ALERTE : Campagne de rançongiciel BadRabbit (25.10.2017)

Avis et alertes de sécurité au jour le jour (aucune question posée dans ce sous-forum)

Modérateur: Modérateurs et Modératrices

ALERTE : Campagne de rançongiciel BadRabbit (25.10.2017)

Messagede pierre » 25 Oct 2017, 15:13

ALERTE de Joe Sandbox

Salut Pierre,

NotPetya réapparaît comme BadRabbit et garde le commutateur Semi Kill

Comme vous l'avez peut-être déjà entendu, une campagne de ransomware appelée BadRabbit et distribuée via drive-by a récemment frappé les pays d'Europe de l'Est, touchant de nombreuses entreprises et institutions publiques.

Nous avons analysé profondément BadRabbit dans Joe Sandbox Cloud Basic et trouvé beaucoup de similitudes avec NotPetya ransomware, le plus notable étant l'existence d'un interrupteur kill.

Note : que sont les drive-by ?
Drive-by download

Note :
BadRabbit est parfois écrit "Bad Rabbit"
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 24921
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Re: ALERTE : Campagne de rançongiciel Bad Rabbit (25.10.2017

Messagede pierre » 25 Oct 2017, 15:51

ALERTE : Campagne de rançongiciel Bad Rabbit (25.10.2017)

Version initiale de l'alerte
25 octobre 2017


Risque(s)
Installation du rançongiciel Bad Rabbit et chiffrement des données

Systèmes affectés
Tous les systèmes d'exploitations Windows peuvent être victimes de ce logiciel malveillant.

Résumé
Le 24 octobre 2017, le CERT-FR a constaté une vague de distribution de rançongiciel, Bad Rabbit, principalement localisée en Russie et dans des pays d'Europe de l'Est.

Bad Rabbit partage des portions de code avec Petya et NotPetya. Pour rappel, NotPetya a infecté de nombreuses machines en juin 2017 (voir l'alerte viewtopic.php?f=173&t=32195 ).

Cependant, dans les cas constatés, Bad Rabbit n'exploite aucune vulnérabilité pour s'installer. Des sites légitimes compromis ont servi un script javascript redirigeant les utilisateurs vers un serveur contrôlé par l'attaquant. De là, l'attaquant a incité les utilisateurs à installer le maliciel en se faisant passer pour une mise à jour Adobe Flash Player.

Les fausses alertes de mises à jour de Flash Player sont légions et sont "offertes" par de simple mécanismes publicitaires. Voir viewtopic.php?f=173&t=32195
Une fois l'utilisateur confronté à un tel placard publicitaire, le reste est une question d'ingénierie sociale : voir Ingénierie sociale

C'est l'utilisateur lui-même qui choisi d'infecter sa machine : principe du " je clic d’abord, je réfléchi ensuite " !

Si l'utilisateur a explicitement accepté la pseudo mise à jour, le fichier install_flash_player.exe est téléchargé. L'utilisateur lance alors manuellement l'exécution de cette pseudo-mise à jour (ce binaire exécutable). Si l'utilisateur possède les privilèges administratifs et s'il accepte la demande d'élévation de privilège, Bad Rabbit est installé et sa machine est infectée.

Bad Rabbit :

Contrairement à NotPetya, il semblerait techniquement possible de pouvoir déchiffrer les fichiers une fois la rançon payée.

Pour se propager dans le réseau interne, Bad Rabbit utilise le protocole SMB. Toutefois, il n'exploite aucune vulnérabilité. Il tente de récupérer des mots de passe administrateurs en mémoire avec une variante de Mimikatz. Il embarque également une liste de noms d'utilisateurs/mots de passe couramment utilisés. Le respect des bonnes pratiques, notamment le guide d'hygiène informatique de l'ANSSI (cf. section Documentation) permet de neutraliser ce vecteur d'infection.

A ce jour, le CERT-FR n'a pas connaissance de victimes françaises.

Liste de sites légitimes compromis :

hxxp://argumentiru[.]com
hxxp://www.fontanka[.]ru
hxxp://grupovo[.]bg
hxxp://www.sinematurk[.]com
hxxp://www.aica.co[.]jp
hxxp://spbvoditel[.]ru
hxxp://argumenti[.]ru
hxxp://www.mediaport[.]ua
hxxp://blog.fontanka[.]ru
hxxp://an-crimea[.]ru
hxxp://www.t.ks[.]ua
hxxp://most-dnepr[.]info
hxxp://osvitaportal.com[.]ua
hxxp://www.otbrana[.]com
hxxp://calendar.fontanka[.]ru
hxxp://www.grupovo[.]bg
hxxp://www.pensionhotel[.]cz
hxxp://www.online812[.]ru
hxxp://www.imer[.]ro
hxxp://novayagazeta.spb[.]ru
hxxp://i24.com[.]ua
hxxp://bg.pensionhotel[.]com
hxxp://ankerch-crimea[.]ru

Serveur de livraison de charge :

hxxp://1dnscontrol[.]com/flash_install.php_BAD.
hxxp://1dnscontrol[.]com/index.php_BAD.

