Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'Ransomware die Rusland en Oekra´ne trof mogelijk afkomstig van NotPetya-makers'

Verschillende landen, waaronder Rusland en Oekra´ne, werden dinsdagavond getroffen door de zogenaamde Bad Rabbit-ransomware. Na een eerste analyse concludeert een beveiligingsbedrijf dat de malware mogelijk het werk is van de NotPetya-makers.

Deze inschatting is afkomstig van Malwarebytes, dat net als veel andere beveiligingsbedrijven een analyse heeft gepubliceerd van Bad Rabbit. De code zou veel elementen bevatten die ook voorkomen in de NotPetya-variant, hoewel volgens Intezer slechts 13 procent van de code daadwerkelijk overeenkomt. De kernel uit NotPetya, die was overgenomen van de oorspronkelijke Petya-ransomware, zou vervangen zijn door een legitieme driver. Malwarebytes schrijft: "Het lijkt erop dat de auteurs een poging hebben gedaan om hun vorige fouten te verbeteren en onafgemaakte zaken te beëindigen." Tot nu toe zijn er slechts voorlopige analyses van de nieuwe variant, waardoor het trekken van harde conclusies moeilijk is.

Er zijn belangrijke verschillen tussen Bad Rabbit en NotPetya. Van NotPetya bleek later dat deze bedoeld was om zo veel mogelijk schade aan te richten. Een van de verschillen is dat Bad Rabbit binnenkomt door middel van een zogenaamde drive by-download, waarbij een overgenomen site kwaadaardige code probeert te installeren. In het huidige geval gebeurde dat via JavaScript waarmee een valse Flash-update werd aangeboden. ESET meldt dat 65 procent van de websites met de kwaadaardige JavaScript-code in Rusland voorkomt. In iets meer dan 12 procent van de gevallen gaat het om Oekraïne, dat op de tweede plaats staat. Daarop volgen Bulgarije, Turkije en Japan. NotPetya verspreidde zich door middel van een geïnfecteerde update van Oekraïense boekhoudsoftware.

Is de malware eenmaal aanwezig op een systeem, dan vindt encryptie plaats. Volgens Kaspersky maakt Bad Rabbit daarbij gebruik van DiskCryptor, een module die ook werd gebruikt bij de ransomwareaanval op openbaarvervoerbedrijven in San Francisco. Een opvallend detail is dat daarbij taken worden uitgevoerd die de naam dragen van de drie draken in de populaire serie Game of Thrones. Bad Rabbit probeert zich net als NotPetya verder via het netwerk te verspreiden, maar maakt daarbij niet gebruik van de NSA-exploit EternalBlue, die een lek in SMB misbruikt. In plaats daarvan past de ransomware een lijst met gebruikersnamen en wachtwoorden toe om zich via SMB te verspreiden. Volgens Talos gebruikt de malware ook een versie van Mimikatz voor het infecteren van andere systemen op het netwerk, net als NotPetya.

Bij die malware was decryptie bovendien niet mogelijk, wat bij Bad Rabbit wel lijkt te kunnen. Geïnfecteerde gebruikers worden naar een Tor-pagina gestuurd, waar ze 0,05 bitcoin, omgerekend ongeveer 235 euro, moeten overmaken naar een gegenereerd bitcoinadres. Daardoor is niet eenvoudig bij te houden hoeveel bitcoins er naar de aanvallers worden verstuurd.

Volgens een waarschuwing van het Oekraïense Cert trof Bad Rabbit onder meer de metro van Kiev en de luchthaven van Odessa. In Rusland werden bijvoorbeeld het persbureau Interfax en de krant Fontanka getroffen. Hoeveel systemen in totaal getroffen zijn, is vooralsnog niet duidelijk. Onderzoeker Amit Serper vond net als de Nederlandse onderzoeker Rick van Duijn een manier om encryptie te voorkomen.

Bad Rabbit-infectieproces, volgens Trend Micro.

Door

Nieuwsredacteur

16 Linkedin Google+

Submitter: AnonymousWP

Reacties (16)

Wijzig sortering
Is er meer bekend over hoe je dit binnenhaalt en wat er nodig is om jouw computer er tegen te beveiligen?

