“坏兔子”（Bad Rabbit）勒索病毒本周爆发以来，安全研究人员一直在深入挖掘这款恶意软件。最初安全专家认为，这款勒索软件利用依赖SMB协议的自定义扫描机制进行传播，此后陆续发现“坏兔子”勒索软件还使用修改过的NSA漏洞利用强化传播过程。

今年三起大规模勒索攻击都利用NSA工具

“坏兔子”勒索软件攻击是今年第三起利用NSA网络武器（“影子经纪人”泄露）使勒索病毒席卷全球的勒索攻击。

WannaCry是第一波利用NSA网络武器的大规模勒索软件攻击：攻击者今年5月部署了“永恒之蓝”（ETERNALBLUE）MS17-010漏洞利用 在被感染的网络中横向活动。

一个月之后，NotPetya勒索病毒大范围爆发，攻击者在其中部署了“永恒之蓝”（ETERNALBLUE）和“永恒浪漫”（ETERNALROMANCE）。

“坏兔子”利用“永恒浪漫”

 “坏兔子”爆发之后，研究人员猜测攻击者可能利用了NSA工具，但出乎意料的是，初步分析并未发现NSA工具的踪影。

首批报告指出，这款勒索软件使用Mimikatz工具获取被感染电脑内存的密码，并利用硬编码凭证访问同一网络的SMB共享文件。

思科Talos的研究人员深入挖掘“坏兔子”的代码后发现“永恒浪漫”相关证据。“永恒浪漫”也是通过SMB传播的一款漏洞利用。

 “永恒浪漫”为何开始未被发现？

初步分析并未发现“永恒浪漫”，其原因在于攻击者对代码做了修改。正是因为如此，大多数研究人员和自动扫描系统无从察觉。
思科Talos团队的研究人员发现的代码与公开可获取的“永恒浪漫”漏洞利用的Python实现非常类似，但“坏兔子”在实现上不同于NotPetya。

F-Secure也证实了思科的发现。此外，思科还提供了更多细节证明，“坏兔子”和NotPetya出自同一人之手。

思科Talos团队认为，“坏兔子”与NotPetya构建在相同的核心代码库上，“坏兔子”的构建工具链与NotPetya非常相似。其背后黑手被认为与NotPetya勒索软件存在联系的俄罗斯网络间谍组织“TeleBots”有关。

“TeleBots”组织自2007年即开始活动，且曾经使用Sandworm（沙虫）、BlackEnergy、Electrum、TEMP.Noble以及Quedagh等。