CERTFR-2017-ALE-016

Vulnerability from certfr_alerte - Published: - Updated:

Le 24 octobre 2017, le CERT-FR a constaté une vague de distribution de rançongiciel, Bad Rabbit, principalement localisée en Russie et dans des pays d'Europe de l'Est.

Bad Rabbit partage des portions de code avec Petya et NotPetya. Pour rappel, NotPetya a infecté de nombreuses machines en juin 2017.

Cependant, dans les cas constatés d'infection initiale, Bad Rabbit n'exploite aucune vulnérabilité pour s'installer. Des sites légitimes compromis ont servi un script javascript redirigeant les utilisateurs vers un serveur contrôlé par l'attaquant. De là, l'attaquant a incité les utilisateurs à installer le maliciel en se faisant passer pour une mise à jour Adobe Flash Player. Si l'utilisateur a explicitement accepté, le fichier install_flash_player.exe était téléchargé. Dans les cas observés, l'utilisateur devait alors manuellement lancer l'exécution de ce binaire. Ensuite, si l'utilisateur possédait les privilèges administrateurs, la machine était considérée infectée.

Install_flash_player.exe dépose sur le disque C:\Windows\infpub.dat et l'exécute par le biais de rundll32.exe avec les arguments #1 et 15. #1 est l'ordinale de la table d'export servant de point d'entrée et 15 le nombre de minutes avant de lancer la procédure de chiffrement du disque.  Infpub.dat crée deux tâches planifiées. La première est chargée de lancer discpci.exe, dont le rôle est de modifier le Master Boot Record (MBR), afin de pouvoir afficher la note de rançon au prochain démarrage. Discpci.exe communique aussi avec le pilote de DiskCryptor (ici cscc.dat), un logiciel de chiffrement disponible en source ouverte. La deuxième tâche planifiée sert à redémarrer le système et effacer certains événements des journaux. Après au plus dix-huit minutes (15 plus 3) , la procédure de chiffrement des fichiers avec des extensions choisies se lance. Contrairement à NotPetya, il semblerait techniquement possible de pouvoir déchiffrer les fichiers une fois la clé AES récupérée. Bad Rabbit tente également de récupérer des mots de passe administrateurs en mémoire avec une variante de Mimikatz.

Pour se propager dans le réseau interne, Bad Rabbit envoie des requêtes ARP et se fie aux réponses afin de se construire une liste des hôtes présents. Pour chacune de ces adresses, des tentatives de connexion sont effectuées par le biais de requêtes SMB en testant une liste de noms d'utilisateurs/mots de passe couramment utilisés. Si ces tentatives échouent, Bad Rabbit cherche à exploiter la vulnérabilité EternalRomance, corrigée au mois de mars 2017 par Microsoft (cf. section Documentation).

Bad Rabbit et NotPetya possèdent des similitudes au niveau du code ainsi qu'au niveau de l'infrastructure de livraison. Toutefois, une différence fondamentale peut expliquer la différence d'impact. NotPetya était injecté dans le réseau interne par le biais d'une mise à jour d'un logiciel dit de confiance. A l'inverse, Bad Rabbit requiert une action utilisateur, sinon rien ne se passe. Au niveau de la latéralisation, Bad Rabbit est également moins virulent.

Le respect des bonnes pratiques, notamment le guide d'hygiène informatique de l'ANSSI (cf. section Documentation) permet de neutraliser ces vecteurs d'infection.

A ce jour, le CERT-FR n'a pas connaissance de victimes françaises.

Liste de sites légitimes compromis :

  • hxxp://argumentiru[.]com
  • hxxp://www.fontanka[.]ru
  • hxxp://grupovo[.]bg
  • hxxp://www.sinematurk[.]com
  • hxxp://www.aica.co[.]jp
  • hxxp://spbvoditel[.]ru
  • hxxp://argumenti[.]ru
  • hxxp://www.mediaport[.]ua
  • hxxp://blog.fontanka[.]ru
  • hxxp://an-crimea[.]ru
  • hxxp://www.t.ks[.]ua
  • hxxp://most-dnepr[.]info
  • hxxp://osvitaportal.com[.]ua
  • hxxp://www.otbrana[.]com
  • hxxp://calendar.fontanka[.]ru
  • hxxp://www.grupovo[.]bg
  • hxxp://www.pensionhotel[.]cz
  • hxxp://www.online812[.]ru
  • hxxp://www.imer[.]ro
  • hxxp://novayagazeta.spb[.]ru
  • hxxp://i24.com[.]ua
  • hxxp://bg.pensionhotel[.]com
  • hxxp://ankerch-crimea[.]ru

Serveur de livraison de charge :

  • hxxp://1dnscontrol[.]com/flash_install.php_BAD.
  • hxxp://1dnscontrol[.]com/index.php_BAD.