**Edit:
Ik had het linkje gemist. _/-\o_

[Reactie gewijzigd door Mit-46 op 25 oktober 2017 10:50]

het komt binnen door zich voor te doen als een flash update. De popup wordt veroorzaakt door reclame banners. Gebruikers klikken het aan en geven het administrator rechten bij uitvoeren (basicly omdat Flash Updates daar altijd om vragen)

Dus simpel te blokkeren:
* blokkeer de executable en DAT file met een willekeurig programma die dit kan (applocker bijvoorbeeld)
* klik gewoon niet op elke popup die je te zien krijgt :)

[Reactie gewijzigd door SunnieNL op 25 oktober 2017 10:59]

De popup wordt veroorzaakt door reclame banners. Gebruikers klikken het aan en geven het administrator rechten bij uitvoeren (basicly omdat Flash Updates daar altijd om vragen)
Des te meer reden om een adblocker te gebruiken dus. Er zouden ook juridische stappen genomen moeten worden tegen de ad netwerken die dit soort shit doorlaten.

Ik block nu echt alles en doe niet meer aan whitelisting. Als een site er om vraagt en ze bieden geen abonnement o.i.d. dan hebben ze gewoon pech. De gegevens van je bezoekers verkopen (en mogelijk malware verspreiden) is gewoon geen acceptabel betaalmodel.

[Reactie gewijzigd door GekkePrutser op 25 oktober 2017 11:52]

Sowieso SMB-1 uitzetten op de servers en clients. Je zou als beheerder in de task sequence meteen kunnen instellen dat hij SMB-1 uitzet, zodat nieuwe systemen niet ge´nfecteerd raken. De bestaande systemen kan je een update geven door middel van een package bijvoorbeeld, die SMB-1 uitzet.

De ransomware wordt op de volgende manieren verspreid door het netwerk:
  • de EternalBlue exploit;
  • door middel van Mimikatz gestolen beheerders wachtwoorden;
  • Gegokte, standaard wachtwoorden.
Bron: https://www.dearbytes.com/alerts/badrabbit/

Wat je kunt doen staat hier uitgelegd:
Wat kunt u doen?

Zorg dat anti-virus software up-to-date is en ingeschakeld om via cloud controles de laatste malware te kunnen herkennen.

Om onbekende varianten te blokkeren, is het tevens raadzaam de malware op gedrag te herkennen. Door de volgende bestanden aan te maken op het systeem en schrijftoegang daartoe te blokkeren, kan verspreiding worden voorkomen:

%windir%\infpubdat
%windir%\dispci.exe
Permissions: everyone deny
Als u niet in staat bent om op alle computers in het netwerk deze bestanden aan te maken, kunt u wellicht uw Endpoint Protection software hiervoor gebruiken. Het DearBytes Research Team heeft een access protection rule voor McAfee Endpoint Protection ontwikkeld en getest die de verspreiding van #BadRabbit effectief blokkeert:


In zijn algemeenheid wordt ransomware vooral verspreid via e-mail of malafide weblocaties. Wees dus altijd voorzichtig bij het openen van dergelijke informatie: controleer de afkomst goed.

Op het moment staat het nog niet vast dat betaling van losgeld leidt tot herstel van bestanden. In zijn algemeenheid, maar dus zeker ook in dit geval adviseert DearBytes niet om losgeld te betalen. Zorg voor goede backups en herstelprocedure om voorbereid te zijn voor een eventueel herstel naar aanleiding van een ransomware incident.

[Reactie gewijzigd door AnonymousWP op 25 oktober 2017 11:27]

Even los van dat SMB1 uitzetten natuurlijk zeker verstandig is:
Waar maak jij uit op dat er een relatie is tussen deze malware en SMB1?
Zoals je in m'n quote kunt zien, staat daar dat de ransomware zich verspreidt via het EternalBlue-lek. Het EternalBlue lek maakt gebruik van SMB-1. Bron: https://en.wikipedia.org/wiki/EternalBlue
EternalBlue exploits a vulnerability in Microsoft's implementation of the Server Message Block (SMB) protocol. This vulnerability is denoted by entry CVE-2017-0144 in the Common Vulnerabilities and Exposures (CVE) catalog. The vulnerability exists because the SMB version 1 (SMBv1) server in various versions of Microsoft Windows mishandles specially crafted packets from remote attackers, allowing them to execute arbitrary code on the target computer.
Interessant. In het Tweakers artikel staat:
Bad Rabbit probeert zich net als NotPetya verder via het netwerk te verspreiden, maar maakt daarbij niet gebruik van de NSA-exploit EternalBlue, die een lek in SMB misbruikt.
Maar goed: zorgen dat SMB1 uit kan is zeker een goede stap; zolang er echter nog geen 100% duidelijkheid is zou ik vooralsnog me niet veilig voelen alleen maar omdat SMB1 uit staat.
Als ik goed begrijp wordt de EternalBlue (RCE) exploit niet gebruikt, maar SMB wordt wel gebruikt om netwerk bestanden te benaderen. Bad Rabbit gebruikt vervolgens Mimikatz om credentials te achterhalen om zo toegang te verkrijgen. Het uitzetten van SMB1 zorgt er dus in elk geval voor dat Bad Rabbit niet kan verspreiden via het netwerk.
Het uitzetten van SMB1 zorgt er dus in elk geval voor dat Bad Rabbit niet kan verspreiden via het netwerk.
Het uitzetten van SMB1 zorgt er alleen maar voor dat deze (antieke) implementatie van SMB niet gebruikt kan worden. Aangezien sinds Vista/Server 2008 SMB 2.0 alweer de standaard is, en we tegenwoordig op 3.1.1 zitten biedt uitzetten van SMB1 voor dit probleem alleen maar schijnveiligheid.

