Aviso de Segurança. Worm de Ransomware Bad Rabbit.

A pesquisa é baseada na análise de evidências OSINT, evidências locais, feedback de vítimas de ataques e na metodologia MITRE ATT&CK utilizada para atribuição de atores. A SOC Prime gostaria de expressar gratidão aos pesquisadores de segurança independentes e empresas de segurança especializadas que compartilharam os relatórios de engenharia reversa e análise de ataques em fontes públicas e seus blogs corporativos. De nossa parte, compartilhamos este breve informativo sobre atribuição de ameaças TTP, bem como conteúdo de detecção de ameaças SIEM para ArcSight, QRadar e Splunk.

Resumo Executivo

Bad Rabbit é um surto global de ransomware tipo worm que aconteceu em 24 de outubro de 2017 e impactou um grande número de organizações em diferentes indústrias, principalmente nos países CIS e APAC.

O relatório forense da Cisco Talos afirma que o primeiro download inicial foi observado por volta de 2017-10-24 08:22 UTC. A SOC Prime foi informada do ataque por uma das organizações de transporte na Ucrânia em 2017-10-24 10:12 UTC. Naquele momento, a organização já estava criptografada, então concordamos que a evidência mais conclusiva da execução do ataque é a relatada pela Talos: 08:22 UTC.

A partir de 2017-10-25 08:24 UTC não há evidências públicas de que o ataque seja de natureza APT. No entanto, foi executado em paralelo com outro ataque de ransomware: o ransomware Loky atingiu usando um anexo de e-mail malicioso como vetor de entrega e explorando uma vulnerabilidade no Microsoft Word DDE. Enquanto vários pesquisadores apontaram semelhanças com NotPetya ataque, discordamos fortemente dessa declaração, pois a atribuição de TTP mostra claramente que o ator de ameaça não é o mesmo. A menos que outras evidências sejam apresentadas, o ataque deve ser considerado uma atividade de cibercrime e não um ataque patrocinado por estado. No entanto, vimos o mesmo padrão de lançar um ataque de distração para encobrir uma operação APT durante o NotPetya em junho de 2017.

Como o ataque possui capacidades de worm e se distribui rapidamente, é altamente recomendável implantar controles proativos de detecção de ameaças em tecnologias SIEM e implantar configurações temporárias de vacinação em sistemas host do Windows.Nome da ameaça: Bad RabbitApelidos: Discoder / Win32/Diskcoder.D / Trojan-Ransom.Win32.Gen.ftl / DangerousObject.Multi.Generic / PDM:Trojan.Win32.GenericTipo de ameaça: RansomwareTipo de ator: CibercrimeNível de ameaça: AltoImpacto por Geo: Rússia, Ucrânia, Bulgária, Turquia, Japão, Romênia, Alemanha.Impacto por Indústria: Transporte e Varejo (principalmente na Ucrânia), setor de Mídia (principalmente na Rússia)Vetor de infecção: Download por navegação de um javascript malicioso em sites infectadosAtivos de TI afetados: Windows OS.APT Relacionado: nenhuma atribuição conclusiva pode ser fornecida devido à falta de evidências.

Atribuição de Atores de Ameaças e Análise TTP

Várias empresas de pesquisa declararam a semelhança do ataque Bad Rabbit com NotPetya. Achamos que este é mais um problema de PR e promoção pela mídia, e muitos especialistas em segurança atuando de forma independente para capturar ‘a próxima grande ameaça’. Em 2017-10-25 08:24 UTC não há evidências técnicas públicas de que o ataque Bad Rabbit seja um APT ou tenha TTP semelhante a NotPetya e Sandworm. Além disso, várias empresas de pesquisa relataram que há 13% de sobreposição de código-fonte do componente de ransomware Bad Rabbit e NotPetya, o que não é suficiente para apontar a semelhança, pois NotPetya tinha grandes semelhanças de código com Petya para atuar como disfarce e distração. Está claro que o código do ransomware Petya e NotPetya está disponível para múltiplos atores. Vamos dar uma olhada mais de perto nos TTPs do NotPetya aproveitando a metodologia MITRE ATT&CK e o modelo de ameaça personalizado da SOC Prime SVA AI:O ator por trás do NotPetya usou 30 técnicas para executar o ataque.

Diferenças de TTPs entre Bad Rabbit e NotPetya:

1. Vetor de ataque da cadeia de suprimentos (atualizações de software M.E.Doc modificadas)
2. Vulnerabilidade EternalBlue (o Bad Rabbit não a utiliza)
3. Remoção de indicadores no host (limpando o MS EventLog. O Bad Rabbit não faz isso)
4. PsExec não é usado pelo Bad Rabbit para Shares de Administrador do Windows para Movimento Lateral
5. Credenciais codificadas são usadas pelo Bad Rabbit e não são usadas pelo NotPetya
6. As credenciais legítimas obtidas pelo NotPetya foram geridas pelo C2. Isso permitiu ao atacante usar contas específicas do Active Directory para Movimento Lateral, como a conta de serviço Microsoft SCCM.

