坏兔子攻击:NSA网络武器“永恒浪漫”再被利用
更多全球网络安全资讯尽在E安全官网www.easyaq.com
E安全10月28日讯 “坏兔子”(Bad
Rabbit)勒索病毒本周爆发以来,安全研究人员一直在深入挖掘这款恶意软件。最初安全专家认为,这款勒索软件利用依赖SMB协议的自定义扫描机制进行传播,此后陆续发现“坏兔子”勒索软件还使用修改过的NSA漏洞利用强化传播过程。
今年三起大规模勒索攻击都利用NSA工具
今年三起大规模勒索攻击都利用NSA工具
“坏兔子”勒索软件攻击是今年第三起利用NSA网络武器(“影子经纪人”泄露)使勒索病毒席卷全球的勒索攻击。
WannaCry是第一波利用NSA网络武器的大规模勒索软件攻击:攻击者今年5月部署了“永恒之蓝”(ETERNALBLUE)MS17-010漏洞利用 在被感染的网络中横向活动。
一个月之后,NotPetya勒索病毒大范围爆发,攻击者在其中部署了“永恒之蓝”(ETERNALBLUE)和“永恒浪漫”(ETERNALROMANCE)。
“坏兔子”利用“永恒浪漫”
“坏兔子”爆发之后,研究人员猜测攻击者可能利用了NSA工具,但出乎意料的是,初步分析并未发现NSA工具的踪影。
首批报告指出,这款勒索软件使用Mimikatz工具获取被感染电脑内存的密码,并利用硬编码凭证访问同一网络的SMB共享文件。
思科Talos的研究人员深入挖掘“坏兔子”的代码后发现“永恒浪漫”相关证据。“永恒浪漫”也是通过SMB传播的一款漏洞利用。
“永恒浪漫”为何开始未被发现?
初步分析并未发现“永恒浪漫”,其原因在于攻击者对代码做了修改。正是因为如此,大多数研究人员和自动扫描系统无从察觉。
思科Talos团队的研究人员发现的代码与公开可获取的“永恒浪漫”漏洞利用的Python实现非常类似,但“坏兔子”在实现上不同于NotPetya。
F-Secure也证实了思科的发现。此外,思科还提供了更多细节证明,“坏兔子”和NotPetya出自同一人之手。
思科Talos团队认为,“坏兔子”与NotPetya构建在相同的核心代码库上,“坏兔子”的构建工具链与NotPetya非常相似。其背后黑手被认为与NotPetya勒索软件存在联系的俄罗斯网络间谍组织“TeleBots”有关。
“TeleBots”组织自2007年即开始活动,且曾经使用Sandworm(沙虫)、BlackEnergy、Electrum、TEMP.Noble以及Quedagh等。
注:本文由E安全编译报道,转载请注明原文地址
https://www.easyaq.com/news/267008146.shtml
相关阅读:
▼点击“阅读原文” 查看更多精彩内容