Fichiers malveillants:

  • fbbdc39af1139aebba4da004475e8839 – install_flash_player.exe
  • 1d724f95c61f1055f0d02c2154bbccd3 – C:\Windows\infpub.dat
  • b14d8faf7f0cbcfad051cefe5f39645f – C:\Windows\dispci.exe
None
Impacted products
Vendor Product Description
Microsoft Windows Tous les systèmes d'exploitations Windows peuvent être victimes de ce logiciel malveillant.
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "Tous les syst\u00e8mes d\u0027exploitations Windows peuvent \u00eatre victimes de ce logiciel malveillant.",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": null,
  "closed_at": "2017-10-27",
  "content": "\n",
  "cves": [],
  "links": [
    {
      "title": "Billet de blogue RiskIq",
      "url": "https://www.riskiq.com/blog/labs/badrabbit/"
    },
    {
      "title": "Billet de blogue Talos",
      "url": "https://blog.talosintelligence.com/2017/10/bad-rabbit.html"
    },
    {
      "title": "Billet de blogue FireEye",
      "url": "https://www.fireeye.com/blog/threat-research/2017/10/backswing-pulling-a-badrabbit-out-of-a-hat.html"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Microsoft MS17-10",
      "url": "https://technet.microsoft.com/fr-fr/library/security/MS17-010"
    },
    {
      "title": "Annonce de Microsoft suite \u00e0 la diffusion de codes d\u0027attaques par le groupe Shadowbrokers",
      "url": "https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/"
    },
    {
      "title": "Bonnes pratiques",
      "url": "https://www.ssi.gouv.fr/administration/bonnes-pratiques/"
    },
    {
      "title": "Billet de blogue EndGame",
      "url": "https://www.endgame.com/blog/technical-blog/badrabbit-technical-analysis"
    },
    {
      "title": "Billet de blogue Kaspersky",
      "url": "https://securelist.com/bad-rabbit-ransomware/82851/"
    },
    {
      "title": "Billet de blogue ESET",
      "url": "https://www.welivesecurity.com/2017/10/24/bad-rabbit-not-petya-back/"
    }
  ],
  "reference": "CERTFR-2017-ALE-016",
  "revisions": [
    {
      "description": "Version initiale",
      "revision_date": "2017-10-25T00:00:00.000000"
    },
    {
      "description": "Ajout d\u0027\u00e9l\u00e9ments techniques",
      "revision_date": "2017-10-27T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Installation du ran\u00e7ongiciel bad rabbit et chiffrement des donn\u00e9es"
    }
  ],
  "summary": "Le 24 octobre 2017, le CERT-FR a constat\u00e9 une vague de distribution de\nran\u00e7ongiciel, *Bad Rabbit*, principalement localis\u00e9e en Russie et dans\ndes pays d\u0027Europe de l\u0027Est.\n\n*Bad Rabbit* partage des portions de code avec *Petya* et *NotPetya*.\nPour rappel, *NotPetya* a infect\u00e9 de nombreuses machines en juin 2017.\n\nCependant, dans les cas constat\u00e9s d\u0027infection initiale,\u00a0*Bad Rabbit*\nn\u0027exploite aucune vuln\u00e9rabilit\u00e9 pour s\u0027installer. Des sites l\u00e9gitimes\ncompromis ont servi un script javascript redirigeant les utilisateurs\nvers un serveur contr\u00f4l\u00e9 par l\u0027attaquant. De l\u00e0, l\u0027attaquant a incit\u00e9\nles utilisateurs \u00e0 installer le maliciel en se faisant passer pour une\nmise \u00e0 jour Adobe Flash Player. Si l\u0027utilisateur a explicitement\naccept\u00e9, le fichier\u00a0*install_flash_player.exe* \u00e9tait t\u00e9l\u00e9charg\u00e9. Dans\nles cas observ\u00e9s, l\u0027utilisateur devait alors manuellement lancer\nl\u0027ex\u00e9cution de ce binaire. Ensuite, si l\u0027utilisateur poss\u00e9dait les\nprivil\u00e8ges administrateurs, la machine \u00e9tait consid\u00e9r\u00e9e infect\u00e9e.\n\n*Install_flash_player.exe* d\u00e9pose sur le disque\n*C:\\\\Windows\\\\infpub.dat* et l\u0027ex\u00e9cute par le biais de\u00a0*rundll32.exe*\navec les arguments \\#1 et 15. \\#1 est l\u0027ordinale de la table d\u0027export\nservant de point d\u0027entr\u00e9e et 15 le nombre de minutes avant de lancer la\nproc\u00e9dure de chiffrement du disque.