctl .cxx .dbf .der .dib .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .hpp .hxx .iso .java .jfif .jpe .jpeg .jpg .js .kdbx .key .mail .mdb .msg .nrg .odc .odf .odg .odi .odm .odp .ods .odt .ora .ost .ova .ovf .p12 .p7b .p7c .pdf .pem .pfx .php .pmf .png .ppt .pptx .ps1 .pst .pvi .py .pyc .pyw .qcow .qcow2 .rar .rb .rtf .scm .sln .sql .tar .tib .tif .tiff .vb .vbox .vbs .vcb .vdi .vfd .vhd .vhdx .vmc .vmdk .vmsd .vmtm .vmx .vsdx .vsv .work .xls .xlsx .xml .xvd .zip

 

参考情報

www.bleepingcomputer.com

 

www.welivesecurity.com

 

d.hatena.ne.jp

 

 

Bad Rabbit ransomware - Securelist

Bad Rabbit ransomware: A new variant of Petya is spreading, warn researchers | ZDNet

https://gizmodo.com/bad-rabbit-ransomware-strikes-russia-and-ukraine-1819814538

ランサムウェア「BadRabbit」が猛威、交通機関やメディアに被害 - ITmedia エンタープライズ

Return of Not Petya as Bad Rabbit Diskcoder, yes those two are the same! – Mjolnir Security

データを暗号化して身代金を要求するマルウェア「Bad Rabbit」の感染被害が急拡大 - GIGAZINE

「Bad Rabbit」ランサムウェアの感染拡大、ロシアなどで報告--「Petya」亜種か - ZDNet Japan

https://otx.alienvault.com/pulse/59effcdc7b645929152518a9/

https://securingtomorrow.mcafee.com/mcafee-labs/badrabbit-ransomware-burrows-russia-ukraine/

新たなランサムウエア「Bad Rabbit」について

新しい暗号化型ランサムウェア「Bad Rabbit」、ネットワーク経由で拡散、ウクライナとロシアなどで確認される | トレンドマイクロ セキュリティブログ

ランサムウエア「Bad Rabbit」、ファイルや変数の名前に「ゲーム・オブ・スローンズ」のキャラクターを使用 -INTERNET Watch

ランサムウェア「Bad Rabbit」、日本の被害情報は“錯綜” - ZDNet Japan

新種ランサムウェア「Bad Rabbit」、国内でも感染か - JPCERT/CC | マイナビニュース

【セキュリティ ニュース】「Petya」類似の新種ランサム「Bad Rabbit」 - ニュースサイト経由で感染誘導(1ページ目 / 全1ページ):Security NEXT

【セキュリティ ニュース】国内でも「Bad Rabbit」を観測 - 2月には誘導スクリプトが稼働か(1ページ目 / 全2ページ):Security NEXT

【セキュリティ ニュース】ランサム「Bad Rabbit」拡散、国内サイトも踏み台に - 3.8%を日本で検出(1ページ目 / 全2ページ):Security NEXT 

感染が拡大中のランサムウェア「Bad Rabbit」の対策について:IPA 独立行政法人 情報処理推進機構

 

以上です。何かの参考にしていただけたら幸いです。

 

<更新履歴>

2017/10/25 10:20 公開

2017/10/25 11:50 参考情報追記、暗号化される拡張子まとめの項目追加

2017/10/25 20:00 参考情報追記