坏兔子勒索软件利用泄露的“永恒浪漫”NSA漏洞传播

早些时候有报道称，本周的加密勒索软件暴发没有使用任何国家安全局开发的漏洞，无论是EternalRoman还是EternalBlue，但思科Talos安全情报部门最近的一份报告显示，坏兔子勒索软件确实使用了EternalRoman漏洞。

6月感染数万个系统的NotPetya勒索软件（也称为ExPetr和Nyetya）也利用了EternalRomance漏洞，以及另一个NSA泄露的Windows黑客漏洞EternalBlue，该漏洞在WannaCry勒索软件暴发中被使用。

坏兔子使用永恒浪漫SMB RCE漏洞

Bad Rabbit不使用EternalBlue，但利用EternalRomance漏洞在受害者的网络中传播。

微软和F-Secure也证实了Bad Rabbit勒索软件中存在该漏洞。
“永恒浪漫”是美国国家安全局精英黑客团队Equation Group的众多黑客工具之一，该黑客团队于今年4月被臭名昭著的自称为影子经纪人的黑客组织泄露。

EternalRoman是一种远程代码执行漏洞，利用Microsoft Windows Server Message Block（SMB）中的漏洞（CVE-2017-0145）绕过文件共享连接的安全性，从而在Windows客户端和服务器上远程执行代码。SMB是一种用于在连接的Windows计算机之间传输数据的协议。

除了影子经纪人发布的EternalChampion、EternalBlue、EternalSynergy和其他NSA漏洞，微软今年3月还发布了安全公告（MS17-010），修补了EternalRoman漏洞。

据报道，Bad Rabbit是通过受攻击的俄罗斯媒体网站通过下载驱动攻击传播的，使用假冒的Adobe Flash Player安装程序诱使受害者无意中安装恶意软件，并要求受害者提供0.05比特币（约285美元）解锁系统。

兔子勒索软件在网络中的传播有多糟糕

根据研究人员的说法，Bad Rabbit首先扫描内部网络以查找开放的SMB共享，尝试硬编码常用凭据列表以删除恶意软件，还使用Mimikatz后期攻击工具从受影响的系统中提取凭据。

EndGame指出，Bad Rabbit还可以利用Windows Management Instrumentation命令行（WMIC）脚本接口，试图远程在网络上的其他Windows系统上执行代码。

然而，据思科的Talos称，“坏兔子”还携带一种使用永恒浪漫的代码，这使得远程黑客能够更有效地从受感染的计算机传播到其他目标。

塔洛斯的研究人员写道：“我们可以相当确信，BadRabbit包含一个永恒浪漫的实现，用于覆盖内核的会话安全上下文，使其能够启动远程服务，而在Nyetya，它被用于安装DoublePulsar后门”。“这两种行为都是可能的，因为永恒浪漫允许攻击者将任意数据读/写到内核内存空间”。

是同一个黑客组织背后的坏兔子和NotPetya？

由于Bad Rabbit和NotPetya都使用商用DiskCryptor代码加密受害者的硬盘，并使用“雨刷”代码擦除连接到受感染系统的硬盘，研究人员认为，这两起勒索软件爆发背后的攻击者“极有可能”是相同的。

俄罗斯安全公司group IB指出：“2017年10月25日的BadRabbit勒索软件攻击和2017年6月袭击乌克兰能源、电信和金融部门的诺佩提亚病毒疫情很可能是同一批黑客的幕后黑手”。“研究表明，BadRabbit代码是从NotPetya源代码编译而来。BadRabbit在计算哈希、网络分布逻辑和日志删除过程等方面具有相同的功能”。

NotPetya之前曾与俄罗斯黑客组织BlackEnergy and Sandworm Team有关联，但由于Bad Rabbit主要针对俄罗斯，似乎并非所有人都相信上述假设。

如何保护自己免受勒索软件攻击？

为了保护自己免受“坏兔子”攻击，建议用户禁用WMI服务，以防止恶意软件在网络上传播。

此外，确保定期更新您的系统，并在您的系统上保持良好有效的防病毒安全套件。

由于大多数勒索软件都是通过网络钓鱼电子邮件、网站上的恶意广告以及第三方应用和程序传播的，因此在使用这些软件之前，你应该始终保持谨慎。

最重要的是，要始终牢牢掌握有价值的数据，请保持良好的备份例行程序，以便将文件复制并保存到不总是连接到PC的外部存储设备。