先週、PandaLabsアンチウイルスラボは、 PowerShellを使用したランサムウェアのファミリについて質問を受けました。Microsoftのソリューションは、Windows 10に含まれており、しばらくの間サイバー犯罪者によって使用されてきました。
そのような質問は興味深いものです PandaLabsは、暗号化によるこのような攻撃の防止に重点を置いています。 しかし、私たちはすべての「発見」をコミュニティと共有していないことを認めなければなりません。 Ransomwhere Talesシリーズの記事の一部として、これを継続的に行うことにしました。
ランサムウェアは、Word文書が添付されたフィッシングメールで届きます
暗号解読者は、古いニュースのような音について聞かれました。実際、カーボンブラックの同僚は3月にこのことについて書いています。 攻撃は単純で簡単です。暗号化プログラムは、Word文書が添付されたフィッシングメールで届きます。 開くと、ドキュメント内の特別なマクロがcmd.exeを起動してPowerShellを起動し、インターネットからスクリプトをダウンロードしてから、暗号化タスクの「入力」としてダウンロードしたスクリプトを使用してPowerShellを再度実行します。
このPowerwareは 、Carbon Blackによって呼ばれたように、私たちが知っている何千もの中の別の暗号です。 セキュリティ分野の一部の企業にとって、この特定のファミリは他の企業よりも大きな問題になっていますが、この暗号化ファミリについて知る前からブロックしていました。 なんで?
アンチウイルスのいくつかは、主に署名に基づいており、同時に、エンドポイントではなく境界上での存在がより強力です。 したがって、境界でWord文書をロックすることは、あまり良い解決策ではありません。 一部のユーザーは感染した後、署名を追加して他のユーザーを保護できます(たとえば、スクリプトのダウンロード元のIPアドレスをブロックすることにより)。インターネットからダウンロードされた実行可能なマルウェアがないことは悪夢です。
結局のところ、暗号作成者はサイバー犯罪者にとって大規模なビジネスであり、あらゆる種類のセキュリティソリューションに気付かれることのない新しい方法を探すために多くのリソースを費やしています。 Powerwareはほんの一例です。 一般的な動作は変更されませんが、ほぼ毎週、複雑な変更が導入されます。 これらの変更は、ランサムウェア自体(アクションの実行時)と配信方法(新しいエクスプロイトの使用、既存のエクスプロイトの変更、エクスプロイトのロード方法の変更など)の両方に適用できます。
最近見たランサムウェアを「配信」する新しい方法のもう1つの良い例です。
Internet Explorerでエクスプロイトを使用した後、エコー機能を使用してCMDを起動し、スクリプトを作成します。 次に、一連のWindowsファイルが起動され、すべてのアクションを実行して、セキュリティソリューションによる疑わしい動作の検出を回避します。 スクリプトはwscript側で実行され、dllをダウンロードし、CMDを使用してregsvr32を実行します。これにより、dllが実行されます(rundll32を使用)。 ほとんどの場合、そのDLLは暗号化プログラムです。 この新しいトリックを使用した500を超える感染の試みはブロックされました。
500回の感染試行中に傍受されたこれらのDLLのすべてのMD5チェックサムを以下に公開します。
00d3a3cb7d003af0f52931f192998508
09fc4f2a6c05b3ab376fb310687099ce
1c0157ee4b861fc5887066dfc73fc3d7
1cda5e5de6518f68bf98dfcca04d1349
1db843ac14739bc2a3c91f652299538c
2c5550778d44df9a888382f32c519fe9
2dcb1a7b095124fa73a1a4bb9c2d5cb6
2f2ca33e04b5ac622a223d63a97192d2
38fb46845c2c135e2ccb41a199adbc2a
3ac5e4ca28f8a29c3d3234a034478766
4cb6c65f56eb4f6ddaebb4efc17a2227
562bf2f632f2662d144aad4dafc8e316
63dafdf41b6ff02267b62678829a44bb
67661eb72256b8f36deac4d9c0937f81
6dbc10dfa1ce3fb2ba8815a6a2fa0688
70e3abaf6175c470b384e7fd66f4ce39
783997157aee40be5674486a90ce09f2
7981aab439e80b89a461d6bf67582401
821b409d6b6838d0e78158b1e57f8e8c
96371a3f192729fd099ff9ba61950d4b
9d3bf048edacf14548a9b899812a2e41
a04081186912355b61f79a35a8f14356
a1aa1180390c98ba8dd72fa87ba43fd4
a68723bcb192e96db984b7c9eba9e2c1
abb71d93b8e0ff93e3d14a1a7b90cfbf
b1ac0c1064d9ca0881fd82f8e50bd3cb
b34f75716613b5c498b818db4881360e
b6e3feed51b61d147b8679bbd19038f4
bbf33b3074c1f3cf43a24d053e071bc5
cba169ffd1b92331cf5b8592c8ebcd6a
d4fee4a9d046e13d15a7fc00eea78222
d634ca7c73614d17d8a56e484a09e3b5
de15828ccbb7d3c81b3d768db2dec419
df92499518c0594a0f59b07fc4da697e
dfd9ea98fb0e998ad5eb72a1a0fd2442
e5c5c1a0077a66315c3a6be79299d835
投稿者:Louis Corrons