Fichiers malveillants:

fbbdc39af1139aebba4da004475e8839 – install_flash_player.exe
1d724f95c61f1055f0d02c2154bbccd3 – C:\Windows\infpub.dat
b14d8faf7f0cbcfad051cefe5f39645f – C:\Windows\dispci.exe

Documentation

Billet de blogue ESET
https://www.welivesecurity.com/2017/10/ ... etya-back/
Billet de Blogue Kaspersky
https://securelist.com/bad-rabbit-ransomware/82851/
Billet de blogue Talos
http://blog.talosintelligence.com/2017/ ... abbit.html
Bonnes pratiques
Bonnes pratiques
https://www.ssi.gouv.fr/administration/ ... pratiques/
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 24921
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Re: ALERTE : Campagne de rançongiciel BadRabbit (25.10.2017)

Messagede pierre » 28 Oct 2017, 10:48

Il semble que les attaques n'aient eu lieu que le 24.10.2017.
Aucune autre attaque n'a été signalée depuis et les cybercriminels semblent avoir décontaminé les serveurs hackés.
Il s'agirait donc d'une attaque très ciblée, visant une entreprise ou une organisation ou une administration, la partie cryptoware/ransomware servant à détourner l'attention.
Les cybercriminels ont-ils atteint leur but ?
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 24921
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Re: ALERTE : Campagne de rançongiciel BadRabbit (25.10.2017)

Messagede pierre » 30 Oct 2017, 18:30

Version révisée de l'alerte
27 octobre 2017
Nouveaux éléments techniques

Install_flash_player.exe dépose sur le disque C:\Windows\infpub.dat et l'exécute par le biais de rundll32.exe avec les arguments #1 et 15.

  • #1 est l'ordinale de la table d'export servant de point d'entrée
  • 15 est le nombre de minutes avant de lancer la procédure de chiffrement du disque.

Infpub.dat crée deux tâches planifiées.

  • La première est chargée de lancer discpci.exe, dont le rôle est de modifier le Master Boot Record (MBR), afin de pouvoir afficher la note de rançon au prochain démarrage. Discpci.exe communique aussi avec le pilote de DiskCryptor (ici cscc.dat), un logiciel de chiffrement disponible en source ouverte.
  • La deuxième tâche planifiée sert à redémarrer le système et effacer certains événements des journaux. Après au plus dix-huit minutes (15 plus 3) , la procédure de chiffrement des fichiers avec des extensions choisies se lance.

Contrairement à NotPetya, il semblerait techniquement possible de pouvoir déchiffrer les fichiers une fois la clé AES récupérée.

Bad Rabbit tente également de récupérer des mots de passe administrateurs en mémoire avec une variante de Mimikatz.

Pour se propager dans le réseau interne, Bad Rabbit envoie des requêtes ARP et se fie aux réponses afin de se construire une liste des hôtes présents. Pour chacune de ces adresses, des tentatives de connexion sont effectuées par le biais de requêtes SMB en testant une liste de noms d'utilisateurs/mots de passe couramment utilisés. Si ces tentatives échouent, Bad Rabbit cherche à exploiter la vulnérabilité EternalRomance, corrigée au mois de mars 2017 par Microsoft (cf. section Documentation).

Bad Rabbit et NotPetya possèdent des similitudes au niveau du code ainsi qu'au niveau de l'infrastructure de livraison. Toutefois, une différence fondamentale peut expliquer la différence d'impact. NotPetya était injecté dans le réseau interne par le biais d'une mise à jour d'un logiciel dit de confiance. A l'inverse, Bad Rabbit requiert une action utilisateur, sinon rien ne se passe. Au niveau de la latéralisation, Bad Rabbit est également moins virulent.

Documentation
Billet de blogue ESET
https://www.welivesecurity.com/2017/10/ ... etya-back/

Billet de blogue Kaspersky
https://securelist.com/bad-rabbit-ransomware/82851/

Billet de blogue Talos
https://blog.talosintelligence.com/2017 ... abbit.html

Billet de blogue FireEye
https://www.fireeye.com/blog/threat-res ... a-hat.html

Billet de blogue RiskIq
https://www.riskiq.com/blog/labs/badrabbit/

Billet de blogue EndGame
https://www.endgame.com/blog/technical- ... l-analysis

Bonnes pratiques
https://www.ssi.gouv.fr/administration/ ... pratiques/

Bulletin de sécurité Microsoft MS17-10
https://technet.microsoft.com/fr-fr/lib ... y/MS17-010

Annonce de Microsoft suite à la diffusion de codes d'attaques par le groupe Shadowbrokers
https://blogs.technet.microsoft.com/msr ... ting-risk/
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 24921
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Re: ALERTE : Campagne de rançongiciel BadRabbit (25.10.2017)

Messagede pierre » 28 Nov 2017, 01:31

Alerte cloturée le 27.11.2017
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 24921
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant


Retourner vers Alertes

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 6 invités