Volledig uitschakelen van SMB zal in de meeste omgevingen nog steeds geen optie zijn; fileshares zijn zeker in Windows omgevingen in veel gevallen nog steeds de norm.
Dat is een goed punt, het maakt niet uit welke versie van SMB er gebruikt wordt aangezien er gewoon geauthenticeerd wordt met default/gegokte credentials of credentials die achterhaald zijn met mimikatz.

Als SMB volledig uitschakelen geen optie is, is het uitvoeren van de oplossing in AnonymousWP zijn quote de beste manier om te voorkomen dat deze versie van ransomware kan verspreiden.

Een langetermijnoplossing tegen de verspreiding van toekomstige versies van ransomware die ook SMB + mimikatz gebruiken (en wat sowieso wel een goed is voor Windows gebruikers), zou zijn om Windows tegen mimikatz te beschermen.
Anders lees je het bericht even goed door....
Een van de verschillen is dat Bad Rabbit binnenkomt door middel van een zogenaamde drive by-download, waarbij een overgenomen site kwaadaardige code probeert te installeren. In het huidige geval gebeurde dat via javascript waarmee een valse Flash-update werd aangeboden.
Onderzoeker Amit Serper vond net als de Nederlandse onderzoeker Rick van Duijn een manier om encryptie te voorkomen.
Het volgende commando hebben wij gebruikt op de werksations, Hierin worden Read-only bestanden aangemaakt in C:\windows,
Dit zijn bestanden die ook door het virus aangemaakt zouden worden, hierdoor kan het virus (als deze gedownload zou worden) niet gestart worden:

[code]
@echo off
echo Badrabbit vaccin vaccination file > C:\Windows\infpub.dat
echo Badrabbit vaccin vaccination file > C:\Windows\cscc.dat
echo Badrabbit vaccin vaccination file > C:\Windows\dispci.exe
attrib +R C:\Windows\infpub.dat
attrib +R C:\Windows\cscc.dat
attrib +R C:\Windows\dispci.exe
[/code]


Vraag: zou het toevoegen van allen het "readonly" kenmerk genoeg zijn? of is het verwijderen an overige permissions ook belangrijk

[Reactie gewijzigd door makkie88 op 25 oktober 2017 11:13]

Waarom niet gewoon een everyone deny op die 3 bestanden?

Dat is ook wat er wordt aangeraden door de Nederlandse onderzoekers van DearBytes:
https://www.dearbytes.com/alerts/badrabbit/

Zie ook hier:
https://twitter.com/0xAmit/status/922911491694694401

Gewoon het zekere voor het onzekere nemen en al die permissies eruit knallen.

[Reactie gewijzigd door AnonymousWP op 25 oktober 2017 11:22]

tnx! in dat geval; of kan er nog een Deny aan toegevoegd worden? ( zo ja; hoe voor verschillende users)

[code]
echo Badrabbit vaccin vaccination file > C:\Windows\infpub.dat
echo Badrabbit vaccin vaccination file > C:\Windows\cscc.dat
echo Badrabbit vaccin vaccination file > C:\Windows\dispci.exe
icacls "C:\Windows\infpub.dat" /inheritance:R
icacls "C:\Windows\cscc.dat" /inheritance:R
icacls "C:\Windows\dispci.exe" /inheritance:R

[/code]

[Reactie gewijzigd door makkie88 op 25 oktober 2017 11:32]

begrijp ik nu goed uit de laatste afbeelding dat admin rechten alleen verkregen werden door middel van een dictionary attack en dat anders de malware niet verder kon of is dat alleen nodig voor 'drop copy in network?'

Op dit item kan niet meer gereageerd worden.


Call of Duty: Black Ops 4 HTC U12+ dual sim LG W7 Samsung Galaxy S9 Dual Sim OnePlus 6 Battlefield V Microsoft Xbox One X Apple iPhone 8

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True

*