坏兔子(BadRabbit)最早在2017年10月出现,跟之前的NotPetya勒索病毒功能上有很多相同的代码实现,比如创建任务计划关机重启、通过读取当前用户密码和内置的系统弱口令来遍历局域网内电脑传播,最后加密系统文件后提示通过支付比特币解密。
自2022年6月以来坏兔子(BadRabbit)的勒索软件又发布了新的变种,已被塞讯安全实验室捕获。并已纳入塞讯验证的模拟攻击库中,持续加持塞讯验证的勒索软件防御评估服务。
▌坏兔子(BadRabbit)新变种简介
此次的新变种的执行会导致 dispci.exe(和其他二进制文件)被放入 %WINDIR% 目录中,该目录负责加密文件并修改引导加载程序(boot-loader)。坏兔子是用 C/C++ 编写的执行文件和磁盘加密的勒索软件,使用嵌入式 DiskCryptor 驱动程序可以进行磁盘加密。它还可以使用嵌入式 MIMIKATZ 有效载荷来获取凭据并执行横向移动。攻击者还可以通过命令行参数指定凭据和系统以进行横向移动。其代码借鉴了著名的 ETERNALPETYA 中断工具,包括系统枚举和横向移动技术。它主要通过托管 BACKSWING 侦察工具的已控Web服务器来分发。
▌模拟攻击库更新
您已经可以在我们平台中选择坏兔子(BadRabbit)的2个变种的勒索软件执行模拟以及其他恶意工具样本下载模拟模拟,以检验您的网络安全检测与防御手段和终端/主机防御手段对这2个变种及其相关恶意工具的检测与防御能力。