BadRabbit - NotPetya

NotPetya zararlı yazılımı ile aynı yazılımcılar tarafından geliştirildiği düşünülen BadRabbit, 24 Ekim 2017 tarihinde Ukrayna, Almanya, Türkiye ve Bulgaristan olmak üzere ağırlıklı olarak Doğu Avrupayı hedef almıştır. Fidye karşılığı olarak 0,05 Bitcoin talep edilmiştir. SMB'yi (Server Message Block) kullanarak ağ üzerinde yanal hareketlerle yayılmaktadır. NotPetya'dan ayıran en büyük özelliği ise ilk vektörün farklı olmasıdır. BadRabbit web sitesi üzerinden çalıştırılabilir dosya ile bulaşmaktadır.

BadRabbit Nasıl Bulaşır?

Zararlı yazılımın etkisi altında olan web siteleri tarafından normal bir güncelleme işlemi gibi kendini tanıtan BadRabbit, “Adobe Flash Güncelleme” isteği ile mağduru güncelleme yapmaya sevk eder. Mağdur kendi elleriyle güncelleme işlemi için güncelleme isteği üzerine tıklar ve indirme işlemini tamamalar. NotPetya direk sisteme bulaşır ancak BadRabbit, indirilen dosyayı çalıştırmaz ise herhangi bir aksiyon gerçekleştirmez.
"install_flash_player.exe" çalıştırılarak diski şifrelemek ve ağ üzerinde yanal hareketler gerçekleştirmek için beraberinde birden fazla zararlı dosyayı getirir.


  • install_flash_player.exe: İlk indirilen dosya ile diğer zararlı dosyalar gelir.
  • infpub.dat: DLL payloaparametrelerle çağrılan rundll32.exe ile çalıştırılır.
  • cscc.dat: DiskCryptor Sürücüsü (x64) zamanlanmış görev olarak çalıştırılır. 
  • dispci.exe: DiskCryptor istemcisi ile disk şifrelenir.
  • xxxx.tmp: Mimikatz (x64) yanal hareketler gerçekleştirmek için kullanılır.
  • xxxx.tmp: Mimikatz (x32) yanal hareketler gerçekleştirmek için kullanılır.

BadRabbit Nasıl İlerler ? 

  • "C:\install_flash_playe.exe" dosyası mağdur tarafından çalıştırılır. 
  • "C:\infpub.dat" dosyası  parametrelerle çağrılan "rundll32.exe" ile çalıştırılır. 
  • Zararlı yazılım bir yandan ağa bağlı olan cihazları tarar. Zararlı ile gelen Mimikatz yazılımı ile sık kullanılan kullanıcı adı  ve şifreler denenir.
  • "C:\dispxi.exe" ve "C:\cscc.dat"zamanlanmış görev yardımıyla çalıştırılır. NotPetya zararlı yazılımında kullanıldığı gibi "DiskCryptor" ile mağdurun diski şifrelenir. 

Fidye Notu
  • NotPetya gibi BadRabbit, sistemin yeniden başlatılması için zamanlanmış bir görev ekler.
  • Saldırı tamamlandıktan sonra sistem yeniden başlatılır ve açılış ekranı görülür.



  • NotPetya zararlısının gösterdiği ekran ile benzerliği fark ediliyor. 
  • Fidye notlarının ardından, kurbanın dosyaları kurtarabilmesi için alması gereken iki şifreleme anahtarı olduğunu görülür. İlk kilidin açılması ile ikinci kilit kullanılarak dosyalardaki şifre kırılır.
  • Mağdurlar “caforssztxqzf2nm.onion“ web sitesi üzerinden yönlendirilmektedir. (Güvenlik ve kullanım kolaylığı sebebi ile mail adresleri kullanılmamıştır.)


Sonuç

Badrabbit kodu, Petya/NotPetya kodu ile yüksek oranda benzerlik göstermektedir. Aynı yazılımcılar tarafından geliştirildiği tahmin edilmektedir. Bad Rabbit, NotPetya'ya kıyasla çok daha eksiksiz ve işlevsel bir fidye yazılımıdır. Şifre çözme anahtarlarını ve ödeme bilgilerini sağlamak için TOR kullanarak işlevsel bir fidye yazılımı gibi görünmektedir.

BadRabbit sonucunda önlem alınması gereken noktalar: 

  1. Sistem güncellemeleri açık ve son güncellemeler yüklenmiş olmalıdır. Gözden kaçma durumu ile karşılaşmamak için korelasyon kuralları ile kontrol altına alınmalıdır.
  2. C:\ dizini altındaki dosyalar kontrol edilir. C:\windows\infpub.dat altında                C:\windows\cscc.dat  dosyları yoksa eklenir ve kullanıcı yetkileri kaldırılır.  C:\windows\infpub.dat && C:\windows\cscc.dat  dosyları varsa kullanıcı yetkileri kaldırılarak çalıştırılamaz hale getirilmelidir.
  3. SMB servisi kapatılmalı. (WannaCry, NotPetya ve BadRabbit gibi zararlılarda da kullanıldığı için çok tehlikelidir.) Korelasyon  ve gerekli alarmlar ile servis kontrolleri takip altına alınmalı.
  4. Mimikatz kullanımına izin verilmemelidir.
  5. Kullanıcı yetkileri belirli periyotlarla gözden geçirilmelidir.
  6. Herhangi bir sözlük kullanımı ile kullanıcı adı ve şifresi tahmin edilememelidir. 
  7. Admin yetkileri kontrol edilmeli paylaşılamaz durumuna getirilmeli. (kullanıcı adı admin olmamalı)
  8. Zamanlanmış görevler ve servisler takip edilmelidir. Zararlı yazılımların arka planda zamanlanmış görev oluşturulmasına izin verilmemelidir.
  9. Mümkün olduğu kadar WMI veya RDP devre dışı bırakılmalıdır. Korelasyon ile servis kontrolü sağlanmalıdır.
  10. Zararlı yazılımların Türkiye’de hangi sitelerden yayınlandığı takip edilmelidir. Bunlardan bazıları hxxp://www.sinematurk[.]com, hxxp://ucarsoft[.]com, hxxp://tweetlerim[.]gen.tr, hxxp://sarktur[.]com gibi sitelerdir. 
Crypttech Siber İstihbaratı'ndan yararlanarak saldırılara karşı bir adım önde başlayın.


Kaynakça

  • https://blog.malwarebytes.com/threat-analysis/2017/10/badrabbit-closer-look-new-version-petyanotpetya/
  • https://www.endgame.com/blog/technical-blog/badrabbit-technical-analysis
  • https://blogs.forcepoint.com/security-labs/notnotpetya-bad-rabbit

M. Büşra ÖZTÜRK
Yazılım Destek Mühendisi

Yorumlar

Bu blogdaki popüler yayınlar

1. Geleneksel Stajyer CTF Soru ve Cevapları

2. Geleneksel Stajyer CTF Soru ve Cevapları - 2017

ARP Poisoning ile Browser Exploitation - MITMf + BeEF + Metasploit