TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

ランサムウエア「Bad Rabbit」の概略

【概要】

■第1ステージ

  • 正規のWebサイトを閲覧
  • ドライブバイ・ダウンロードによりhxxp://1dnscontrol.com/flash_install.phpからドロッパーがダウンロード
    • ボタンをクリックする必要あり
    • ドロッパーはAdobe Flash Playerのインストーラーを装っている(install_flash_player.exe)
    • 管理者権限が必要

■第2ステージ

  • 「install_flash_player.exe」を実行すると「infpub.dat」が生成
  • rundll32を使用して起動
  • infpub.datには次の5種類の実行ファイルが埋め込まれている(Cylance)
    • Mimikatzの2つのバージョン(x86とx64)
    • 署名付きドライバーの2つのバージョン(x86とx64)
    • ブートレコードに感染して支払い要求メッセージを生成するモジュール
  • 「infpub.dat」は、悪質な実行ファイル「dispci.exe」をC:\Windowsにインストール


【ニュース】

◆ランサムウエア「Bad Rabbit」の概略 (COMPUTERWORLD, 2017/10/30)
http://itpro.nikkeibp.co.jp/atcl/idg/14/481542/103000432/


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2019