安全是有分量的

香港高防cdn_云防护怎么关闭_零误杀

2022-01-12 18:40栏目:数据

香港高防cdn_云防护怎么关闭_零误杀

更新"BadRabbit/Diskcoder.D"2017年10月24日:

摘要

2017年10月24日,发现BadRabbit/Diskcoder.D是Not Petya的一个变体,影响俄罗斯、乌克兰、保加利亚以及欧洲和亚洲的其他国家。这个新的变体利用硬编码凭证、凭证盗窃和Windows管理共享在本地网络上传播。BadRabbit还试图使用被盗的凭据(如Exchange服务器)感染WebDav服务器,并且缺乏通过EternalBlue漏洞传播的能力,这使得它的前身(而不是Petya)如此有效。

Cyber Fusion Center的初步分析显示,这种攻击是一种新的组合,美国高防cdnhostloc,既有传递、下载,开放源代码、勒索软件和加密工具。最初的感染媒介很可能是水洞攻击和驾车下载。一旦机器最初受到感染,Diskcoder.D勒索软件开始将勒索软件传播到本地网络上的其他机器。

Kudelski Security已确认Diskcoder.D不会将加密密钥上传给攻击者,因此,对于勒索软件的作者来说,很可能不可能真正解密任何受到影响的受害者的文件。库德尔斯基安全公司强烈建议受影响的受害者不要支付任何赎金。

库德尔斯基安全公司继续看到针对不同垂直方向的此类攻击,似乎始于欧洲。这个最新的例子发生在欧洲和美国的安全组织,包括库德尔斯基安全,幻盾ddos动态防御系统,最近警告有关这种威胁活动。

描述

BadRabbit勒索软件可能是通过水洞或驱动器的攻击作为一个假的Adobe Flash Player更新。鼓励用户下载并运行可执行文件,弹出窗口警告用户Adobe Flash Player更新可用:

一旦恶意软件被执行,它就会试图使用MimiKatz从受感染的机器上窃取凭据。然后,在mininet防御ddos,BadRabbit试图通过执行地址解析协议(ARP)扫描来识别同一本地子网上的其他计算机。一旦确定了其他潜在的受害者,BadRabbit就会试图利用被盗的和硬编码的凭据在目标系统上装载远程SMB共享,复制并在这些目标上执行勒索软件。此外,BadRabbit尝试使用WebDav将勒索软件上载并执行到启用WebDav的系统(如Microsoft Exchange)。

在BadRabbit扫描网络以寻找其他受害者的同时,勒索软件在机器上创建两个计划任务:

Drogon–创建用于重新启动机器Rhaegal–一旦机器重新启动,就会启动加密过程

一旦BadRabbit在本地网络上找到其他受害者并试图执行其恶意负载,就会发生重新启动,计算机开始加密本地驱动器。加密使用合法和流行的开源DiskCryptor软件执行,并通过前面提到的"Rhaegal"计划任务触发。

勒索软件包括以下硬编码凭据(尝试所有用户名和密码组合):

用户名密码管理员管理员管理管理员客人客人用户客人用户1用户用户1用户试验管理根管理员测试布赫测试老板根资金转移定价123rdp公司1234rdpuser12345rdpadmin公司123456经理1234567支持12345678工作123456789其他用户1234567890操作人员管理员123备份管理员123苏客人123ftpuser公司客人123ftpadmin用户123北美用户123纳苏尔管理员123纳沙明管理员123test123超级用户测试123网络来宾密码亚历克斯1111115555577777777qwe公司qwe123型qwe321qwer公司克沃特qwerty公司问题123zxc公司zxc123型zxc321型zxcv公司uiop公司123321321爱秘密性god

补救建议:

Kudelski Security强烈建议客户端利用客户端防火墙阻止终端用户机器和台式机上的SMB入站。此外,Kudelski Security建议客户端限制对最终用户计算机具有本地管理访问权限的用户数。限制对最终用户计算机的管理访问将防止凭证盗窃企图和创建计划任务,因此,防止这种勒索软件进行加密。

Kudelski Security还建议使用Windows 10 Enterprise的客户端启用操作系统的凭据保护功能(https://docs.microsoft.com/en-us/windows/access-protection/credential-guard/credential-guard)为了防止发生凭证盗窃企图,即使是通过具有管理权限的恶意软件运行。

客户端也应启用Windows 10的受控文件夹访问功能(https://docs.microsoft.com/en-us/windows/threat-protection/windows-defender-exploit-guard/controlled-folders-exploit-guard)防止勒索软件更改或加密存储在受控文件中的数据文件夹。

使用基于网络的入侵检测系统(IDS)的客户端应查找"GPL NETBIOS SMB-DS重复登录失败"或类似警报,以识别BadRabbit使用硬编码凭据装载SMB共享的潜在尝试。

Kudelski Security Cyber Fusion Center已执行搜索代表我们的威胁监控、端点检测和响应客户端的BadRabbit/Diskcoder.D。如果发现任何可疑或恶意活动是勒索软件活动的一部分,Cyber Fusion Center将创建安全事件。

Cyber Fusion Center将继续与我们的供应商合作伙伴合作,以确保更新所有受管理和监控的技术以检测此情况威胁

来源

https://www.welivesecurity.com/2017/10/24/kiev-metro-hit-new-variant-infamous-diskcoder-ransomware/

https://securelist.com/bad-rabbit-ransomware/82851/

指示灯

安装\u flash \u player.exe(滴管):de5c8d858e6e41da715dca1c019df0bfb92d32c0

Mimikatz(32位):413eba3973a15c1a6429d9f170f3e8287f98c21c

Mimikatz(64位):16605A4A29A10208457C47EBFDE788487BE788D

Infpub.dat DLL(撒布器和加密):79116fe99f2b421c52ef64097f0f39b815b20907

Discpi.exe(锁屏):afeee8b4acff87bc469a6f0364a81ae5d60a2add

支付站点:hxxp://caforssztxqzf2nm[.]洋葱

注入URL:hxxp://185.149.120[.]3/学校报/

分布网址:hxxp://1dnscontrol[.]com/flash_install.php

用于分发假冒Adobe flash Player更新的受损网站列表: