查看原文
其他

坏兔子攻击:NSA网络武器“永恒浪漫”再被利用

2017-10-28 E小编 E安全

更多全球网络安全资讯尽在E安全官网www.easyaq.com


E安全10月28日讯 “坏兔子”(Bad Rabbit)勒索病毒本周爆发以来,安全研究人员一直在深入挖掘这款恶意软件。最初安全专家认为,这款勒索软件利用依赖SMB协议的自定义扫描机制进行传播,此后陆续发现“坏兔子”勒索软件还使用修改过的NSA漏洞利用强化传播过程。

今年三起大规模勒索攻击都利用NSA工具

“坏兔子”勒索软件攻击是今年第三起利用NSA网络武器(“影子经纪人”泄露)使勒索病毒席卷全球的勒索攻击。

WannaCry是第一波利用NSA网络武器的大规模勒索软件攻击:攻击者今年5月部署了“永恒之蓝”(ETERNALBLUE)MS17-010漏洞利用 在被感染的网络中横向活动。

一个月之后,NotPetya勒索病毒大范围爆发,攻击者在其中部署了“永恒之蓝”(ETERNALBLUE)和“永恒浪漫”(ETERNALROMANCE)。

“坏兔子”利用“永恒浪漫”

 “坏兔子”爆发之后,研究人员猜测攻击者可能利用了NSA工具,但出乎意料的是,初步分析并未发现NSA工具的踪影。

首批报告指出,这款勒索软件使用Mimikatz工具获取被感染电脑内存的密码,并利用硬编码凭证访问同一网络的SMB共享文件。

思科Talos的研究人员深入挖掘“坏兔子”的代码后发现“永恒浪漫”相关证据。“永恒浪漫”也是通过SMB传播的一款漏洞利用。

 “永恒浪漫”为何开始未被发现?

初步分析并未发现“永恒浪漫”,其原因在于攻击者对代码做了修改。正是因为如此,大多数研究人员和自动扫描系统无从察觉。

思科Talos团队的研究人员发现的代码与公开可获取的“永恒浪漫”漏洞利用的Python实现非常类似,但“坏兔子”在实现上不同于NotPetya。

F-Secure也证实了思科的发现。此外,思科还提供了更多细节证明,“坏兔子”和NotPetya出自同一人之手。

思科Talos团队认为,“坏兔子”与NotPetya构建在相同的核心代码库上,“坏兔子”的构建工具链与NotPetya非常相似。其背后黑手被认为与NotPetya勒索软件存在联系的俄罗斯网络间谍组织“TeleBots”有关。

“TeleBots”组织自2007年即开始活动,且曾经使用Sandworm(沙虫)、BlackEnergy、Electrum、TEMP.Noble以及Quedagh等。

注:本文由E安全编译报道,转载请注明原文地址

https://www.easyaq.com/news/267008146.shtml

相关阅读:

▼点击“阅读原文” 查看更多精彩内容

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存