Semelhança debatida:1. Bootkit é amplamente usado no NotPetya como técnica de ‘assinatura’ do ator Sandworm para destruição de dados, também chamada de ‘característica limpadora’ (nas campanhas BlackEnergy) e para criptografar dados de maneira irreversível durante a inicialização, também equivalente à destruição de dados (na campanha NotPetya). O Bad Rabbit não possui um Bootkit completo, pois apenas coloca o aviso de ransomware no bootloader.
Para elaborar mais sobre o debate, usaremos uma citação do Bleeping Computer

Quanto ao Bad Rabbit, o ransomware é um codificador de disco, semelhante ao Petya e NotPetya. O Bad Rabbit primeiro criptografa arquivos no computador do usuário e, em seguida, substitui o MBR (Master Boot Record). Uma vez que o Bad Rabbit terminou seu trabalho, ele reinicia o PC do usuário, que fica preso na nota de resgate do MBR personalizado. A nota de resgate é quase idêntica à usada pelo NotPetya, no surto de junho.

A diferença chave aqui é que o NotPetya realmente criptografou os dados com Bootkit durante a inicialização e modificou o MFT como técnica adicional para criptografá-los no nível do OS (característica do Petya original). O Bad Rabbit apenas substitui a tela de inicialização. O design similar da tela é facilmente falsificável.Semelhanças de TTPs do Bad Rabbit e NotPetya:

1. Uso da mesma versão do Mimikatz para Dumping de Credenciais
2. Uso de shares SMB para Movimento Lateral
3. Uso de WMI para Movimento Lateral

Além disso, as extensões de arquivo visadas são significativamente diferentes no Bad Rabbit em comparação ao NotPetya: ataques típicos de ransomware visam mais arquivos (Bad Rabbit) enquanto ataques APT que usam ransomware como técnica de Deleção de Arquivo vão atrás de arquivos específicos.Há também debate sobre o vetor de infecção como ataque Waterhole de site hackeado. A peça que não se encaixa é que os sites hackeados não estão nem mesmo no top-100 de popularidade nos países afetados.

Prevenção: vacinas baseadas em host e proteção de rede

Controles de Proteção de RedeBloquear acesso de rede para 185.149.120[.]3 em dispositivos de nível de perímetro
Bloquear todas as URLs infectadas em gateways de web de segurança / proxies.Vacinação Baseada em HostO arquivo baixado chamado install_flash_player.exe precisa ser lançado manualmente pela vítima. Para operar corretamente, ele precisa de privilégios administrativos elevados que tenta obter usando o prompt padrão do UAC. Se iniciado, ele salvará o DLL malicioso como C:Windowsinfpub.dat e o lançará usando rundll32.

• Desabilitar o serviço WMI onde possível como medida de mitigação temporária
• Crie os seguintes arquivos C:Windowsinfpub.dat e C:Windowscscc.dat e REMOVA TODAS AS PERMISSÕES (herança) desses arquivos.

Indicadores de Comprometimento

IP’s

Referências externas

1. https://www.welivesecurity.com/2017/10/24/bad-rabbit-not-petya-back/
2. https://securelist.com/bad-rabbit-ransomware/82851/
3. http://blog.talosintelligence.com/2017/10/bad-rabbit.html
4. https://gist.github.com/roycewilliams/a723aaf8a6ac3ba4f817847610935cfb
5. https://gist.github.com/Belorum/7b57e925a0bcc6ed6a72b6af07006ace
6. https://www.hybrid-analysis.com/sample/8ebc97e05c8e1073bda2efb6f4d00ad7e789260afa2c276f0c72740b838a0a93?environmentId=100
7. https://www.hybrid-analysis.com/sample/99b695b3d2ce9b0440ce7526fea59f7a4851d83d9a9d9a6cf906417068bc7524?environmentId=100
8. https://twitter.com/craiu/status/922911496497238021
9. https://blog.qualys.com/news/2017/10/24/bad-rabbit-ransomware
10. https://threatprotect.qualys.com/2017/10/24/bad-rabbit-ransomware/?_ga=2.71482960.293546626.1508923179-346340547.1500997518
11. https://analyze.intezer.com/#/analyses/d41e8a98-a106-4b4f-9b7c-fd9e2c80ca7d
12. https://www.bleepingcomputer.com/news/security/bad-rabbit-ransomware-outbreak-hits-eastern-europe/