\u00a0 *Infpub.dat* cr\u00e9e deux t\u00e2ches\nplanifi\u00e9es. La premi\u00e8re est charg\u00e9e de lancer *discpci.exe*, dont le\nr\u00f4le est de modifier le\u00a0*Master Boot Record* (MBR), afin de pouvoir\nafficher la note de ran\u00e7on au prochain d\u00e9marrage. *Discpci.exe*\ncommunique aussi avec le pilote de\u00a0*DiskCryptor (*ici*\u00a0cscc.dat*), un\nlogiciel de chiffrement disponible\u00a0en source ouverte. La deuxi\u00e8me t\u00e2che\nplanifi\u00e9e sert \u00e0 red\u00e9marrer le syst\u00e8me et effacer certains \u00e9v\u00e9nements\ndes journaux. Apr\u00e8s au plus dix-huit minutes (15 plus 3) , la proc\u00e9dure\nde chiffrement des fichiers avec des extensions choisies se\nlance.\u00a0Contrairement \u00e0 *NotPetya*, il semblerait techniquement possible\nde pouvoir d\u00e9chiffrer les fichiers une fois la cl\u00e9 AES r\u00e9cup\u00e9r\u00e9e.\u00a0*Bad\nRabbit* tente \u00e9galement de r\u00e9cup\u00e9rer des mots de passe administrateurs\nen m\u00e9moire avec une variante de *Mimikatz.*\n\nPour se propager dans le r\u00e9seau interne, *Bad Rabbit*\u00a0envoie des\nrequ\u00eates ARP et se fie aux r\u00e9ponses afin de se construire une liste des\nh\u00f4tes pr\u00e9sents. Pour chacune de ces adresses, des tentatives de\nconnexion sont effectu\u00e9es par le biais de requ\u00eates SMB en testant une\nliste de noms d\u0027utilisateurs/mots de passe couramment utilis\u00e9s. Si ces\ntentatives \u00e9chouent, *Bad Rabbit* cherche \u00e0 exploiter la vuln\u00e9rabilit\u00e9\n*EternalRomance*, corrig\u00e9e au mois de mars 2017 par Microsoft (cf.\nsection Documentation).\n\n*Bad Rabbit* et *NotPetya* poss\u00e8dent des similitudes au niveau du code\nainsi qu\u0027au niveau de l\u0027infrastructure de livraison. Toutefois, une\ndiff\u00e9rence fondamentale peut expliquer la diff\u00e9rence d\u0027impact.\n*NotPetya* \u00e9tait inject\u00e9 dans le r\u00e9seau interne par le biais d\u0027une mise\n\u00e0 jour d\u0027un logiciel dit de confiance. A l\u0027inverse, *Bad Rabbit*\nrequiert une action utilisateur, sinon rien ne se passe. Au niveau de la\nlat\u00e9ralisation, *Bad Rabbit* est \u00e9galement moins virulent.\n\nLe respect des bonnes pratiques, notamment le guide d\u0027hygi\u00e8ne\ninformatique de l\u0027ANSSI (cf. section Documentation) permet de\nneutraliser ces vecteurs d\u0027infection.\n\nA ce jour, le CERT-FR n\u0027a pas connaissance de victimes fran\u00e7aises.\n\nListe de sites l\u00e9gitimes compromis :\n\n-   hxxp://argumentiru\\[.\\]com\n-   hxxp://www.fontanka\\[.\\]ru\n-   hxxp://grupovo\\[.\\]bg\n-   hxxp://www.sinematurk\\[.\\]com\n-   hxxp://www.aica.co\\[.\\]jp\n-   hxxp://spbvoditel\\[.\\]ru\n-   hxxp://argumenti\\[.\\]ru\n-   hxxp://www.mediaport\\[.\\]ua\n-   hxxp://blog.fontanka\\[.\\]ru\n-   hxxp://an-crimea\\[.\\]ru\n-   hxxp://www.t.ks\\[.\\]ua\n-   hxxp://most-dnepr\\[.\\]info\n-   hxxp://osvitaportal.com\\[.\\]ua\n-   hxxp://www.otbrana\\[.\\]com\n-   hxxp://calendar.fontanka\\[.\\]ru\n-   hxxp://www.grupovo\\[.\\]bg\n-   hxxp://www.pensionhotel\\[.\\]cz\n-   hxxp://www.online812\\[.\\]ru\n-   hxxp://www.imer\\[.\\]ro\n-   hxxp://novayagazeta.spb\\[.\\]ru\n-   hxxp://i24.com\\[.\\]ua\n-   hxxp://bg.pensionhotel\\[.\\]com\n-   hxxp://ankerch-crimea\\[.\\]ru\n\nServeur de livraison de charge :\n\n-   hxxp://1dnscontrol\\[.\\]com/flash_install.php_BAD.\n-   hxxp://1dnscontrol\\[.\\]com/index.php_BAD.\n\nFichiers malveillants:\n\n-   fbbdc39af1139aebba4da004475e8839 \u2013 install_flash_player.exe\n-   1d724f95c61f1055f0d02c2154bbccd3 \u2013 C:\\\\Windows\\\\infpub.dat\n-   b14d8faf7f0cbcfad051cefe5f39645f \u2013 C:\\\\Windows\\\\dispci.exe\n",
  "title": "Campagne de ran\u00e7ongiciel Bad Rabbit",
  "vendor_advisories": []
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.