Bad Rabbit Ransomware (Fidye Zararlısı)

by Çağrı POLAT - Ekim 25, 2017


BadRabbbit isminde fidye zararlı yazılımı vakaları Rusya, Ukrayna, Türkiye ve Bulgaristan’da görülerek, Avrupaya da yayılmaya başladığını görülmektedir.

Yayılmaya başlayan siber saldırıda kullanılan zararlı BadRabbit olarak anılıyor. Saldırı sahte Adode Flash güncellemesi görünümünde yükleyici üzerinden bulaşıyor. Sisteme bulaştıktan sonra WannaCry gibi EthernalBlue exploitini kullanarak hak yükseltiyor ve diğer sistemlere bulaşıyor.

BadRabbit aynı zamanda sisteme bulaştıktan sonra hesap bilgilerini ele geçirmek için Mimikatz’ı kullandığı ifade ediliyor.

BadRabbit sisteme bulaştıktan sonra kullanıcıdan 0.05 Bitcoin fidye talep edip ödeme için süre saymaktadır [1].

Saldırı Detayları:
Tehdit bir JavaScript kullanarak website/watering hole attack metodu ile saldıyı gerçekleştiriyor. JavaScript, kötü amaçlı bir Flash Player güncellemesi yüklemek için bir pop-up oluşturuyor ve saldırıya maruz kalan kullanıcı "Yükle" düğmesini tıklattığı zaman, zararlı hxxp: // 1dnscontrol [.] com adresinden install_flash_player.exe adında indiriliyor.

İndirilen bu dosya ana tehdit unsuru olmakla birlikte ortamdaki açık paylaşımları taramaktadır. Zararlı Rundll.exe üzerinden infpub.dat HackTool dosyasını çalıştırarak kimlik ve erişim bilgilerini topluyor.

Bu işlemin ardından diskleri şifrelemek için DiskCryptor aracını, kilit ekranını oluşturmak içinde dispci.exe'yi kullanmaktadır [2].

Türkiye'de Durum:
Türkiye’de aşağıdaki sitelerden yayıldığı tespit edildi.
hxxp://www.sinematurk[.]com
hxxp://ucarsoft[.]com
hxxp://tweetlerim[.]gen.tr
hxxp://sarktur[.]com [3]

Hash Değerleri:
install_flash_player.exe - Ransom.BadRabbit – Dropper component
MD5: fbbdc39af1139aebba4da004475e8839
SHA2: 630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da
Total Cloud Protection(SEP14): Trojan Horse – Available now
Detected as: Ransom.BadRabbit RR Seq: 188194 – Ext: 20171024.016
infpub.dat - Ransom.BadRabbit – Main Threat/Encryptor component
MD5: 1d724f95c61f1055f0d02c2154bbccd3
SHA2: 579fd8a0385482fb4c789561a30b09f25671e86422f40ef5cca2036b28f99648
Total Cloud Protection(SEP14): Trojan Horse – Available now
Detected as: Ransom.BadRabbit - RR Seq: 188198 – Ext: 20171024.020

dispci.exe - Ransom.BadRabbit – ScreenLocker component
MD5: b14d8faf7f0cbcfad051cefe5f39645f
SHA2: 8ebc97e05c8e1073bda2efb6f4d00ad7e789260afa2c276f0c72740b838a0a93
Total Cloud Protection(SEP14): Trojan Horse – Available now
Detected as: Ransom.BadRabbit - RR Seq: 188198 – Ext: 20171024.020

TMP file - Ransom.BadRabbit – Hacktool component
MD5: 347ac3b6b791054de3e5720a7144a977
SHA2: 301b905eb98d8d6bb559c04bbda26628a942b2c4107c07a02e8f753bdcfe347c
Detected as: Ransom.BadRabbit – RR Seq 188200 – Ext 20171024.022
TMP file - Ransom.BadRabbit – Hacktool component
MD5: 37945C44A897AA42A66ADCAB68F560E0
SHA2: 2F8C54F9FA8E47596A3BEFF0031F85360E56840C77F71C6A573ACE6F46412035
Detected as: Ransom.BadRabbit - RR Seq 188200 – Ext 20171024.022

page-main.js – From compromised website – Under research
Detected as: ??? pending
DiskCryptor - Legitimate disk encryption software (not detected)
MD5: edb72f4a46c39452d1a5414f7d26454a
SHA2: 0b2f863f4119dc88a22cc97c0a136c88a0127cb026751303b045f7322a8972f6 [2]

Alınacak Önlemler:
- Tüm Güncellemelerin tüm cihazlarda eksiksiz geçildiğinden emin olunmalıdır.
- Mimikatz yazılımının kurumsal ağlarda çalışması engellenmelidir.
- Tüm kullanıcılara bilgilendirme maili geçilerek sahte güncelleme ekranları konusunda farkındalık yaratılmalıdır.
- Dışarı açık TCP 445 ve 139 portların olmadığından emin olunmalıdır.
- install_flash_player.exe dosyasına dikkat!
- hxxp://1dnscontrol[.]com adresini bloklayın.
- DiskCryptor yazılımını bloklayın.
- C:\windows\infpub.dat ve C:\windows\cscc.dat dosyalarını oluşturup ve tüm izinlerini (okuma,yazma) kaldırmanız yeterlidir.
- Yukarıda iletilen threat hash bilgilerinden bir blacklist oluşturulması.
- Yukarıda iletilen DiskCryptor hash bilgilerinden bir blacklist oluşturulması.
- İlgili Türk siteler bloklanmalıdır.


Kaynaklar:
[1] https://www.bgasecurity.com/2017/10/badrabbit-ransomware-yayilmaya-basladi/
[2] Innovera Flaş Bülten
[3] Bad Rabbit: Diskcoder.D Eset E-mailing

Bunlara da Göz Atın

0 yorum